Vulnerabilità negli script PHP del tuo sito

matty80

Non esiste niente a chi vorresti attingere. Esiste solo l ultima versione aggiornate che dovrebbe essere "depurata"/di tutti i bug perché quella dopo coprirà a sua volta altre falle di sicurezza.
Aggiorna tutto quello che installi all ultima versione e scegli un hosting affidabile.
È tutto quello che puoi e devi fare.

AnnaEsse

Grazie!
Provvederò all’aggiornamento appena possibile.
Una buona giornata

jabba

Ciao, consiglio spassionato: scappa da tophost... negli anni ho avuto solo problemi con loro... sicuramente hanno dei prezzi molto bassi, ma purtroppo la qualità del servizio e dell'assistenza ne risente parecchio... infatti sono gli unici ormai che ancora non hanno aggiornato php, mysql ecc.. e non danno neanche la possibilità di farlo.

Per quanto riguarda la sicurezza, come ha detto @matty80 , l'unico rimedio veramente efficace è quello di avere sempre tutto aggiornato all'ultima versione disponibile. Joomla è uno dei CMS più sicuri sulla piazza, ma bisogna stare al passo perchè vengono spesso rilasciate patch di sicurezza. Se poi vuoi avere un livello di protezione in più ti consiglio l'estensione Akeeba Admin Tools (che però è a pagamento).

Ciao!
G.

ettore

Come al solito leggo consigli tanto corretti quanto banali. Per la serie: non bere, non fumare, mangia solo cibi sani e fai esercizio fisico e starai bene. Cose giuste ma totalmente scontate e banali.
Il mio consiglio è un po' diverso. Se per vari motivi devi mantenere una vecchia versione di PHP e/o di Joomla, oppure rimanere con un Hosting di un certo tipo o semplicemente non ci sono i soldi per intervenire sul sito, l'unica carta che puoi giocare è il backup regolare del sito almeno una volta al mese. Usa Akeeba backup e ovviamente appena hai fatto il BU scaricalo in locale tramite FTP e cancellalo dal sito. Conserva almeno gli ultimi 10 BU. In questo modo qualsiasi problema serio sul sito lo risolverai cancellando tutto il contenuto dello spazio web e il DB MySQL e poi deciderai se fare il ripristino sullo stesso server o su quello di un altro provider. Credo che sia l'unico modo per portare avanti siti con Joomla 1.5, 2.5 e 3 che per essere onesti al 100% tanto male non vanno.

jabba

Addirittura banali? Mi sembra esagerato.
Fare un backup una volta al mese serve a poco, perché backupperesti anche eventuali malware. Un sito bucato non è un sito che va offline, ma un sito a cui è stato agganciato codice PHP che magari spamma o fa da landing Page per phishing. Più nello specifico gli xss sono semplici script che iniettano JavaScript al momento del caricamento pagina, quindi può anche essere che non siano facilmente riconoscibili nel codice del sito.
Inoltre se un sito è stato bucato vuole dire che è stata sfruttata una debolezza del core o di un'estensione, quindi anche se ripristini il sito da un'altra parte prima poi arriverà un altro bot a sfruttare quella debolezza.
Puoi fare tutti i backup e ripristino che vuoi ma l'unico modo vero per risolvere il problema è semplicemente.. aggiornare tutto. Perché probabilmente quella vulnerabilità è stata sistemata in un aggiornamento di sicurezza.
In effetti è banale come soluzione. Ma funziona.

Per quanto riguarda i Joomla 1.5, 2.5 e 3 sicuramente tanto male non vanno, ma a livello sicurezza sono dei colabrodo.

Ciao,
G.

P.s: complimenti per l'educazione con cui ti poni in una discussione tranquilla e serena in un forum pubblico.

AnnaEsse

Grazie a tutti. Ho letto con attenzione le vostre risposte e intuisco che la soluzione non può essere immediata. L'hosting ha preventivato un tempo lunghissimo per aggiornare il database (diversi mesi...) a meno che prenda in considerazione l'upgrade ad un piano superiore che dispone già delle versioni di database più recenti necessarie per Joomla 5. Sto attendendo risposta in merito al costo di questo piano tenendo conto che meno di un mese fa ho rinnovato il piano attuale. Rinnovo il mio grazie e auguro a tutti una buona serata e buon lavoro. Siete un gruppo eccezionale

luX0r75

Ciao.
Intanto che aspetti l'hosting, puoi mitigare gli attacchi XSS utilizzando il plugin Sistema - Header HTTP introdotto dalla versione 4 di Joomla.

https://magazine.joomla.org/all-issues/may-2022/joomla-new-http-headers-plugin-for-j4

Non ricordo se è attivo di default e con quale configurazione.
Semmai buttaci un occhio e facci sapere.

p.s. Si può sapere che file ti hanno segnalato?

webman

Concordo con @luX0r75 su quel plugin che molto utile, ma occhio come configurarlo perché è possibile che ti bloccano delle funzionalità, script, maps, o altro. Poi dopo averlo attivato e configurato fai una scansione qui https://securityheaders.com/ e vedi il report. Almeno A sarebbe ottimo!

