Vulnerabilità negli script PHP del tuo sito
-
Grazie a tutti. Ho letto con attenzione le vostre risposte e intuisco che la soluzione non può essere immediata. L'hosting ha preventivato un tempo lunghissimo per aggiornare il database (diversi mesi...) a meno che prenda in considerazione l'upgrade ad un piano superiore che dispone già delle versioni di database più recenti necessarie per Joomla 5. Sto attendendo risposta in merito al costo di questo piano tenendo conto che meno di un mese fa ho rinnovato il piano attuale. Rinnovo il mio grazie e auguro a tutti una buona serata e buon lavoro. Siete un gruppo eccezionale
-
Ciao.
Intanto che aspetti l'hosting, puoi mitigare gli attacchi XSS utilizzando il plugin Sistema - Header HTTP introdotto dalla versione 4 di Joomla.https://magazine.joomla.org/all-issues/may-2022/joomla-new-http-headers-plugin-for-j4
Non ricordo se è attivo di default e con quale configurazione.
Semmai buttaci un occhio e facci sapere.p.s. Si può sapere che file ti hanno segnalato?
-
Concordo con @luX0r75 su quel plugin che molto utile, ma occhio come configurarlo perché è possibile che ti bloccano delle funzionalità, script, maps, o altro. Poi dopo averlo attivato e configurato fai una scansione qui https://securityheaders.com/ e vedi il report. Almeno A sarebbe ottimo!
-
Rieccomi... Sto andando in tilt. Intanto ho risolto con l'hosting e, passando ad un piano superiore, ho raggiunto i parametri necessari per l'aggiornamento a joomla 5 (PHP 8.3, MySQL 8.1 ecc). Dopo avere effettuato il backup ho proceduto ad avviare l'aggiornamento ed ecco la sorpresa: una pagina rossa con la scritta "Siamo spiacenti, c'è stato un problema che non abbiamo potuto risolvere.
Il server ha restituito un "500 - Whoops, looks like something went wrong." Da questo momento non riesco più ad accedere alla pagina https://www.scuoladiformazionegiovannifalcone.it/administrator/ come potrete facilmente constatare. Purtroppo non ho adeguate competenze tecniche e tutto mi appare incomprensibile e ingestibile.
Qualcuno può aiutarmi? GRAZIE! -
Ciao.
Devi attivare il report degli errori per capire dove sta il problema.Apri il file configuration.php e cerca l'istruzione
public $error_reporting = 'default';
Cambiala inpublic $error_reporting = 'maximum';
Salva il file e fai un refresh della pagina https://www.scuoladiformazionegiovannifalcone.it
Dovrebbe restituirti i dettagli dell'errore. -
@luX0r75 ha detto in Vulnerabilità negli script PHP del tuo sito:
Ciao.
Devi attivare il report degli errori per capire dove sta il problema.Apri il file configuration.php e cerca l'istruzione public $error_reporting = 'default';
Cambiala in public $error_reporting = 'maximum';
Salva il file e fai un refresh della pagina https://www.scuoladiformazionegiovannifalcone.it
Dovrebbe restituirti i dettagli dell'errore.nello stesso file configuration.php cambia anche
public $debug = false;e mettilo su "true":public $debug = true;, in questo modo viene fuori la lista delle chiamate di joomla e si capisce esattamente chi sta generando l'errore. -
Il percorso varia in base all'hosting ma è comunque nella root del tuo sito, ossia nella cartella principale (di solito public_html).
-
Ho provato ad entrare con filezilla ed ecco il risultato: Stato: Connessione TLS stabilita.
Comando: USER scuoladiformazionegiovannifalcone.it
Risposta: 331 Password required for scuoladiformazionegiovannifalcone.it
Comando: PASS ********
Risposta: 530 Login incorrect.
Errore: Errore critico: Impossibile collegarsi al server
Mi chiedo cosa caspita stia succedendo. Non riesco ad entrare in alcun modo nè dalla porta principale nè dalla finestra -
Ciao, di solito gli user FTP non sono il dominio.
Forse ci arrivi più comodamente dal pannello di controllo di tophost:
dovrebbe essere qualcosa di simile, tra le varie icone dovresti avere il "file manager" che ti fa entrare in una schermata con una lista di cartelle e file. Tra le varie cartelle dovresti già vedere quelle segnalate da @luX0r75 oppure una cartella genitore tipo "public_html". Tra i vari file lì dentro dovrebbe esserci anche il famoso
configuration.php, e facendoci doppio click sopra (o click con tasto destro) dovrebbe darti la possibilità di modificarlo. -
Ci sarebbe come prova anche di rinominare il file
.htaccesstemporaneamente -
public $error_reporting = 'development';è questa la voce da modificare sovrascrivendo 'maximum' ?
Per quanto riguarda la seconda modifica:
public $debug = '1';
public $debug_lang = '0';
public $debug_lang_const = '1';
Quale delle tre modifico con "public $debug = true"?Ho timore di sbagliare qualcosa e combinare più problemi/guai di quelli che già ci sono
-
Sì, per error_reporting.
Devi modificare public $debug = '1';
-
Cosa ti dice?
-
Non conosco Top Host, quindi non ti so dire.
Se recuperi i parametri FTP puoi usare FileZilla... permessi sul file permettendo. -
Scusami, magari con il file manager di TopHost non te lo fa modificare, ma se ti fa fare il download e puoi ricaricarlo una volta modificato...
