Mar 312016
 

Può capitare di non visualizzare una pagina su internet correttamente perchè abbiamo memorizzato nella cache porzioni del sito che nel frattempo dal proprietario/webmaster dello stesso sito sono state aggiornate e che quindi quanto registrato nella memoria cache non corrisponda più.

Per risolvere questo problema è possibile eliminare completamente i contenuti della cache per ogni programma per la navigazone (anche chiamata browser) come ad esempio (per citarne alcuni), mozilla firefox, internet explorer, google chrome, safari, che sono i più utilizzati attualmente, ne esistono molti altri ancora come Opera, Netscape per citarne alcuni.

Per cancellare la cache su Mozilla Firefox:

 

  • Fare clic sul pulsante dei menu New Fx Menu e selezionare Opzioni.

  • Selezionare il pannello Avanzate.
  • Fare clic sulla scheda Rete.
  • Nella sezione Contenuti web in cache fare clic sul pulsante Cancella adesso.
    clear_cache_fx42_1
  • Chiudere la pagina about:preferences. Le eventuali modifiche apportate verranno salvate automaticamente.

Per automaticamente cancellare la cache di Mozilla Firefox:

Cancellazione automatica

Di seguito è spiegata la procedura per far sì che la cache di Firefox venga cancellata automaticamente alla chiusura di Firefox:

  1. Fare clic sul pulsante dei menu New Fx Menu e selezionare Opzioni.

  2. Selezionare il pannello Privacy.
  3. Nella sezione Cronologia alla voce Impostazioni cronologia, scegliere l’opzione utilizza impostazioni personalizzate.
  4. Selezionare la casella Cancella la cronologia alla chiusura di Firefox.
    clear_cache_fx42_2_1
  5. Accanto alla casella Cancella la cronologia alla chiusura di Firefox, fare clic sul pulsante Impostazioni…. Si aprirà la finestra di dialogo delle impostazioni per la cancellazione della cronologia.
  6. Nella finestra Impostazioni per la cancellazione della cronologia, selezionare la voce Cache.
    clear_cache_fx42_3_1
  7. Fare clic su OK per chiudere la finestra Impostazioni per la cancellazione della cronologia.
  8. Chiudere la pagina about:preferences. Le eventuali modifiche apportate verranno salvate automaticamente.

Suggerimento: esistono diversi componenti aggiuntivi che consentono di effettuare la pulizia della cache tramite un pulsante da aggiungere alla Barra degli strumenti. Visitare la pagina dei componenti aggiuntivi di Mozilla ed effettuare una ricerca.

Visualizzare o eliminare la cronologia del browser in Microsoft Edge

La cronologia esplorazioni, che include le info inserite nei moduli, le password e i siti visitati, viene conservata da Microsoft Edge e archiviata nel PC man mano che esplori il Web.

Per visualizzare la cronologia esplorazioni, seleziona Hub > Cronologia.

Per eliminarla:

  1. Seleziona Cancella tutta la cronologia.

  2. Scegli i tipi di dati o di file che vuoi rimuovere dal PC e quindi seleziona Cancella.

Elementi rimossi quando si elimina la cronologia delle esplorazioni

Tipi di info Elementi rimossi

Cronologia esplorazioni

L’elenco dei siti visitati, inclusi i siti visitati di frequente.

Cookie e dati di siti Web salvati

Info archiviate dai siti nel PC per memorizzare le tue preferenze, ad esempio le info di accesso o la posizione.

Dati e file archiviati nella cache

Copie di pagine, immagini e altri contenuti multimediali archiviati nel PC. Il browser usa queste copie per caricare i contenuti più velocemente alle successive visite ai siti.

Cronologia download

Elenco dei file scaricati dal Web. Viene eliminato solo l’elenco, non i file che hai scaricato.

Dati dei moduli

Info immesse nei moduli, come l’indirizzo e-mail o un indirizzo di spedizione.

Password

Password che hai salvato per i siti.

