Toscana Joomla Party - Proteggiamo il  nostro sito Joomla!
Upcoming SlideShare
Loading in...5
×
 

Toscana Joomla Party - Proteggiamo il nostro sito Joomla!

on

  • 14,978 views

Talk tenuto da Paolo Nuti di Joomlaspace.it nel corso del Toscana Joomla Party a Lucca il 27 settembre 2008

Talk tenuto da Paolo Nuti di Joomlaspace.it nel corso del Toscana Joomla Party a Lucca il 27 settembre 2008

Statistics

Views

Total Views
14,978
Views on SlideShare
6,825
Embed Views
8,153

Actions

Likes
1
Downloads
46
Comments
0

12 Embeds 8,153

http://help.joomlaitalia.com 7777
http://blog.joomlaspace.it 209
http://translate.googleusercontent.com 137
http://www.help.joomlaitalia.com 12
http://www.gianlucabrazzi.net 6
http://www.slideshare.net 4
http://static.slideshare.net 2
http://gianlux.freehostingcloud.com 2
file:// 1
http://64.233.183.101 1
http://wildfire.gigya.com 1
http://webcache.googleusercontent.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Toscana Joomla Party - Proteggiamo il  nostro sito Joomla! Toscana Joomla Party - Proteggiamo il nostro sito Joomla! Presentation Transcript