AnnaEsse

Rieccomi... Sto andando in tilt. Intanto ho risolto con l'hosting e, passando ad un piano superiore, ho raggiunto i parametri necessari per l'aggiornamento a joomla 5 (PHP 8.3, MySQL 8.1 ecc). Dopo avere effettuato il backup ho proceduto ad avviare l'aggiornamento ed ecco la sorpresa: una pagina rossa con la scritta "Siamo spiacenti, c'è stato un problema che non abbiamo potuto risolvere.
Il server ha restituito un "500 - Whoops, looks like something went wrong." Da questo momento non riesco più ad accedere alla pagina https://www.scuoladiformazionegiovannifalcone.it/administrator/ come potrete facilmente constatare. Purtroppo non ho adeguate competenze tecniche e tutto mi appare incomprensibile e ingestibile.
Qualcuno può aiutarmi? GRAZIE!

AnnaEsse

Scusate, ho scritto "come potrete facilmente constatare" senza rendermi conto che senza le credenziali di accesso non potrete constatare un bel nulla. Almeno credo... Ve l'ho detto, sono andata in tilt

luX0r75

Ciao.
Devi attivare il report degli errori per capire dove sta il problema.

Apri il file configuration.php e cerca l'istruzione public $error_reporting = 'default';
Cambiala in public $error_reporting = 'maximum';
Salva il file e fai un refresh della pagina https://www.scuoladiformazionegiovannifalcone.it
Dovrebbe restituirti i dettagli dell'errore.

jabba

@luX0r75 ha detto in Vulnerabilità negli script PHP del tuo sito:

Ciao.
Devi attivare il report degli errori per capire dove sta il problema.

Apri il file configuration.php e cerca l'istruzione public $error_reporting = 'default';
Cambiala in public $error_reporting = 'maximum';
Salva il file e fai un refresh della pagina https://www.scuoladiformazionegiovannifalcone.it
Dovrebbe restituirti i dettagli dell'errore.

nello stesso file configuration.php cambia anche public $debug = false; e mettilo su "true": public $debug = true; , in questo modo viene fuori la lista delle chiamate di joomla e si capisce esattamente chi sta generando l'errore.

AnnaEsse

Dove trovo questo file configuration.php... Puoi essere per favore più semplice possibile nel descrivermi il percorso? Purtroppo molte cose che date per scontate per me non lo sono

luX0r75

Il percorso varia in base all'hosting ma è comunque nella root del tuo sito, ossia nella cartella principale (di solito public_html).

AnnaEsse

Ho provato ad entrare con filezilla ed ecco il risultato: Stato: Connessione TLS stabilita.
Comando: USER scuoladiformazionegiovannifalcone.it
Risposta: 331 Password required for scuoladiformazionegiovannifalcone.it
Comando: PASS ********
Risposta: 530 Login incorrect.
Errore: Errore critico: Impossibile collegarsi al server
Mi chiedo cosa caspita stia succedendo. Non riesco ad entrare in alcun modo nè dalla porta principale nè dalla finestra

jabba

Ciao, di solito gli user FTP non sono il dominio.
Forse ci arrivi più comodamente dal pannello di controllo di tophost:

dovrebbe essere qualcosa di simile, tra le varie icone dovresti avere il "file manager" che ti fa entrare in una schermata con una lista di cartelle e file. Tra le varie cartelle dovresti già vedere quelle segnalate da @luX0r75 oppure una cartella genitore tipo "public_html". Tra i vari file lì dentro dovrebbe esserci anche il famoso configuration.php, e facendoci doppio click sopra (o click con tasto destro) dovrebbe darti la possibilità di modificarlo.

webman

Ci sarebbe come prova anche di rinominare il file .htaccess temporaneamente

AnnaEsse

public $error_reporting = 'development';

è questa la voce da modificare sovrascrivendo 'maximum' ?

Per quanto riguarda la seconda modifica:
public $debug = '1';
public $debug_lang = '0';
public $debug_lang_const = '1';
Quale delle tre modifico con "public $debug = true"?

Ho timore di sbagliare qualcosa e combinare più problemi/guai di quelli che già ci sono

luX0r75

Sì, per error_reporting.

Devi modificare public $debug = '1';

AnnaEsse

Non mi fa modificare...