Licenze per contenuti multimediali

Licenze per contenuto di PlayReady/Digital Rights Management.

Eccezioni popup

Un elenco dei siti Web per i quali hai consentito in modo esplicito la visualizzazione dei popup.

Autorizzazioni posizione

Un elenco dei siti Web per i quali hai consentito in modo esplicito il rilevamento della posizione.

Autorizzazioni schermo intero

Un elenco dei siti Web per i quali hai consentito in modo esplicito l’apertura automatica in modalità a schermo intero.

Autorizzazioni di compatibilità

Un elenco dei siti Web per i quali hai consentito in modo esplicito l’apertura automatica in Internet Explorer.

In maniera analoga sui browser più datati come internet explorer è sufficiente cliccare sull’icona dell’ingranaggio (es: IE 10,11) e Strumenti (Opzioni Internet o Sicurezza), Cronologia esplorazioni in IE e selezionare la cache o altri dati secondo quanto si desidera cancellare della cronologia di navigazione.

Svuotamento della cache ed eliminazione della cronologia su Google Chrome:

Eliminazione di tutti i dati di navigazione

  1. Apri Chrome.
  2. Fai clic sul Menu Chrome Menu in alto a destra.
  3. Fai clic su Altri strumenti > Cancella dati di navigazione.
  4. Nella finestra di dialogo che viene visualizzata, seleziona le caselle di controllo relative ai tipi di informazioni che desideri rimuovere.
  5. Utilizza il menu in alto per selezionare la quantità di dati che desideri eliminare. Seleziona tutto per eliminare tutti i dati.
  6. Fai clic su Cancella dati di navigazione.

Eliminazione di elementi specifici dai dati di navigazione

Anziché eliminare intere categorie di dati di navigazione, puoi selezionare elementi specifici da eliminare. Fai clic sui link che seguono per visualizzare altre istruzioni.

Safari 8 (Yosemite): Cancellare la cronologia di navigazione

Scegli Cronologia > Cancella cronologia e dati dei siti web, quindi fai clic sul menu a comparsa e scegli da quale momento desideri che la cronologia venga cancellata.

Quando cancelli la cronologia, Safari rimuove i dati salvati come risultato della tua navigazione, inclusi:

  • La cronologia della pagine web visitate

  • L’elenco avanti/indietro per le pagine web aperte

  • Top Sites non contrassegnati come permanenti

  • Elenco dei siti visitati più spesso

  • Cookie e dati dei siti web salvati mentre visiti le pagine web

  • Ricerche recenti

  • Icone per le pagine web aperte

  • Istantanee salvate per le pagine web aperte

  • Elenco degli elementi scaricati (i file scaricati non vengono rimossi)

  • Siti web aggiunti alla ricerca rapida di siti web

  • Siti web che ti hanno chiesto di utilizzare la tua posizione geografica

  • Siti web che ti hanno chiesto di inviarti notifiche

  • Siti web con contenuti plugin avviati facendo clic su un avviso “Risparmio energia di Safari”

  • Risposte a richieste per consentire ai siti web di utilizzare WebGL

Con tutti gli altri browser le operazioni sono analoghe a quelle descritte in questo documento e solitamente si trovano in Strumenti/impostazioni > cronologia/privacy e quindi procedere alla cancellazione della cronologia (anche chiamata cache del browser) dove di fatto vengono memorizzati i dati (anche obsoleti) di una pagina web che abbiamo nel passato già visitato e che a volte può interrompere o impedire la navigazione corretta di un sito web.

Gen 222015
 

In questo argomento desidero darvi delle delucidazioni in merito a fenomeni che a volte possono capitare quando un service provider di servizi ADSL o via Cavo non hanno aggiornato o non sanno risolvere determinati nomi a dominio o indirzzo IP.

Vi è mai capitato di digitare www.vostrodominio.com e non riuscire a vedere la pagina?

