Abbiamo oramai tutti capito che la vecchia e gloriosa versione 1.5 di Joomla non è più supportata ufficialmente e che non usciranno mai più aggiornamenti. Ovviamente il primo vero consiglio utile è quello di passare alle versioni successive 2.5 o 3. Ma in questo articolo proveremo a vedere quali sono gli accorgimenti per tentare di mantenere sicuro un sito con Joomla 1.5 che attualmente risulta essere vulnerabile anche se aggiornato all'ultima versione 1.5.26.
In queste ultime settimane sono stati pubblicati alcuni avvisi su importati falle di sicurezza presenti anche in Joomla 1.5.26.
- Joomla crypto vulnerability ("remember me" function) del 18/06/2013
- Joomla! Arbitrary File Upload Vulnerability del 02/08/2013
Se queste vulnerabilità vengono risolte con i successivi aggiornamenti per le versioni supportate 2.5 e 3.1, questo non avviene per la vecchia 1.5 e dobbiamo così tentare di intervenire manualmente.
Il primo avviso fa riferimento ad una falla potenzialmente presente nel sistema di salvataggio della sessione di login e nella comoda funzione "Ricordami" che permette di rimanere loggati sul sito anche nei giorni successivi.
Viene quindi consigliata la disattivazione di questa funzionalità.
Dal pannello di controllo, menu Estensioni ---> Gestione Plugin ricercare tramite il filtro il plugin system - remember me e disattivarlo.
Ora il modulo login "lato sito" non mostrerà più la comoda opzione "Ricordami" e sarà necessario inserire ogni giorno le credenziali di accesso sia per gli utenti registrati che per l'amministratore.
Il secondo avviso fa riferimento ad una falla presente nella gestione media di Joomla 1.5 ed in questo articolo viene evidenziato come questo bug possa essere sfruttato per caricare file php sul server.
Viene quindi consigliata la disabilitazione del caricatore Flash. Dalla Configurazione globale--> Sistema--> nel box Configurazione Media impostare su No il parametro "Abilita il Caricatore Flash".
E' inoltre necessario caricare sul server la Patch rilasciata per l'occasione. Accedere a questa pagina del JoomlaCode per scaricare la patch. Si trova in basso alla pagina, premere sul nome UploadFix15v3.zip e salvare il file sul proprio PC. Estrarre il contenuto del file e caricare via FTP le due cartelle sul server che contiene le cartelle di Joomla 1.5 sovrascrivendole. Si andranno così a correggere i due file incriminati.
Su alcune installazioni di Joomla 1.5 dove erano presenti delle vecchie versioni non aggiornate dell'editor JCE questa operazione di inserimento della patch ha causato qualche malfunzionamento nell'invio degli articoli. Problema poi risolto aggiornando anche l'editor JCE. Come sempre è bene procedere con un backup del sito prima di effettuare aggiornamenti.
ATTENZIONE: per mantenere sicura la vostra versione di Joomla 1.5 è necessario che sia aggiornata alla versione 1.5.26 e che anche tutte le estensioni installate siano aggiornate.
Non incorriamo nell'errore di credere che questi accorgimenti ci permettono di mantenere ancora a lungo online i nostri siti con Joomla 1.5, ma anzi, prendiamoli come segnali che ci fanno capire l'importanza di abbandonare questa piattaforma e passare alle nuove versioni. I provider vi avviseranno sempre più spesso di aggiornare i vostri siti con Joomla 1.5, e nelle situazioni più drastiche vi ritroverete con i siti disabilitati se non procederete al passaggio su Joomla 2.5 o 3 (alcuni provider italiani hanno già iniziato questa pratica e disattivano i siti con Joomla 1.5 anche se aggiornati all'ultima versione).
Ricordo inoltre che sempre per Joomla 1.5 avevamo già pubblicato questo articolo: Avviso sul template JA_Purity in Joomla 1.5
Già che siamo in tema sicurezza vi ricordo di leggere con attenzione anche questo articolo: La vera sicurezza per il sito in Joomla è il tuo atteggiamento!
Commenta questo articolo sul forum
