Migliorare la sicurezza di Joomla 3.9.3 agendo su .htaccess

Joomla 3.9.3 include alcune patch che innalzano il livello di sicurezza del CMS, agendo anche sui file .htaccess e web.config. Tali miglioramenti sono immediatamente attivi sulle nuove installazioni, tuttavia devono essere applicati manualmente sulle installazioni esistenti, come suggerito dal messaggio "post-installazione" visualizzato dopo l'aggiornamento all'ultima versione.

I rafforzamenti della sicurezza nei file .htaccess e web.config di default disabilitano le funzionalità dei browser chiamate MIME-type sniffing, che consentono di ispezionare il contenuto dei file per dedurne il formato dei file stessi. Questa pratica di sniffing può portare a specifici vettori di attacco, in cui script inseriti in formati di file apparentemente innoqui (es. immagini) saranno eseguiti, risultando quindi in vulnerabilità Cross-Site-Scripting (XSS).

Il Joomla Security Strike Team raccomanda di applicare manualmente le modifiche necessarie ai file .htaccess e web.config, poiché tali file non possono essere aggiornati automaticamente nelle installazioni esistenti.

Modifiche al file .htaccess

Aggiungere le seguenti righe prima di ## Mod_rewrite in use:

<IfModule mod_headers.c>

Header always set X-Content-Type-Options "nosniff"

</IfModule>

Modifiche al file web.config

Aggiungere le seguenti righe subito dopo </rewrite>:

<httpProtocol>

  <customHeaders>

    <add name="X-Content-Type-Options" value="nosniff" />

   </customHeaders>

</httpProtocol>

Si ricorda che tali modifiche sono già contenute di default nei file forniti con le nuove installazioni di Joomla.