Autore Topic: Come avere la massima sicurezza possibile...?  (Letto 4119 volte)

Offline g3n10z

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Come avere la massima sicurezza possibile...?
« il: 14 Gen 2009, 16:40:03 »
Prima di chiedere ho cercato sul wiki ma non ho trovato risposta..
vorrei una semplice lista di cose da fare per avere il massimo della sicurezza con joomla visto che gestisco un sito ad alta visibilita'.

ringrazio tutti coloro che risponderanno

Offline emgent

  • Team Joomla.it
  • Nuovo arrivato
  • *******
  • Post: 40
  • Sesso: Maschio
  • Joomla Security Team Developer
    • Mostra profilo
Re: Come avere la massima sicurezza possibile...?
« Risposta #1 il: 14 Gen 2009, 23:49:20 »
Prima di chiedere ho cercato sul wiki ma non ho trovato risposta..
vorrei una semplice lista di cose da fare per avere il massimo della sicurezza con joomla visto che gestisco un sito ad alta visibilita'.

ringrazio tutti coloro che risponderanno

La sicurezza a 360° non esiste, ma ci si puo` avvicinare anche se il processo e` complesso e molto dispendioso. Questo richiede per la maggior parte l`ausilio di un societa` esterna che si occupa nello specifico di sicurezza. mi spiego meglio:

Le precauzioni che si possono prendere non sono solo strettamente legate al posizionamento di login preventivi per il lato backend e allo spostamento dell` URL canonico di amministrazione stesso.. la questione va vista un po` da piu` lontano, includendo demoni, plugin/componenti/moduli utilizzati, e script attivi.

In altre parole, come ho gia` spiegato in altri thread, se il sito e` personale e non tocca interessi monetari ne d` immagine, ci si puo` fermare all`uso dei login preventivi (magari gestiti dal webserver), altrimenti il mio consiglio e` quello di rivolgersi ad una societa` specializzata che possa curare tutti i livelli sopra citati.
Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO  www.gerix.it

Offline g3n10z

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Re: Come avere la massima sicurezza possibile...?
« Risposta #2 il: 15 Gen 2009, 00:16:25 »
diciamo che non ho apprezzato molto la tua risposta intrinseca di pubblicità a te stesso.

So benissimo come si protegge un server etc ma la mia domanda riguardava SOLO la sicurezza relativa al cms...bastava rispondere dei permessi,htaccess,cambiare username di admin,usare pass non reversibili se joomla usa md5 etc...

sarebbe stata molto + utile una esauriente spiegazione di tutti i sistemi che si possono usare su un hosting invece di farsi subito pubblicità.

Offline emgent

  • Team Joomla.it
  • Nuovo arrivato
  • *******
  • Post: 40
  • Sesso: Maschio
  • Joomla Security Team Developer
    • Mostra profilo
Re: Come avere la massima sicurezza possibile...?
« Risposta #3 il: 15 Gen 2009, 01:25:53 »
diciamo che non ho apprezzato molto la tua risposta intrinseca di pubblicità a te stesso.

sarebbe stata molto + utile una esauriente spiegazione di tutti i sistemi che si possono usare su un hosting invece di farsi subito pubblicità.

Non e` affatto una questione legata prettamente alla pubblicita`, come ho detto e ri-detto, e ri-dico ora l`argomento e` molto vasto. Se si parla di sicurezza del CMS stesso, la discussione non esisterebbe, come gia` detto esiste un team di sviluppo ed un security team che quotidianamente fa auditing dei componenti nativi ed in caso di falle riscontrate rilascia le patch. Se parliamo di vulnerabilita` del demone che permette la visualizzazione del CMS, del linguaggio PHP in se,  di MySQL e della sicurezza delle password degli utenti e se vogliamo anche di social engeneering il discorso si allarga enormemente ed anche volendo non e` praticamente possibile dettare delle linee guida a 360° in un post del forum.

Se ti riferisci quindi alla security del CMS la risposta e` netta e logica, il team di sviluppo lavora costantemente alla sua crescita, quindi in modo teorico basterebbe seguire gli aggiornamenti rilasciati.


Se la domanda e` un`altra sono qui a disposizione.

So benissimo come si protegge un server etc ma la mia domanda riguardava SOLO la sicurezza relativa al cms...bastava rispondere dei permessi,htaccess,cambiare username di admin,usare pass non reversibili se joomla usa md5 etc...

