Vulnerabilità negli script PHP del tuo sito
-
Salve!
Da qualche settimana il provider Tophost che ospita il mio sito mi segnala varie vulnerabilità "XSS vulnerability in Joomla".
Vorrei qualche consiglio per installare un plugin idoneo alla sicurezza e alla prevenzione di eventuali malware.
Attualmente ho la versione 4.4.14 ma attendo che il provider aggiorni PHP, MySQL e altro per procedere all'aggiornamento a joomla 5.
Mi conviene in ogni caso attendere di aver concluso l'aggiornamento?
Grazie dell'attenzione -
Non esiste niente a chi vorresti attingere. Esiste solo l ultima versione aggiornate che dovrebbe essere "depurata"/di tutti i bug perché quella dopo coprirà a sua volta altre falle di sicurezza.
Aggiorna tutto quello che installi all ultima versione e scegli un hosting affidabile.
È tutto quello che puoi e devi fare. -
Grazie!
Provvederò all’aggiornamento appena possibile.
Una buona giornata -
Ciao, consiglio spassionato: scappa da tophost... negli anni ho avuto solo problemi con loro... sicuramente hanno dei prezzi molto bassi, ma purtroppo la qualità del servizio e dell'assistenza ne risente parecchio... infatti sono gli unici ormai che ancora non hanno aggiornato php, mysql ecc.. e non danno neanche la possibilità di farlo.
Per quanto riguarda la sicurezza, come ha detto @matty80 , l'unico rimedio veramente efficace è quello di avere sempre tutto aggiornato all'ultima versione disponibile. Joomla è uno dei CMS più sicuri sulla piazza, ma bisogna stare al passo perchè vengono spesso rilasciate patch di sicurezza. Se poi vuoi avere un livello di protezione in più ti consiglio l'estensione Akeeba Admin Tools (che però è a pagamento).
Ciao!
G. -
Come al solito leggo consigli tanto corretti quanto banali. Per la serie: non bere, non fumare, mangia solo cibi sani e fai esercizio fisico e starai bene. Cose giuste ma totalmente scontate e banali.
Il mio consiglio è un po' diverso. Se per vari motivi devi mantenere una vecchia versione di PHP e/o di Joomla, oppure rimanere con un Hosting di un certo tipo o semplicemente non ci sono i soldi per intervenire sul sito, l'unica carta che puoi giocare è il backup regolare del sito almeno una volta al mese. Usa Akeeba backup e ovviamente appena hai fatto il BU scaricalo in locale tramite FTP e cancellalo dal sito. Conserva almeno gli ultimi 10 BU. In questo modo qualsiasi problema serio sul sito lo risolverai cancellando tutto il contenuto dello spazio web e il DB MySQL e poi deciderai se fare il ripristino sullo stesso server o su quello di un altro provider. Credo che sia l'unico modo per portare avanti siti con Joomla 1.5, 2.5 e 3 che per essere onesti al 100% tanto male non vanno. -
Addirittura banali? Mi sembra esagerato.
Fare un backup una volta al mese serve a poco, perché backupperesti anche eventuali malware. Un sito bucato non è un sito che va offline, ma un sito a cui è stato agganciato codice PHP che magari spamma o fa da landing Page per phishing. Più nello specifico gli xss sono semplici script che iniettano JavaScript al momento del caricamento pagina, quindi può anche essere che non siano facilmente riconoscibili nel codice del sito.
Inoltre se un sito è stato bucato vuole dire che è stata sfruttata una debolezza del core o di un'estensione, quindi anche se ripristini il sito da un'altra parte prima poi arriverà un altro bot a sfruttare quella debolezza.
Puoi fare tutti i backup e ripristino che vuoi ma l'unico modo vero per risolvere il problema è semplicemente.. aggiornare tutto. Perché probabilmente quella vulnerabilità è stata sistemata in un aggiornamento di sicurezza.
In effetti è banale come soluzione. Ma funziona.Per quanto riguarda i Joomla 1.5, 2.5 e 3 sicuramente tanto male non vanno, ma a livello sicurezza sono dei colabrodo.
Ciao,
G.P.s: complimenti per l'educazione con cui ti poni in una discussione tranquilla e serena in un forum pubblico.
