• User Attivo

    @bsaett said:

    Il problema sembra risolto, quella direttiva non si può cambiare.
    Joomla rimarrà insicuro purtroppo.
    ciao,
    allora come si fa a renderlo più sicuro possibile?


  • User Attivo

    salve,
    la scarsa sicurezza non è cosa da poco. Ancora il sito ha pochi articoli. Mi conviene cambiare CMS? almeno che non ci sia un modo per rendere joomla abbastanza sicuro


  • Super User

    Non ti conviene cambiare CMS, Joomla è uno dei più sicuri, ma per mantenerlo sicuro devi risolvere i warning del pannello di controllo, il register globals e l'RG emulation, che devono essere settati a OFF.


  • User Attivo

    @bsaett said:

    Non ti conviene cambiare CMS, Joomla è uno dei più sicuri, ma per mantenerlo sicuro devi risolvere i warning del pannello di controllo, il register globals e l'RG emulation, che devono essere settati a OFF.
    RG emulation l'ho sistemato
    register globals rimane un punto interrogativo

    provo questo

    io avevo il file htaccess, poi il gentilissimo GloboGsm mi ha mandato un file .htaccess e l'ho messo via ftp. Ho comunque lasciato il preesistente htacess pensando che desse fastidio

    adesso dovrei inserire
    php_flag register_globals off
    alla fine del file .htaccess mandatomi da GloboGsm
    possibile soluzione?


  • Super User

    Mi pareva di aver capito che il tuo provider ti aveva detto che il register globals non può essere modificato ! :mmm:

    Comunque .htaccess deve essere così:

    php_value register_globals 0

    @version $Id: htaccess.txt 1570 2005-12-29 05:53:33Z eddieajau $

    @package Joomla

    @copyright Copyright (C) 2005 Open Source Matters. All rights reserved.

    @license http://www.gnu.org/copyleft/gpl.html GNU/GPL

    Joomla! is Free Software

    mod_rewrite in use

    RewriteEngine On

    NOTE!

    When using multiple Joomla sites or other web applications in sub-folders,

    you must explicitly turn the RewriteEngine off or use the settings

    recommended for the application

    Uncomment following line if your webserver's URL

    is not directly related to physical file paths.

    Update YourJoomlaDirectory (just / for root)

    RewriteBase /

    Rules

    RewriteCond %{REQUEST_FILENAME} !.(jpg|jpeg|gif|png|css|js|pl|txt)$
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule ^(.*) index.php
    ########## Begin - Rewrite rules to block out some common exploits

    If you experience problems on your site block out the operations listed below

    This attempts to block the most common type of exploit attempts to Joomla!

    Block out any script trying to set a mosConfig value through the URL

    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D)

    Block out any script trying to base64_encode crap to send via URL

    RewriteCond %{QUERY_STRING} base64_encode.(.)

    Block out any script that includes a <script> tag in URL

    RewriteCond %{QUERY_STRING} (<|%3C).script.(>|%3E) [NC,OR]

    Block out any script trying to set a PHP GLOBALS variable via URL

    RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2})

    Block out any script trying to modify a _REQUEST variable via URL

    RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})

    Send all blocked request to homepage with 403 Forbidden error!

    RewriteRule ^(.*)$ index.php [F,L]

    ########## End - Rewrite rules to block out some common exploits

    La prima riga sovrascrive la direttiva register globals. Questo è però possibile solo se il provider lo consente.
    La riga può differire da provider a provider. Ad esempio:

    php_value register_globals off

    php_value register_globals = off

    php_value register_globals = 0

    L'alternativa che indichi tu col link non la avevo mai vista, comunque puoi anche provare quella. Ma ripeto, è l'assistenza del tuo provider che ti deve indicare la corretta sintassi della direttiva e se sia possibile attivarla o meno.

    Allora crea un file htaccess.txt con i comandi sopra indicati, lo carichi via FTP e poi lo rinomini in .htaccess.
    All'inizio prova solo la prima riga perchè anche le successive potrebbero differire.


  • User Attivo

    @bsaett said:

    Mi pareva di aver capito che il tuo provider ti aveva detto che il register globals non può essere modificato ! :mmm:

    è così ma voglio vedere se trovo una soluzione ma se dici che se il provider dice che non si può e non c'è via d'uscita allora ci rinuncio
    il fatto è che non mi piace avere un sito poco sicuro


  • Super User

    Infatti, non è il massimo. Ogni tanto sento di siti hackerati. Joomla è difficile da attaccare, con quella direttiva a ON diventa più facile.

    Però mi pare strano. Tu hai Aruba linux o sbaglio ? Credevo che lì fosse abilitata quella modifica. O forse ci sono piani di hosting diversi ?


  • User Attivo

    @bsaett said:

    Infatti, non è il massimo. Ogni tanto sento di siti hackerati. Joomla è difficile da attaccare, con quella direttiva a ON diventa più facile.

    Però mi pare strano. Tu hai Aruba linux o sbaglio ? Credevo che lì fosse abilitata quella modifica. O forse ci sono piani di hosting diversi ?
    si, aruba linux..mannaggia a sta cosa
    nel forum di joomla.org ho letto qualche post di qualcuno che ha subito attacchi


  • Super User

    Bè anche Joomla.org è stato hackerato, ma non per colpa del core di Joomla, ma proprio per l' htaccess non attivo.

    Annuncio su Joomla.org
    http://forum.joomla.org/index.php/topic,203290.0.htmlimage

    Riassumendo:

    • Non si tratta di una vulnerabilità del core di Joomla, ma di un componente MAI distribuito, anche se la vulnerabilità è presente in altri componenti.
    • Un sistema per coprire quella vulnerabilità è di porre a off il register_globals emulation.

  • Super User

    Ricordiamoci che l'impostazione a off lo rende più sicuro ma non Sicuro.
    Nel senso che una volta settato a off non lo rende inattaccabile. E' meglio porre il resister_globals a off ma questo non vuol dire che non dobbiamo preoccuparci.
    Anche a me Aruba ha risposto allo stesso modo.:(
    🙂