  • Proteggiamo il nostro sito Joomla! Toscana Joomla Party Lucca - 27 Settembre 2008
  • Joomla! è sicuro?
    • In campo informatico non si può parlare di 100% di sicurezza: non esistono software assolutamente sicuri, ma software più o meno sicuri;
    • Le recenti falle di sicurezza di Joomla! Hanno probabilmente diffuso la convinzione che non sia un CMS sicuro;
    • - In realtà, Joomla!, essendo un prodotto open source, ha un grande punto di forza: un ampio numero di persone che, leggendo e analizzando il suo codice, può individuare bugs, che quindi verranno corretti quanto prima:
    • Dalla scoperta della falla in Joomla! 1.5.6 al rilascio della patch di sicurezza sono passate solo poche ore !
    • I problemi maggiori non riguardano quindi il core di Joomla! (a patto ovviamente di tenerlo sempre aggiornato ), bensì dalle estensioni di terze parti : Joomla! Può contare su un grandissimo numero di estensioni (3756
    • su extensions.joomla.org !!! )
  • Joomla! è sicuro? Codice scritto male o non aggiornato = Problemi di sicurezza espandono in modo considerevole le funzionalità di Joomla! Grande numero di estensioni
  • Joomla! è sicuro?
    • Le regole base :
    • Aggiornare la versione di Joomla!
    • Aggiornare le estensioni di terze parti
    • Non utilizzare il proprio spazio web come un raccoglitore: Nella cartella pubblica del nostro account dovrebbero stare solo i file e le cartelle di Joomla! E nient’altro!
  • Conoscere Joomla!
  • NON lasciare nella public_html :
    • Vecchi backup contenenti versioni di Joomla! non aggiornate
    • File .sql contenenti dump del database, file .zip
    • cartella installation ( non basta rinominarla !)
    • File contenenti phpinfo();
    • forniscono una grande quantità di informazioni sulla configurazione del nostro web server
  • Hosting condiviso = condominio
    • Sottovalutare la sicurezza del proprio sito provoca danni non solo al proprio account ma anche a tutti gli altri residenti sul nostro stesso server
  • Top 10 Stupidest Administrator Tricks Le 10 cose più stupide che può fare l’amministratore di un sito Joomla!
    • Scegliere l’hosting provider piu’ economico che si riesce a trovare
    • Preferibilmente con migliaia di siti su ogni server, molti dei quali con traffico elevatissimo (magari siti porno!!)
    • Non controllare la lista degli hosting provider presenti su Joomla.org
    10. L’hosting Invece si dovrebbe…
  • 10. L’hosting
    • Controllare la lista degli hosting provider su Joomla.org: tutti i nomi sulla lista rispettano i requisiti di sicurezza richiesti da Joomla!
    • http://help.joomlaitalia.com/Guide/Tutorial/Impostare-un-hosting-per-Joomla.html
    • Scegliere provider con server aggiornati
    • Appello di Brad Baker (DevTeam Joomla.org) ai provider:
    • 1. PHP 5
    • 2. register_globals OFF
    • 3. modulo suPHP
    • Scopriamo perché..
    • PHP 5: PHP 4 ha terminato il suo ciclo di sviluppo e non verrà più supportato. Non verranno più quindi rilasciati aggiornamenti, nemmeno di sicurezza. E' sconsigliato utilizzare Joomla su server con ancora PHP 4.
    • Register_globals OFF: se su ON lato server (anche se si disabilita lato uente attraverso una direttiva nel php.ini o nell ’.htaccess ), in certe situazioni il proprio sito può essere compromesso se un altro account sullo stesso server è compromesso o utilizzato in modo malevolo. Inoltre dalla versione 4.2 di PHP è settato di default su OFF
    • Modulo suPHP : con PHP funzionante come modulo di Apache, gli script vengono eseguiti con lo user del server ( nobody, httpd o apache); con PHP eseguito come CGI, invece, il proprietario del file è lo user relativo all’account. Cosa significa questo?
    • Con PHP che gira sotto Apache, chiunque sul server potrà leggere e scrivere i file (che saranno settati a 777), con i conseguenti problemi di sicurezza immaginabili; con PHP eseguito come CGI, invece, i file risulteranno essere scrivibili solo da quell’user , e non da altri user presenti sullo stesso server. I permessi massimi applicabili saranno adesso 755 e mettere file a 777 genererà un “500 Internal Server Error”
    • Permessi consigliati : 755 per le cartelle
    • 644 per i files
    10. L’hosting
  • 9. I backup
    • Non perdere tempo ad effettuare backup regolari
    • Se succede qualche cosa probabilmente il tuo provider ti aiuterà
    Invece si dovrebbe…
  • 9. I backup
    • Effettuare regolari e frequenti backup
    • In particolare prima di effettuare aggiornamenti è sempre buona norma avere un backup completo di sito e database da utilizzare in caso di disastri
  • 8. Le misure di sicurezza
    • Non perdere tempo a configurare PHP e le impostazioni di Joomla per incrementare la sicurezza del proprio sito
    • Preoccuparsi di questi dettagli solo nel caso in cui succeda qualcosa
    Invece si dovrebbe…
    • Alcuni esempi: nel file .htaccess è possibile:
    • proteggere alcune cartelle sensibili (es. administrator) tramite password
    • Restringere l’accesso alle cartelle sensibili attraverso gli indirizzi IP
    • Bloccare le libwww-perl:
    • RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/[0-9].[0-9]* RewriteRule ^.*$ http://127.0.0.1 [R,L]
    8. Le misure di sicurezza
  • 7. I dati di accesso
    • Usa gli stessi username e password per ogni cosa