Non ho risposto con questi argomenti perche` tutti presenti  all` interno dei file di documentazione di Joomla e del primo step di installazione, e cio` sta a presupporre che siano li per essere letti ed applicati :)


P.S. il riferimento ad aziende specializzate e` legato prettamente alla configurazione/debugging e auditing di componenti esterni a quelli core.

La professionalita` e la sicurezza di un prodotto dipende da un`infinita` di dettagli, inutile quindi dire che per un lavoro su piattaforme di alto Target il minimo che si possa fare, secondo la mia visione, e` rivolgersi a dei professionisti che analizzino nel dettaglio la situazione.

Non vederla come "pubblicita` o simile" e` un semplice dato di fatto, che ad oggi riceve sempre piu` riscontro, calcolando che le esigenze delle grandi societa` a volte virano su componenti poco raccomandabili e di dubbia fattura non contenuti all`interno dei pacchetti core (e quindi non certificati).

JSecure docet.
« Ultima modifica: 15 Gen 2009, 02:47:42 da emgent »
Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO  www.gerix.it

Offline g3n10z

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Re: Come avere la massima sicurezza possibile...?
« Risposta #4 il: 15 Gen 2009, 12:18:25 »
diciamo che io mi riferivo solo alla sicurezza del cms appunto e non lato server.
poi non ho in gestione il sito della nasa...ma cmq ho un fottio di visitatori e' l'azienda per cui lavoro potrebbe prenderla male se bucano il cms...se bucano l'hoster pace..se volevi qlc di + sicuro pagavi d + !

non ho ancora dato un okkiata ne a joomla ne a jsecure che chiaramento non facendo parte del progetto core come dici tu e' meno garantito...e cmq spero che al massimo sia inutile ma che cmq non aggiunga bug che renda il sistema + vulnerabile!!

Offline santograz

  • Abituale
  • ****
  • Post: 907
  • Sesso: Maschio
    • Mostra profilo
Re: Come avere la massima sicurezza possibile...?
« Risposta #5 il: 15 Gen 2009, 12:33:14 »
Ciao,
premetto che non sono un esperto di sicurezza, ma recentemente ho letto qualcosa :)

Innanzitutto un po' di buon senso: se non fai transazioni on line, inutile spendere soldi in sistemi sofisticati...
La difesa migliore per gli attacchi semplici ad un CMS, rimane un backup settimanale di database e codice.

Poi: cancellare i contenuti non usati, lasciare solo i template che si usano, lasciare il meno possibile le directory in "777".

Quello che mi fa paura di Joomla in generale e' il file configuration.php. In questo file c'e' la password in chiaro del database. Alla prima occasione provero'  spostarlo fuori da public_html, includendolo con un bel INCLUDE_ONCE...

Ma se hai meno di 100.000 visitatori al mese, e' difficile che ti attacchino...
Un esperto mi ha detto:"Per avere un sito web sicuro, installalo su di un server locale, poi spegnilo e stacca i cavi". Mi hanno rubato il computer.

Offline g3n10z

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Re: Come avere la massima sicurezza possibile...?
« Risposta #6 il: 15 Gen 2009, 14:58:52 »
si ma anche se non fai transazioni online e il sito ha grossa visibilita' xke offre un servizio pubblico diciamo che il commitente se ti cambiano la home si incazza come una iena!

ti assicuro che non servono 100.000 visitatori...gli spammer russi provano con qualsiasi sito basato su cms per avere un smtp gateway via php.

cmq i problemi sn altri...non il conf.php
problemi tipo sqlinjection etc...

Offline emgent

  • Team Joomla.it
  • Nuovo arrivato
  • *******
  • Post: 40
  • Sesso: Maschio
  • Joomla Security Team Developer
    • Mostra profilo
Re: Come avere la massima sicurezza possibile...?
« Risposta #7 il: 15 Gen 2009, 15:05:46 »
si ma anche se non fai transazioni online e il sito ha grossa visibilita' xke offre un servizio pubblico diciamo che il commitente se ti cambiano la home si incazza come una iena!

ti assicuro che non servono 100.000 visitatori...gli spammer russi provano con qualsiasi sito basato su cms per avere un smtp gateway via php.

cmq i problemi sn altri...non il conf.php
problemi tipo sqlinjection etc...

Condivido pienamente questa analisi, non e` necessario avere 100.000 visitatori, i target vengono spesso presi ad hoc in base a ben altri parametri.
Emanuele Gentili
Joomla Security Team
Gerix IT Security Solutions - CEO  www.gerix.it

 

Host

Torna su