Sicurezza dei files in Joomla!

La prima regola è tenere Joomla! e le estensioni aggiornati.

Questo è necessario perché gli exploit vengono risolti velocemente, ma nel momento in cui sono pubblicati sono anche a disposizione dei malintenzionati.

Un attacco consiste spesso (la stragrande maggioranza dei casi) nel riuscire a caricare un file .php che poi il malintenzionato cercherà di eseguire.  Joomla ha alcune cartelle che è opportuno siano scrivibili:

tmp, necessaria per installare le estensioni

cache

images, usata dagli utenti per caricare le immagini degli articoli ecc.

Queste sono le uniche cartelle sulle quali è necessario lasciare permessi di scrittura; e quindi sono particolarmente vulnerabili a questo tipo di exploit. 

Il componente Swiss Army Knife for Joomla! protegge automaticamente queste cartelle.

Come proteggere le cartelle

E' saggio configurare Apache Web Server per impedire l'esecuzione di script da queste cartelle, per farlo è sufficiente creare al loro interno un file .htaccess con il seguente contenuto:

Options -ExecCGI
RemoveHandler .cgi .pl .py .php4 .pcgi4 .php .php3 .phtml .pcgi .php5 .pcgi5
RemoveType .cgi .pl .py .php4 .pcgi4 .php .php3 .phtml .pcgi .php5 .pcgi5

Provate a caricare nelle cartelle un file di test (ad es. test.php) con il seguente contenuto:

<h1>PHP is <?php echo " NOT"; ?> disabled</h1>

A questo punto puntate il browser su http://vostrosito.it/images/test.php e vedrete se la modifica ha funzionato.