webalex.it

Mi sono accorto che K2 aggiunge l'estensione txt quando si allega un file zip. Questo bug è stato risolto sul forum di K2 già nel 2010. Bisogna modificare una riga del file:

\administrator\components\com_k2\lib\class.upload.php
Riga: ~2506
Cambiare...
$this->file_src_mime = mime_content_type($this->file_src_pathname);
...con...
$this->file_src_mime = mime_content_type($this->file_src_name);

Il numero della riga circa un anno fa era 2231, dipende dalla versione di K2 in uso.

Il modulo di registrazione di Joomla non comprende l'accettazione obbligatoria dei Termini e Condizioni d'uso, che spesso vengono utilizzati anche per l'informativa sulla Privacy.

Esiste un semplice hack, scritto da Hannes Papenberg, che si può scaricare da questo link su Joomlacode (bisogna prima registrarsi).

Il resto è facile:

1. si scompatta il file zip scaricato: ci sono una cartella di nome "com_user" e un file di nome plg_hpregistration.zip
2. nella dir del template che stiamo usando, si deve creare una cartella vuota "html"
3. dentro la cartella html si copia la cartella "com_user"
4. si installa il file plg_hpregistration.zip, che è un normale plugin
5. si attiva il plugin.
6. si crea un modulo html personalizzato, nel quale vanno scritti i Termni e Condizioni d'uso, e gli si assegna la posizione "termsofusage"

E' fatta, adesso nel modulo di registrazione di Joomla troviamo anche il checkbox obbligatorio per l'accettazione dei Termini.

Infine, per aggiungere il Captcha va benissimo OSOLCaptcha.

n. b.: viene segnalato da due visitatori che lo script non si riesce a scaricare. Lo trovate allegato a questo articolo, sotto i pulsanti di social sharing.

Il sito di Roma Expo 2010 Shangai è stato pagato dal Comune di Roma la bellezza di 1.370.000 euro. Quanto vale? Circa 22.000 euro ad essere proprio di manica larga.

Qui si fanno due conti onesti:

http://www.stenoweb.it/it/node/228

OSE Security Suite è un pacchetto di sicurezza per Joomla che è formato da tre componenti: un firewall, un sistema di controllo dei file e un antivirus.
Costa circa 100 euro (80 sterline inglesi) e si può usare senza limiti. Si ha anche diritto a un anno di supporto.

Installazione

In pratica OSE Security Suite è un sito Joomla del tutto separato da quello che si vuole proteggere. Bisogna creare un nuovo database e un nuovo utente del database stesso, e tutti i file vanno installati in una sottodir del sito.
La procedura di installazione è semplice, in quanto ricalca quella di Joomla. Alla fine si accede al pannello di controllo del pacchetto, uguale al pannello di Joomla, e si inizia la configurazione.

Anti-Hacker, il firewall

Il firewall vero e proprio si chiama Anti-Hacker. Il manuale in PDF non fornisce dettagli tecnici approfonditi, ma solo linee guida generali. Seguendo passo a passo il manuale la configurazione è semplice. Il firewall però va attivato inserendo una riga di codice apposita in uno dei file del sito: o php.ini o .htaccess o index.php

Ci sono tre livelli (layer) di protezione, il secondo dei quali è facoltativo e ha 10 livelli di regolazione. Questo Layer 2 è il più delicato perchè blocca gli spambot ma anche i googlebot. Il manuale consiglia di regolare il Layer 2 a livello 7 e poi di seguirne il comportamento nel tempo.

Infine, il Layer 3: è un plugin che collegato ad una BlackList internazionale in continuo aggiornamento. Per legarsi a questo servizio è sufficiente registrarsi presso il sito Project Honey Pot e ottenere una chiave da inserire nelle preferenze di OSE Anti-Hacker.

System Guard

Il secondo componente da usare si chiama OSE System Guard. Esso non è altro che l'integrazione di GuardXT, un'estensione ben nota per il controllo dei file (sia permessi che modifiche) e della configurazione di Joomla.
System Guard lavora a stretto contatto con Anti-hacker e fornisce il codice di attivazione del Firewall.

Antivirus

Infine c'è l'antivirus, che non ha bisogno di altro che dell'inserimento del path del sito. Anche in questo caso il manuale guida bene il primo utilizzo. Ci sono cinques file che risultano virus ma sono stati messi apposta per verificare il funzionamento del software.
Meglio non cancellarli ma inserirli nella whitelist. Io ho provato a rimuoverli con esiti disastrosi e ho dovuto reinstallare tutto da capo.

Pro

E' completamente indipendente dal sito che protegge.
Molto semplice da usare dopo la prima configurazione.
Completo e ricco di strumenti.
L'assistenza è veloce e costante.
Funziona.

Contro

L'installazione è un po' lunga e articolata.
Se si lavora molto spesso sul sito è meglio avere un IP statico o disabilitare il Layer 2 per il periodo di tempo necessario, altrimenti lo stesso admin viene bloccato a raffica. L'alternativa è aggiungere il proprio IP alla white list, ma tenere acceso il computer.
Se si usa Akeeba, si deve pagare per la versione pro per salvare anche il database di OSE Security.
L'upgrade è complicato.

Conclusioni

OSE Security Suite ha una curva di apprendimento un po' ripida ma poi viaggia in automatico. Può solo risultare un po' fastidioso se si cambiano spesso le estensioni e queste vengono bloccate dal firewall.
E' un ottimo prodotto, economico e ben assistito, che protegge bene. Chiaramente potrebbe non resistere ad un attacco mirato di hacker esperti, ma questo è un problema che hanno ben altri siti.
Consiglio di usarlo assieme a Eye Site per tenere sotto controllo tutti i file mediante un semplice cronjob.
Il vero fattore limitante è che, se non si dispone di un IP statico, alla fine si è costretti a disabilitare il Layer 2 per poter lavorare. A quanto dice l'assistenza, però, il Layer 2 serve essenzialmente per bloccare gli spambot, quindi non è di importanza fondamentale.