Bene, anzi male! Questo può capitare per due ragioni principalemente:

  1. il server su cui è ospitata la pagina web ha messo nella blacklist il vostro indirizzo ip oppure è stato cancellato il vostro servizio presso il vostro fornitore di hosting web
  2. Il nameserver del vostro fornitore ADSL/Via Cavo non riesce a risolvere il nome di dominio che avete digitato alla barra d’indirizzo del vostro browser (es: firefox oppure internet explorer).

Cosa fare in questi casi?

Per diagnosticare il problema, potreste utilizzare uno strumento online che vi permette di verificare se il servizio è presente in tutto il mondo, per fare questo potreste usare questo strumento:

https://www.super-ping.com ed inserire il vostro ip, che potete vedere o avere digitando: https://ip.4host.ch (anche chiamato ip pubblico)

se il vostro dominio riesce ad essere pingato da molte postazioni significa che il problema riguarda unicamente il vostro ip in quanto dal resto del mondo è raggiungibile.

Ora per sapere se il vostro ip è stato blacklistato, potreste verificarlo visitando:

Alcuni Hosting provider potrebbero impedire la navigazione sui loro server se il vostro ip è blacklistato (non nel caso di 4host.ch oppure hostingedominio.com).

Può capitare che non siete in nessuna blacklist e nemmeno blacklistati dal vostro provider hosting, quindi perchè non riuscite a vedere il vostro/altri URL che dovreste comunque poter vedere/raggiungere ma in qualche modo dalla vostra postazione non siete in grado ?

Può capitare di utilizzare dei nameserver poco affidabili o in fase di aggiornamento e questi nameserver sono utilizzati per risolvere dalla vostra postazione (computer, laptop, smartphone ecc..) i nomi a dominio in indirizzo ip (che serve quando digitate nel browser un dominio a raggiungere il corretto server che ospita le vostre email, pagine web ecc…).

Infatti a volte (per fortuna non spesso) i service provider possono subire attacchi informatici oppure possono avere un carico sui loro nameserver eccessivo o che per una manutenzione sono stati appena riavviati e quindi possono non aver completato la raccolta dati di tutti i nomi a dominio presenti nel mondo (la coppia: nome di dominio > ip della macchina che ospita un sito o email o applicativi ecc…) e quindi utilizzando nameserver poco affidabili potrebbe darvi risultati ambigui come il non poter raggiungere un nome di dominio o sito web in quanto per varie ragioni non riesce a risolverlo col risultato di vedere una pagina bianca.

Per ovviare a questo inconveniente è possibile usare dei nameserver pubblici e dove questi nameserver hanno performance superiori e più affidabili in merito alla risoluzione dei nomi a dominio in indirizzi ip.

Di conseguenza non avrete più il problema di digitare il nome di un sito sul vostro browser e di non riuscire a raggiungerlo a causa di un problema di questi nameserver.

Cosa fare quindi?

Semplice, è possibile inserire uno di questi nameserver pubblici che hanno performance elevate e che hanno un affidabilità elevata, inoltre è possibile inserirne anche fino a 4,6,8 nameserver così da garantirvi la risoluzione del nome anche se dovessero cadere 7 nameserver tutti assieme (evento quasi impossibile).

Innanzitutto vi elenco i nameserver quasi (de facto) nel senso che sono davvero estremamente affidabili:

8.8.8.8 > dns primario di google (attualmente lo sconsigliamo in quanto preso d’assalto e rischia di essere degradato)

8.8.4.4 > dns secondario di google (attualmente lo sconsigliamo in quanto preso d’assalto e rischia di essere degradato)

198.153.192.40 > dns primario di norton (discreto/buono)

198.153.194.40 > dns secondario di norton (discreto/buono)

208.67.222.222 > dns primario di Open DNS (ottimo)

208.67.200.200 > dns secondario di Open DNS (ottimo)

Ora vi chiederete: Dove immetto questi dati sui miei dispositivi?

