Toscana Joomla Party - Proteggiamo il nostro sito Joomla!

download Toscana Joomla Party - Proteggiamo il  nostro sito Joomla!

of 32

  • date post

    13-Dec-2014
  • Category

    Technology

  • view

    15.057
  • download

    0

Embed Size (px)

description

Talk tenuto da Paolo Nuti di Joomlaspace.it nel corso del Toscana Joomla Party a Lucca il 27 settembre 2008

Transcript of Toscana Joomla Party - Proteggiamo il nostro sito Joomla!

  • 1. Proteggiamo il nostro sito Joomla! Toscana Joomla Party Lucca - 27 Settembre 2008
  • 2. Joomla! sicuro?
    • In campo informatico non si pu parlare di 100% di sicurezza: non esistono software assolutamente sicuri, ma software pi o meno sicuri;
    • Le recenti falle di sicurezza di Joomla! Hanno probabilmente diffuso la convinzione che non sia un CMS sicuro;
    • - In realt, Joomla!, essendo un prodotto open source, ha un grande punto di forza: un ampio numero di persone che, leggendo e analizzando il suo codice, pu individuare bugs, che quindi verranno corretti quanto prima:
    • Dalla scoperta della falla in Joomla! 1.5.6 al rilascio della patch di sicurezza sono passate solo poche ore !
    • I problemi maggiori non riguardano quindi il core di Joomla! (a patto ovviamente di tenerlo sempre aggiornato ), bens dalle estensioni di terze parti : Joomla! Pu contare su un grandissimo numero di estensioni (3756
    • su extensions.joomla.org !!! )
  • 3. Joomla! sicuro? Codice scritto male o non aggiornato = Problemi di sicurezza espandono in modo considerevole le funzionalit di Joomla! Grande numero di estensioni
  • 4. Joomla! sicuro?
    • Le regole base :
    • Aggiornare la versione di Joomla!
    • Aggiornare le estensioni di terze parti
    • Non utilizzare il proprio spazio web come un raccoglitore: Nella cartella pubblica del nostro account dovrebbero stare solo i file e le cartelle di Joomla! E nientaltro!
  • 5. Conoscere Joomla!
  • 6. NON lasciare nella public_html :
    • Vecchi backup contenenti versioni di Joomla! non aggiornate
    • File .sql contenenti dump del database, file .zip
    • cartella installation ( non basta rinominarla !)
    • File contenenti phpinfo();
    • forniscono una grande quantit di informazioni sulla configurazione del nostro web server
  • 7. Hosting condiviso = condominio
    • Sottovalutare la sicurezza del proprio sito provoca danni non solo al proprio account ma anche a tutti gli altri residenti sul nostro stesso server
  • 8. Top 10 Stupidest Administrator Tricks Le 10 cose pi stupide che pu fare lamministratore di un sito Joomla!
  • 9.
    • Scegliere lhosting provider piu economico che si riesce a trovare
    • Preferibilmente con migliaia di siti su ogni server, molti dei quali con traffico elevatissimo (magari siti porno!!)
    • Non controllare la lista degli hosting provider presenti su Joomla.org
    10. Lhosting Invece si dovrebbe
  • 10. 10. Lhosting
    • Controllare la lista degli hosting provider su Joomla.org: tutti i nomi sulla lista rispettano i requisiti di sicurezza richiesti da Joomla!
    • http://help.joomlaitalia.com/Guide/Tutorial/Impostare-un-hosting-per-Joomla.html
    • Scegliere provider con server aggiornati
    • Appello di Brad Baker (DevTeam Joomla.org) ai provider:
    • 1. PHP 5
    • 2. register_globals OFF
    • 3. modulo suPHP
    • Scopriamo perch..
  • 11.
    • PHP 5: PHP 4 ha terminato il suo ciclo di sviluppo e non verr pi supportato. Non verranno pi quindi rilasciati aggiornamenti, nemmeno di sicurezza. E' sconsigliato utilizzare Joomla su server con ancora PHP 4.
    • Register_globals OFF: se su ON lato server (anche se si disabilita lato uente attraverso una direttiva nel php.ini o nell .htaccess ), in certe situazioni il proprio sito pu essere compromesso se un altro account sullo stesso server compromesso o utilizzato in modo malevolo. Inoltre dalla versione 4.2 di PHP settato di default su OFF
    • Modulo suPHP : con PHP funzionante come modulo di Apache, gli script vengono eseguiti con lo user del server ( nobody, httpd o apache); con PHP eseguito come CGI, invece, il proprietario del file lo user relativo allaccount. Cosa significa questo?
    • Con PHP che gira sotto Apache, chiunque sul server potr leggere e scrivere i file (che saranno settati a 777), con i conseguenti problemi di sicurezza immaginabili; con PHP eseguito come CGI, invece, i file risulteranno essere scrivibili solo da quelluser , e non da altri user presenti sullo stesso server. I permessi massimi applicabili saranno adesso 755 e mettere file a 777 generer un 500 Internal Server Error
    • Permessi consigliati : 755 per le cartelle
    • 644 per i files
    10. Lhosting
  • 12. 9. I backup
    • Non perdere tempo ad effettuare backup regolari
    • Se succede qualche cosa probabilmente il tuo provider ti aiuter
    Invece si dovrebbe
  • 13. 9. I backup
    • Effettuare regolari e frequenti backup
    • In particolare prima di effettuare aggiornamenti sempre buona norma avere un backup completo di sito e database da utilizzare in caso di disastri
  • 14. 8. Le misure di sicurezza
    • Non perdere tempo a configurare PHP e le impostazioni di Joomla per incrementare la sicurezza del proprio sito
    • Preoccuparsi di questi dettagli solo nel caso in cui succeda qualcosa
    Invece si dovrebbe
  • 15.
    • Alcuni esempi: nel file .htaccess possibile:
    • proteggere alcune cartelle sensibili (es. administrator) tramite password
    • Restringere laccesso alle cartelle sensibili attraverso gli indirizzi IP
    • Bloccare le libwww-perl:
    • RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]* RewriteRule ^.*$ http://127.0.0.1 [R,L]
    8. Le misure di sicurezza
  • 16. 7. I dati di accesso
    • Usa gli stessi username e password per ogni cosa
    • Usa gli stessi dati di accesso per il tuo sito Joomla!, il tuo account bancario, la tua casella di posta..
    • Chi ha voglia di memorizzare tutte queste password? Molto meglio utilizzare sempre la stessa!
    Invece si dovrebbe
  • 17.
    • Utilizzare dati di accesso diversi da quelli di altri nostri account
    • Cambiare lo username di default di Joomla! Da admin a qualcosa di pi complesso
    • Utilizzare password alfanumeriche, con simboli, di almeno di 8 caratteri.
    • Evitare:
    • Parole di senso compiuto
    • Nomi di familiari o animali domestici
    7. I dati di accesso
  • 18. 6. La manutenzione del sito
    • Pubblicare il nostro nuovo, fantastico sito targato Joomla! E festeggiare un lavoro ben fatto!
    • Non necessario prendersi cura del sito finito.. Dopotutto, se non si fanno dei cambiamenti, cosa mai potrebbe succedere?
    Invece si dovrebbe
  • 19.
    • Controllare se sono uscite nuove versioni di Joomla !:
    • http://www.joomla.org/
    • http://feeds.joomla.org/JoomlaSecurityNews
    • Controllare sui siti degli sviluppatori se sono uscite nuove versioni delle nostre estensioni installate
    • Controllare che non siano state scoperte vulnerabilit nelle estensioni installate: nel caso rimuoverle o installare le opportune patch:
    • http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/I