Vulnerabilità negli script PHP del tuo sito
-
Ciao.
Intanto che aspetti l'hosting, puoi mitigare gli attacchi XSS utilizzando il plugin Sistema - Header HTTP introdotto dalla versione 4 di Joomla.https://magazine.joomla.org/all-issues/may-2022/joomla-new-http-headers-plugin-for-j4
Non ricordo se è attivo di default e con quale configurazione.
Semmai buttaci un occhio e facci sapere.p.s. Si può sapere che file ti hanno segnalato?
-
Concordo con @luX0r75 su quel plugin che molto utile, ma occhio come configurarlo perché è possibile che ti bloccano delle funzionalità, script, maps, o altro. Poi dopo averlo attivato e configurato fai una scansione qui https://securityheaders.com/ e vedi il report. Almeno A sarebbe ottimo!
-
Rieccomi... Sto andando in tilt. Intanto ho risolto con l'hosting e, passando ad un piano superiore, ho raggiunto i parametri necessari per l'aggiornamento a joomla 5 (PHP 8.3, MySQL 8.1 ecc). Dopo avere effettuato il backup ho proceduto ad avviare l'aggiornamento ed ecco la sorpresa: una pagina rossa con la scritta "Siamo spiacenti, c'è stato un problema che non abbiamo potuto risolvere.
Il server ha restituito un "500 - Whoops, looks like something went wrong." Da questo momento non riesco più ad accedere alla pagina https://www.scuoladiformazionegiovannifalcone.it/administrator/ come potrete facilmente constatare. Purtroppo non ho adeguate competenze tecniche e tutto mi appare incomprensibile e ingestibile.
Qualcuno può aiutarmi? GRAZIE! -
Scusate, ho scritto "come potrete facilmente constatare" senza rendermi conto che senza le credenziali di accesso non potrete constatare un bel nulla. Almeno credo... Ve l'ho detto, sono andata in tilt
-
Ciao.
Devi attivare il report degli errori per capire dove sta il problema.Apri il file configuration.php e cerca l'istruzione
public $error_reporting = 'default';
Cambiala inpublic $error_reporting = 'maximum';
Salva il file e fai un refresh della pagina https://www.scuoladiformazionegiovannifalcone.it
Dovrebbe restituirti i dettagli dell'errore. -
@luX0r75 ha detto in Vulnerabilità negli script PHP del tuo sito:
Ciao.
Devi attivare il report degli errori per capire dove sta il problema.Apri il file configuration.php e cerca l'istruzione public $error_reporting = 'default';
Cambiala in public $error_reporting = 'maximum';
Salva il file e fai un refresh della pagina https://www.scuoladiformazionegiovannifalcone.it
Dovrebbe restituirti i dettagli dell'errore.nello stesso file configuration.php cambia anche
public $debug = false;e mettilo su "true":public $debug = true;, in questo modo viene fuori la lista delle chiamate di joomla e si capisce esattamente chi sta generando l'errore. -
Dove trovo questo file configuration.php... Puoi essere per favore più semplice possibile nel descrivermi il percorso? Purtroppo molte cose che date per scontate per me non lo sono
-
Il percorso varia in base all'hosting ma è comunque nella root del tuo sito, ossia nella cartella principale (di solito public_html).
-
Ho provato ad entrare con filezilla ed ecco il risultato: Stato: Connessione TLS stabilita.
Comando: USER scuoladiformazionegiovannifalcone.it
Risposta: 331 Password required for scuoladiformazionegiovannifalcone.it
Comando: PASS ********
Risposta: 530 Login incorrect.
Errore: Errore critico: Impossibile collegarsi al server
Mi chiedo cosa caspita stia succedendo. Non riesco ad entrare in alcun modo nè dalla porta principale nè dalla finestra -
Ciao, di solito gli user FTP non sono il dominio.
Forse ci arrivi più comodamente dal pannello di controllo di tophost:
dovrebbe essere qualcosa di simile, tra le varie icone dovresti avere il "file manager" che ti fa entrare in una schermata con una lista di cartelle e file. Tra le varie cartelle dovresti già vedere quelle segnalate da @luX0r75 oppure una cartella genitore tipo "public_html". Tra i vari file lì dentro dovrebbe esserci anche il famoso
configuration.php, e facendoci doppio click sopra (o click con tasto destro) dovrebbe darti la possibilità di modificarlo. -
Ci sarebbe come prova anche di rinominare il file
.htaccesstemporaneamente -
public $error_reporting = 'development';è questa la voce da modificare sovrascrivendo 'maximum' ?
Per quanto riguarda la seconda modifica:
public $debug = '1';
public $debug_lang = '0';
public $debug_lang_const = '1';
Quale delle tre modifico con "public $debug = true"?Ho timore di sbagliare qualcosa e combinare più problemi/guai di quelli che già ci sono
-
Sì, per error_reporting.
Devi modificare public $debug = '1';
-
Non mi fa modificare...
-
Cosa ti dice?
-
nulla, semplicemente non risponde ad alcun comando. Nè cliccando 2 volte sul file, nè col tasto destro, nè evidenziando la voce da sostituire... C'è un altro modo?
-
Non conosco Top Host, quindi non ti so dire.
Se recuperi i parametri FTP puoi usare FileZilla... permessi sul file permettendo. -
Avevo provato con filezilla ma, come ho scritto precedentemente, "Errore critico: Impossibile collegarsi al server" anche da lì...
Provo a chiedere supporto all'hosting e vi aggiorno -
Scusami, magari con il file manager di TopHost non te lo fa modificare, ma se ti fa fare il download e puoi ricaricarlo una volta modificato...
-
nessuna possibilità di fare il download. Attendo risposta dall'hosting