Bene allora per windows 8.x procedete come di seguito:

  1. Accedere a (utenti Windows 8: Windows + X) Pannello di Controllo.
  2. Abilitate Visualizza per Icone Grandi
  3. Entrate nella sezione Centro Connessioni di rete e condivisione
  4. Spostatevi con il cursore nella barra laterale e cliccate sopra Modifica Impostazioni Scheda.
  5. Fate un doppio clic sopra Ethernet
  6. Cliccate all’interno di Stato di Ethernet il pulsante Proprietà.
  7. Sfogliate l’elenco verso il basso, cliccate due volte sopra l’elemento “Protocollo Internet versione 4″
  8. Date il segno di spunta a “Utilizza i seguenti server DNS” e digitate il vostro DNS Primario e DNS Secondario.

nello stesso modo è possibile farlo anche su windows sette solamente come primo punto aprite il pannello di controllo da Start e seguite la stessa procedura di qua sopra.

Infine premendo su avanzato dopo il punto nr 8. è possibile aggiungere altri 2 o 4 nameserver e quindi inserire tutto l’elenco appena mostrato qua sopra di nameserver proprio perchè se dovessero cadere fino a 4 nameserver (anche se rarissimo) potrete comunque risolvere i nomi a dominio con gli altri due rimanenti.

Per il mac è possibile procedere in questo modo:

Aprire le Preferenze di Sistema > Rete (Network)

Scegliere la connessione e impostare i Namerserver

Così facendo vi garantirete l’operabilità online (la risoluzione dei nomi a dominio in indirizzi ip) sempre e comunque.

È infine possibile modificare i nameserver anche dal vostro router che solitamente si accede digitando 192.168.0.1 oppure 198.168.1.1 a seconda del router che disponete e all’interno dei menù se il router lo consente e se il vostro provider anche lo consente modificare i nameserver per la risoluzione dei nomi a dominio con gl’ip che vi abbiamo qua indicato.

Questo è tutto, spero che queste informazioni siano a voi utili.

 

Gen 262013
 

Questa guida vuole essere un aiuto per chi desidera aggiornare Joomla ma al momento d’interrogare gli aggiornamenti esce il seguente messaggio di errore:

L’impostazione PHP allow_url_fopen è disabilitata. Questa impostazione dev’essere abilitata perchè l’updater funzioni.

In questo caso non è necessario allarmarsi ma è un messaggio molto positivo che indica un ottimo livello di sicurezza apportato dal proprio hosting provider oppure dalla direttiva in .htaccess allow_url_fopen = OFF

Aggiornamento manuale di Joomla via FTP

Andremo quindi ad aggiornare manualmente i files controllando quale versione abbiamo es: Se ci troviamo con la versione di Joomla 2.5.7 per passare alla versione di joomla > 2.5.8 possiamo visitare il sito www.joomla.org (sito ufficiale) e scaricheremo la patch per effettuarne l’upgrade.

I files si trovano nel formato tarball con estensione “.tar.gz” altrimenti è anche possibile scaricare la versione zippata “.zip”.

Una volta scaricato il contenuto ad esempio sul desktop possiamo decomprimere il contenuto in una cartella a nostro piacimento.

Con filezilla è possibile sovrascrivere i files copiandoli nella cartella public_html e dando conferma di sovrascrittura di tutti i files che devono essere sovrascritti.

Una volta che avrete sovrascritto i files contenuti all’interno del vostro sito, l’aggiornamento sarà completato. Potrete effettuare il login nella parte amministrativa di joomla per verificarne l’attuale versione.

Se tutto è andato a buon fine vedrete subito a piè di pagina la nuova versione di Joomla.

Gen 222013
 

Cercherò di indicare ed indirizzarvi alle fondamentali tecniche che vi permettono di raggiungere un buon livello di sicurezza dove sarà possibile dormire sonni tranquilli.

Effettuare regolarmente gli aggiornamenti:

Gli aggiornamenti sono indispensabili perchè vengono scoperte nuove vulnerabilità che possono mettere in pericolo anche il sito web ospitato dal server web più sicuro del mondo.

