Messa in sicurezza del sito
Posted: Fri Oct 19, 2007 8:14 pm
Questo è un miniHowto per avere un minimo di sicurezza.
E' aperto ai contributi
1. Non utilizzate come username admin. Utilizzate semmai il vostro nomecognome o un vostro pseudonimo (ma non il vostro nome nel forum!)
2. Cambiare il nome della directory di admin. Questa directory non è fissa, rinominate la directory con un nome coerente ma non banale e possibilmente in italiano tipo (sceglietene un altro!!): amministra_cms, pannello_cmsms, controllodelsito, modificaeconfigura ......
Ricordarsi di modificare il config.php con il nuovo nome: $config['admin_dir'] = 'XXXXXXXX';
3. Proteggete la directory con una ulteriore password. In genere tutti gli hosting hanno una utility per costruire directory private, potete inserire uno user e password più blandi (deve andare bene per tutti quelli che accedono nell'area admin) ma è sempre un ulteriore step in termini di sicurezza
4. Permessi di config.php. Per l'installazione e gli Upgrade il file deve avere permessi 777 (read-write-execute per tutti), appena completata l'operazione portare i permessi a 444 (sola lettura per tutti) o, se funziona, addirittura a 440. Come cambiarli? Utilizzate un client FTP o il FileManager del vostro Pannello di hosting che supporti il cambio permessi (al giorno d'oggi non credo che ve ne siano che non possano fare questo!)
5. Permessi cartella tmp. Teoricamente la cartella tmp (con le sottocartelle) dovrebbe essere 777, inserite prima questi permessi, testate il sito (navigate un pò) e poi abbassate prima a 775 e testate di nuovo il sito, se va bene abbassate ancora a 755 e ritestate ancora, rimane (se funziona) 750 (sotto di questo è praticamente impossibile che funzioni!). Come cambiarli? Vedere il punto 4
6. Permessi cartella uploads. Esattamente come il caso precedente ma testatelo con un upload di una immagine e controllando che si veda "direttamente" dal browser chiamando http://www.miosito.it/uploads/images/[i]images.jpg[/i]. Come cambiarli? Vedere il punto 4
Inserite poi in Global settings (Configurazioni globali) un umask di 002 per avere meno problemi nella creazione dei thumb (miniature)
7. Contributi? (in verità ci sono altri punti ma sono per utenti molto avanzati perchè si arriva a cambiare anche il codice php e quindi bisogna poi ricordarsi ad ogni aggiornamneto di cambiare il codice)
Alby
E' aperto ai contributi
1. Non utilizzate come username admin. Utilizzate semmai il vostro nomecognome o un vostro pseudonimo (ma non il vostro nome nel forum!)
2. Cambiare il nome della directory di admin. Questa directory non è fissa, rinominate la directory con un nome coerente ma non banale e possibilmente in italiano tipo (sceglietene un altro!!): amministra_cms, pannello_cmsms, controllodelsito, modificaeconfigura ......
Ricordarsi di modificare il config.php con il nuovo nome: $config['admin_dir'] = 'XXXXXXXX';
3. Proteggete la directory con una ulteriore password. In genere tutti gli hosting hanno una utility per costruire directory private, potete inserire uno user e password più blandi (deve andare bene per tutti quelli che accedono nell'area admin) ma è sempre un ulteriore step in termini di sicurezza
4. Permessi di config.php. Per l'installazione e gli Upgrade il file deve avere permessi 777 (read-write-execute per tutti), appena completata l'operazione portare i permessi a 444 (sola lettura per tutti) o, se funziona, addirittura a 440. Come cambiarli? Utilizzate un client FTP o il FileManager del vostro Pannello di hosting che supporti il cambio permessi (al giorno d'oggi non credo che ve ne siano che non possano fare questo!)
5. Permessi cartella tmp. Teoricamente la cartella tmp (con le sottocartelle) dovrebbe essere 777, inserite prima questi permessi, testate il sito (navigate un pò) e poi abbassate prima a 775 e testate di nuovo il sito, se va bene abbassate ancora a 755 e ritestate ancora, rimane (se funziona) 750 (sotto di questo è praticamente impossibile che funzioni!). Come cambiarli? Vedere il punto 4
6. Permessi cartella uploads. Esattamente come il caso precedente ma testatelo con un upload di una immagine e controllando che si veda "direttamente" dal browser chiamando http://www.miosito.it/uploads/images/[i]images.jpg[/i]. Come cambiarli? Vedere il punto 4
Inserite poi in Global settings (Configurazioni globali) un umask di 002 per avere meno problemi nella creazione dei thumb (miniature)
7. Contributi? (in verità ci sono altri punti ma sono per utenti molto avanzati perchè si arriva a cambiare anche il codice php e quindi bisogna poi ricordarsi ad ogni aggiornamneto di cambiare il codice)
Alby