Questa è la migliore estensione di Joomla che ho trovato per pubblicare un portfolio dei propri siti.

Il componente non è più pubblicato sul sito ufficiale delle estensioni di Joomla, per cui bisogna trovare il sito dello sviluppatore e scaricarlo da qui:

Portfoliodesign

E' un componente ricco di opzioni e con una vasta gamma di personalizzazioni. Inoltre è gratuito. Se si vuole rimuovere il link, sacrosanto, al produttore, si pagano 25$

Questo modulo di Joomla mostra ogni giorno un'immagine proveniente dal sito della NASA. C'è un piccolo errore da scovare, perchè mostra una parte di codice che dovrebbe essere nascosta, ma le fotografie sono troppo belle per non pubblicarle.

Link

Ho provato qualche demo.

Tienda 0.5.2 r489, provato in versione gratuita Community, è il principale candidato a contrastare il dominio di VirtueMart. Ci sono rimasti ancora alcuni piccoli difetti e mancano alcune funzionalità, ma funziona già fluidamente e lascia intravedere grosse potenzialità..

Molto male Seber cart e JH Shop. Questi sono programmi già in vendita a circa 100 euro e se scarico un demo questo poi deve funzionare. Se invece faccio il beta-tester lo voglio sapere prima.

JH Shop è stato deludente.
Per scaricare il demo c'è una procedura con doppia ricezione di email e inoltre bisogna essere iscritti a Twitter, e già questo è indisponente. Ma quello che è peggio è che non si riesce a caricare le immagini, ne' con l'upload ne' prendendole direttamente dal sito.

Seber Cart all'inizio non sembra male.
Ma inserendo i prodotti mi sono accorto che la descrizione va messa in un articolo di Joomla, e quindi linkata nella scheda prodotto. Ciò significa che lo stesso oggetto ha una doppia gestione, in Seber cart e in Joomla. E' una soluzione semplicemente assurda della quale non capisco il vantaggio.
Inoltre nella versione gratuita che ho provato, chiamata Express, manca del tutto la funzione lightbox per ingrandire le foto. Non trovo cenno di questa mancanza ne' nel forum ne' nella descrizione del prodotto.

Red Shop funziona.
Ma sul sito del programmatore funziona quasi sempre tutto, invece io preferisco scaricare un demo. Proverò la versione light al più presto. Giudizio sospeso.

Il backup è imprescindibile per recuperare un sito compromesso, quindi il primo programma da installare è Akeeba, il cui vecchio nome era JoomlaPack.

Per la gestione della sicurezza dei siti realizzati con Joomla ci sono alcune estensioni donationware molto semplici e utili.

Site Scan - per gestire i permessi di file e directory.
Questo è uno script che si copia direttamente nella root del sito e si controlla via browser. Controlla e imposta i permessi sia per i file che per le directory. Inoltre è in grado di aggiungere un index.html nelle directory vuote, quindi attenzione perchè poi il file va rimosso dalla cartella di administrator. Alla fine del lavoro lo script va rimosso.

Eye Site - scansione del sito e segnalazione dei file modificati.
E' un componente che controlla tutto il sito e rileva i file nuovi, cancellati o modificati. Lo script può essere lanciato tramite un cron job, e poi Eye Site manda un email con i risultati della scansione.

Encryption Configuration - per criptare la password e i moduli.
Questo plugin cripta la password di accesso al sito e altri moduli di joomla, sia in backend che in frontend. E' posibile criptare anche moduli di terze parti.

Marco's SQL Injection - LFI Protection - protezione attiva del sito.
E' uno script che protegge il sito dai più comuni attacchi che avvengono via frontend.

Enhanced htaccess - il file htaccess modificato per aumentare le difese contro gli attacchi.
Questo file è proposto dallo stesso autore di Site Scan. Va usato con attenzione.

IPsafer - bannare gli IP automaticamente
Bannare gli IP può essere inutile perchè spesso sono dinamici, quindi avere lunghi elenchi da inserire nel file htaccess non ripara molto. IPsafer ha un approccio diverso. Fornisce due file modificati per Joomla, che vanno a sostituire quelli originali e permettono la verifica da remoto degli accessi al sito. Gli IP vengono bannati tenendo conto di una rete di controllo internazionale, in tempi anche molto rapidi.

redSHOP è alla versione 1.0 Per accedere al demo bisogna registrarsi. Sembra molto completo e prossimamente voglio studiarlo un po'.

update:
La registrazione non permette di usare il pannello di amministrazione, ma solo di provare un negozio demo.
Il negozio è ben fatto, però non si può verificare come funziona il multilingua e manca l'informativa sulla privacy che in Italia è obbligatoria.

link

Questo nuovo software di ecommerce per Joomla è ora alla versione 0.4.3. Sembra molto interessante.
E' giunto alla versione 0.5 Da ricordare che usa il sistema multilingua nativo di Joomla.

update 16 luglio 2010:
provata la versione community 0.5.1.
L'interfaccia è ben fatta ma bisogna abituarsi perchè rispetto a VM l'organizzazione del sito è tutta diversa. Purtroppo ci sono ancira dei bug pesanti. Per es. non si possono cancellare le impostazioni delle spedizioni perchè dà un errore "table not found".
Tienda promette bene, comunque.

link