Purtroppo esistono moltissime tecniche che con pochi sforzi è possibile guadagnare gli accessi con siti web poco aggiornati e con versioni e tecniche di programmazione che non rendono sicura l’infrastruttura di wordpress, proprio per questa ragione è indispensabile effettuare gli aggiornamenti della propria installazione di worpress.

esempio della pagina di aggiornamento

Se avete problemi di compatibilità coi temi vi raccomando nell’impossibilità di un aggiornamento a prendere le precauzioni necessarie perchè non possano effettuare exploit sfruttando quei files che permettono di creare problemi sul vostro sito.

Cambiare il vostro nome utente se è uguale ad admin o administrator o se il nome è troppo corto:

Se non avete ancora installato wordpress potete assegnare un utente amministrativo utilizzando un nome che non contenga admin, administrator, adm, amministratore, ecc…

Potete invece utilizzare parole composte e numeri es: nomefantasia_nickname_5331

Importante è avere un nome che non contenga parole presenti in nessun dizionario e la stessa regola va applicata alle password.

anche la password se vengono usati caratteri alfanumerici es: fdhEWpkS3IqlG3

Più lungo è il vostro nome utente e più difficile renderete un eventuale attacco di forza bruta (brute force) sul vostro pannello di login.

N.B: Gli attacchi di forza bruta sui server di www.4host.ch e www.hostingedominio.com non sono possibili in quanto vengono immediatamente bloccati, sarete già protetti da questi due hosting provider.

Proteggere i vostri files di configurazione e logfiles:

I file di configurazione come wp-config.php il .htaccess ed i logfiles come error_log, ecc… potrebbero dare informazioni utili a malintenzionati che potrebbero capire quali script sono vulnerabili secondo le versioni di wordpress che andate ad utilizzare.

Per proteggere questi files è possibile inserire alcune direttive in .htaccess per impedirne l’accesso.

Esempio di file “.htaccess”:

È infine utile spostare il file wp-config.php in una cartella “non starndard” così che se anche un malintezionato possa eseguire piccole porzioni di codice sul vostro spazio web (a causa di un form programmato male o di un pugin e/o componenti e moduli programmati male), non si aspetterà di non riuscire a trovarlo nel solito posto! Questa tecnica funziona sopratutto per script standard che tentano di trovare files di configurazione nel posto che si aspetta si trovi e se noi spostiamo questo files altrove lo script non avrà successo (è ovviamente facile raggirare con questa tecnica script automatizzati) è invece meno facile se lo script ricerca tutta la home dell’utente compromesso e a questo punto se la home è compromessa non avrebbe comunue senso spostarlo altrove in quanto il malintezionato è comunque in grado di far girare ciò che vuole sullo spazio dell’utente già compromesso.

Ad ogni modo è sempre positivo spostare questo file e rendere difficile la sua localizzazione, quindi procediamo come di seguito descritto:

Via FTP create una cartella esempio in /home/vostroutente/cartellafantasia

Create un file nominato configurazione.php

impostiamo le proprietà di sicurezza di questo file con permessi su 0644 con filezilla basta cliccare col tasto destro del mouse e cliccando su “Permessi file…”

Cancelleremo ora le righe contenenti le credenziali che devono restare nascoste dalla public_html da wp-config.php ed aggiungeremo l’inclusione a questo file come da questo esempio:

a questo punto salviamo e rendiamo anche questo file scrivibile solo dall’utente con i privilegi più alti ovvero con i permessi impostati a 0600 sempre con filezilla.

Questa tecnica funziona su www.4host.ch e www.hostingedominio.com

N.B: La tecnica qua sopra ha senso unicamente se sono state prese delle misure aggiuntive dal vostro provider hosting di modo che la vostra cartella in /home/vostroutente/ sia resa impenetrabile se non dal vostro utente.