    • Usa gli stessi dati di accesso per il tuo sito Joomla!, il tuo account bancario, la tua casella di posta..
    • Chi ha voglia di memorizzare tutte queste password? Molto meglio utilizzare sempre la stessa!
    Invece si dovrebbe…
    • Utilizzare dati di accesso diversi da quelli di altri nostri account
    • Cambiare lo username di default di Joomla! Da admin a qualcosa di più complesso
    • Utilizzare password alfanumeriche, con simboli, di almeno di 8 caratteri.
    • Evitare:
    • Parole di senso compiuto
    • Nomi di familiari o animali domestici 
    7. I dati di accesso
  • 6. La manutenzione del sito
    • Pubblicare il nostro nuovo, fantastico sito targato Joomla! E festeggiare un lavoro ben fatto!
    • Non è necessario prendersi cura del sito finito.. Dopotutto, se non si fanno dei cambiamenti, cosa mai potrebbe succedere?
    Invece si dovrebbe…
    • Controllare se sono uscite nuove versioni di Joomla !:
    • http://www.joomla.org/
    • http://feeds.joomla.org/JoomlaSecurityNews
    • Controllare sui siti degli sviluppatori se sono uscite nuove versioni delle nostre estensioni installate
    • Controllare che non siano state scoperte vulnerabilità nelle estensioni installate: nel caso rimuoverle o installare le opportune patch:
    • http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/
    • Rimuovere tutte le estensioni inutilizzate e controllare che tutti i file e le cartelle ad esse correlate siano stati rimossi completamente dagli script di disinstallazione. Spesso, infatti, durante il processo di disinstallazione, è possibile che molte estensioni di terze parti lascino file e cartelle, o tabelle nel database. Ogni file lasciato sul server resta accessibile da web attaverso richiamo diretto dall’URL: http://tuodominio.com/modules/bad_module .
    6. La manutenzione del sito
  • 5. Sito di test e sito di produzione
    • Effettuare aggiornamenti e modifiche direttamente sul sito di produzione
    • Chi necessita di un sito di test e sviluppo? Se un’installazione non va a buon fine, basta disinstallare..
    • Così si annullerà qualsiasi danno provocato da un’installazione errata
    Invece si dovrebbe…
    • Testare nuove estensioni (soprattutto sconosciute o che impattano sul core di Joomla!) su un sito di prova prima di installarle su un sito di produzione. Controllare i log per verificare eventuali errori e warning
    • Se si effettua un’operazione delicata come ad es. una migrazione a Joomla 1.5.x effettuarla prima in una sottocartella
    • Ricordare sempre: prevenire è meglio che curare!
    5. Sito di test e sito di produzione
  • 4. Estensioni di terze parti
    • Installare tutte le estensioni che riusciamo a trovare e che ci attirano.
    • Chiunque sia in grado di sviluppare un’estensione per Joomla!, sicuramente scriverà un codice perfetto, in grado di bloccare qualunque tipo di attacco.. Dopotutto queste estensioni sono rilasciate da brave persone che sanno quello che stanno facendo..
    Invece si dovrebbe…
    • Installare il numero minimo di estensioni necessario per i nostri scopi
    • Utilizzare estensioni conosciute e affidabili
    • Effettuare prima dei test su un sito non in produzione
    4. Estensioni di terze parti
  • 3. Aggiornamento
    • Non preoccuparsi di aggiornare il proprio sito Joomla!
    • Finora è andato tutto bene.. Perché preoccuparsi? La stessa cosa vale per le estensioni di terze parti.. Troppo lavoro.. Meglio andare al mare!!
    Invece si dovrebbe…
    • Controllare costantemente gli aggiornamenti di Joomla! Su www.joomla.org o sottoscrivendo i feed sulla sicurezza: http:// feeds.joomla.org / JoomlaSecurityNews -
    • Controllare gli aggiornamenti alle estensioni sui siti dei produttori
    3. Aggiornamento
  • 2. L’attacco
    • Se il tuo sito viene hackerato precipitarsi sui forum di Joomla! In preda al panico
    • Aprire un topic dal titolo: “Aiuto! Sono stato hackerato!” Assicurandosi di non fornire informazioni fondamentali come la versione di Joomla utilizzata e la lista delle estensioni installate
    Invece si dovrebbe…
    • Essere il più dettagliati e precisi possibile;
    • Specificare se si sta utilizzando una versione di Joomla! non aggiornata ;
    • Fornire una lista completa delle estensioni installate specificando la relativa versione
    2. L’attacco
  • 1. Il ripristino del sito
    • Sistemare i file corrotti e pensare che sia tutto a posto
    • Non controllare i log , non cambiare la password, non ripristinare un backup integro.. E infine.. Quando si verrà attaccati nuovamente.. Dare la colpa a Joomla!
    Invece si dovrebbe…
    • Ricordare che la rimozione e pulizia dei file corrotti è solo il primo passo del lungo processo di ripristino di un sito hackerato
    1. Il ripristino del sito
  • Riferimenti utili
    • RSS di Joomla.org con aggiornamenti sulla sicurezza
    • http://feeds.joomla.org/JoomlaSecurityNews
    • Security Announcements Forum di Joomla.org http:// forum.joomla.org / viewforum.php ?f=372
    • Vulnerable extensions list di Joomla.org
    • http ://help.joomla.org/co mponent/option,com_easyfaq/task,view/id,186/Itemid,268/
    Riferimenti utili
  • Sitografia
    • http://docs.joomla.org
    • http://community.joomla.org/core-team-blog/62-blog/467-hosting-providers-isnt-it-time.html
    • http://www.joomlatutorials.com/
    • http://help.joomlaitalia.com