Provate a chiedere al vostro hosting provider se questa tecnica ha delle differenze, probabilmente dovrete cambiare la cartella /home/vostroutente/ (la radice dell’acconto principale) con un’altro tipo di percorso secondo la tipologia di pannello di controllo utilizzato dal vostro provider hosting.

Modificare il nome del prefisso della banca dati di wordpress

in seguito è possibile modificare anche dopo aver installato il wordpress il prefisso della bancadati “wp_” che viene utilizzato per la creazione delle tabelle.

È meglio effettuare il cambiamento durante una nuova installazione di wordpress, ma se non lo si ha fatto prima è possibile accedere a phpmyadmin (chiedete al vostro fornitore di hosting) e cambiare prima tutti i prefissi delle tabelle con caratteri di fantasia es: “sdfshjjds_” dove meno hanno senso e meglio è, poi aprite il file “wp-config.php” ed andate in Prefisso del database WordPress e troverete le seguenti righe:

in questo esempio abbiamo inserito dei caratteri di fantasia e così facendo gli exploit più banali vengono scongiurati.

Su www.4host.ch e su www.hostingedominio.com ci sono avanzatissimi meccanismi anti-hacking che permettono di tenere al sicuro ogni singolo sito internet premesso che siano state prese queste misure “minime” di sicurezza.

In generale è indispensabile scegliere un provider hosting che disponga dei backup giornalieri, settimanali e mensili così che se un cliente decida di ripristinare il suo servizio di hosting, possa richiedere i files necessari ed eventualmente effettuare un restore completo dell’acconto così da tornare ad una situazione funzionante e prima del disastro.

Anche per WordPress come per Joomla esistono componenti gratuiti o a pagamento che ne aumentano la sicurezza e premesso che questi step siano stati effettuati ed implementati con successo, potrete già dormire sonni tranquilli.

Gen 222013
 

Alcune regole preliminari di comportamento prima d’incominciare:

Prima d’incominciare a descrivere alcuni passi e misure per proteggere il vostro CMS preferito, desideravo scrivere un appunto sul proprio comportamento che può essere ancora più importante e preliminare alfine di proteggere efficacemente le proprie credenziali.

Infatti anche il vostro comportamento può proteggere dal farvi rubare le credenziali di accesso, non solo del vostro sito ma anche del vostro acconto ftp oppure i pannelli di controllo maggiormente in dotazioni al giorno d’oggi come Plesk, cPanel, Webmin, ecc… solo per citarne alcuni e per questa ragione è necessario prendere le seguenti precauzioni:

  • Tenete le vostre password più al sicuro possibile (evitate di scriverle e riporle in un classatore, in un armadietto o cassetto senza che questo si possa chiudere).
  • Se potete conservate le vostre credenziali in software che permettono di memorizzare le password e dove la bancadati di questi software viene crittografata di modo che se doveste perdere o farvi rubare la bancadati delle vostre password, il malintenzionato verrà scoraggiato dal trovare la password con tecniche di brute force. Un esempio di software è keePass Password Safe.
  • Collegarsi via e-mail o ftp ricordandosi di utilizzare sempre una comunicazione col server protetta con SSL (es: IMAP con SSL su 993 oppure POP con SSL su 995, postain uscita SMTP su 465 via SSL e ftp su TLS oppure SSL ).
  • Collegarsi con i propri pannelli di controllo via SSL (per verificarlo è sufficiente verificare che nella barra dell’URL ci sia la seguente dicitura: “HTTPS” quindi https://pannellodicontrollo:0000)

Proteggere il vostro computer, portatile, iphone, smartphone ecc…

Le precauzioni appena qua sopra elencate permettono di avere un canale di comunicazione sicuro sempre che il vostro computer e/o dispositivo non sia stato compromesso. Se così fosse queste precauzioni non hanno molta efficacia in quanto un malintenzionato può già vedere in chiaro le password che voi inserite durante i login con i vostri browser e/o software ftp e email.

È fondamentale dotarsi di un ottimo antivirus e possibilmente di soluzioni complete con Internet security, dove attacchi MITM (Man in The Middle) vengono resi più difficili se non addirittura annullati completamente e dove non è possibile avvelenare la cache dns (dns poisoning) dove un malintenzionato possa catturare i pacchetti che dovrebbero essere destinati alla vostra macchina.

Con quest’ultima tecnica (molto pericolosa e reale) un hacker (o cracker) può “sniffare” i pacchetti o addirittura catturare (con un trojano o un malware) la digitazione della vostra tastiera alfine di carpirne le password.

Non da ultimo la scelta di un buon hosting provider come www.4host.ch oppure www.hostingedominio.com che dispongono delle più avanzate tecniche per proteggere ulteriormente ogni singolo sito web pubblicato su questi server e dove vengano prese misure di sicurezza e aggiornamenti in maniera continuata e costante.

Gen 212013
 

Prime azioni per la protezione del vostro CMS Joomla 1.5.x, 2.5.x e 3.0.x

Elenco i passi per ottenere il minimo di sicurezza perchè possiate tenere lontano malintenzionati dagli attacchi più conosciuti quali brute force (attacchi di forza bruta) e per attacchi basici xss su bancadati con nomenclature standard.

Queste misure possono essere prese in qualunque momento ma è sempre meglio prenderle immediatamente durante l’installazione.

I primi 3 punti garantisco una sicurezza minimale ma purtroppo non arrivano a garantire una sicurezza sufficiente, sopratutto se si tratta di hacker esperti.

  1. Durante l’installazione o anche dopo aver installato joomla 2.5.x oppure 3.0.x assegnate un nome utente che non sia Admin, Administrator e che non sia troppo corta oppure che contenga una parola di dizionario. Propongo alcuni esempi corretti: TuoNomeFantasiaENickName, TuoNick9342 (il secondo esempio ha una complessità maggiore, sarà quindi preferenziale utilizzarlo).
  2. La password del vostro cms dovrebb’essere più lunga di 8 fino anche a 30 caratteri fra lettere e numeri es: He4sIxm9qWvc (questo esempio ha già una buona complessità e lunghezza)
  3. i nomi delle tabelle non devono essere nominate con l’ex standard di joomla es: jos_ e questo fortunatamente è già stato corretto con le versioni nuove di joomla sia la 2.5.x che la 3.0.x

Spostamento del file di configurazione

Il passo successivo è quello di spostare il file configuration.php in una cartella che non è esposta al pubblico es:

/home/nomeacconto/public_html > qua vengono pubblicati i files che a lato pubblico. (spazi web di cPanel)

/vhosts/nomedominio/httpdocs > qua vengono pubblicati i files disponibili dal mondo intero. (spazio web di Plesk).

Per non esporre i files di configurazione al pubblico possiamo creare una cartella all’interno del nostro acconto es: /home/nomeacconto/cartelladifantasia e copiare il file configuration.php nella cartella appena creata “cartelladifantasia”.

Di seguito è indispensabile modificare due files di modo che Joomla possa trovare il percorso del file di configurazione:

/includes/defines.php e /administrator/includes/defines.php (entrambi i files sono identici) e ne riprendo una parte:

come proposto in questo codice è possibile dare il percorso corretto all’altezza di JPATH_CONFIGURATION, basta adattare il vostro percorso secondo la tipologia di pannello di controllo che disponete per avere il percorso relativo corretto.

Spostamento dei file di log e temporanei

Il passo successivo è quello di spostare la cartella dei temporanei solitamente presente in /tmp (rispetto alla cartella pubblica) e la cartella dei logs presente in /logs (rispetto alla cartella pubblica).

Per spostare queste due cartelle possiamo semplicemente cancellare la cartella tmp e logs dalla cartella pubblica e ricrearla in “cartelladifantasia” dovremo poi modificare il file di configurazione: configuration.php (che abbiamo spostato in “cartelladifantasia”) come in questo esempio:

Questa modifica è possibile farla anche nella parte amministrativa di joomla nel menu Sito > Configurazione Globale > nella scheda sistema per la cartella logs mentre nella scheda Server per impostare la cartella /tmp dei files temporanei.

Quesi passi sono solo il minimo per tenere lontano script automatizzati che tentano di penetrare o di effettuare exploit sul proprio sito internet.

Non da ultimo bisogna sempre tenere aggiornato il CMS alle ultime versioni stabili e tutti i componenti, moduli e plugins che andrete ad utilizzare con Joomla in quanto vengono scoperti nuovi exploit e quindi corretti con le nuove versioni.

Per una sicurezza ancora maggiore all’interno della public_html (o htdocs) è già presente dopo l’installazione di joomla questo file ed è sufficiente rinominarlo da htaccess.txt a .htaccess che protegge ulteriormente dagli exploit più frequenti.

È anche possibile creare un file chiamato php.ini dove è possibile inserire le seguenti righe:

Controllate che questi due file abbiano i permessi impostati su 644 e non superiori per evitare manomissioni non desiderate, meglio ancora se vengono impostate a 444.

Proteggete i vostri logfiles e file di configurazione:

è infine possibile proteggere files che sono molto sensibili e che non devono per nessuna ragione essere consultati dall’esterno, per questa ragione li proteggeremo con le direttive del file “.htaccess” che può essere creato all’interno della radice del nostro sito (es: /home/accontoutente/public_html) > secondo il tipo di provider di servizi hosting questo percorso può differire:

 Disabilitare tutte le direttive ini_set() all’interno dei files php

Il 99% dei CMS tenta un “override” (ovvero una reimpostazione) del file di configurazione principale ini.php, quindi è possibile che troviate negli error_log della vostra cartella in public_html dei messaggi di errore che assomigliano ai seguenti:

oppure:

è possibile risolvere questo problema anteponendo un doppio segno di backslash “//” oppure con il simbolo “@” chiocciola così da non applicare nessun override che su alcuni hosting provider non è permesso per ragioni di sicurezza:

Aprite il file con un editor di testo es: /libraries/joomla/session/session.php e modificatelo come da esempio seguente:

Trovate queste righe al numero 100 – 103 ca. e 831

Anche nel file /libraries/joomla/language/language.php bisogna disabilitare l’override mettendo un doppio backslash davanti a ini_set: //ini_set

In questo modo il file non tenta un override che non sono permessi in webserver di elevata sicurezza.

Note finali su ini_set:
Se trovate già un simbolo “@” non è necessario intervenire in quanto il provider di servizi ha già inserito questo simbolo in tutte le occorrenze ini_set.
Non dovete preoccuparvi se l’ini_set viene disabilitato in quanto non preclude alcuna funzionalità del vostro CMS in quanto questo sistema previene abusi da parte di script scritti male. Un buon hosting provider mette a disposizione già le direttive corrette senza che queste debbano subire alcun override o modifica per singolo sito.

In conclusione:

Con queste tecniche avrete raggiunto un buon livello di sicurezza che purtroppo però non è sufficiente ancora per attacchi più aggressivi da malintezionati esperti.

È sempre possibile dotarsi di componenti aggiuntivi per joomla per aumentarne la sicurezza es: RS Firewall

Questi componenti garantiscono un altissimo livello di sicurezza e permettono di raggiungere un elevatissimo livello di protezione che rende difficile l’exploit anche da parte di hacker/cracker più esperti.

Nonostante la sicurezza al 100% non esiste, si può comunque scoraggiare in maniera quasi definitiva anche l’hacker più ostinato.

Su https://www.4host.ch e su https://www.hostingedominio.com vengono garantiti i livelli di sicurezza più alti e sono costantemente aggiornati per nuovi exploit. Un buon hosting provider può essere decisivo in fatto di sicurezza oltre che mettono a disposizione di backup recuperabili fino a 3 mesi indietro gratuitamente.