Il taccuino di Armando Leotta Rotating Header Image

Joomla

Joomla 1.5.20 vulnerabile ad attacchi XSS

Fino a qualche giorno fa era disponibile un video prof-of-concept ed un hotfix.

Adesso è disponibile l’aggiornamento ufficiale a Joomla 1.5.21.

Buon aggiornamento.

Soluzione antispam open per Joomla (e non solo)

Joomla è un CMS open che non ha bisogno di presentazioni. Attualmente è stata appena rilasciata la versione 1.5.20 e continua a presentare una limitazione by design: le registrazioni al portale possono essere abilitate o disabilitate, abilitate con spedizione di link di attivazione o senza necessità di conferma. Nativamente però non offre la possibilità di un controllo sulla bontà della mail specificata nel modulo di registrazione né di consentire agli amministratori di sistema di moderare le nuove iscrizioni.

Oltre ad installare suite molto avanzate come jomsocial o Community Builder, poter contare su un workflow che consentisse queste verifiche non è cosa banale.

Dopo l’ultimo attacco di spambot (si sono registrati in centinaia, hanno confermato l’iscrizione e persino pubblicato il loro messaggio di spam sul forum) ho deciso di approfondire.

(altro…)

Quando una feature di sicurezza si veste di disservizio

Per ovvi motivi sono particolarmente attento alle problematiche di sicurezza.

Pertanto quando ricevo una mail dal mio hosting che comunica

In conjunction with the recent and upcoming roll-outs of several new cPanel security features, all customers will be required to change passwords to new, stronger passwords that meet stricter security requirements. These new requirements are designed to protect customers from potential security risks due to weak or easily guessable passwords

penso “eh, e giù di password complexity anche qui” rassegnandomi a dover cambiare la password già decisamente complessa.

Poco male.

Poco? Joomla se la prende perché è permaloso… JFTP unable to login sia sul front che sul backend. Dopo aver passato al setaccio svariati file di log mi rendo conto che l’account ftp dedicato all’ftp layer joomla di tanto in tanto non riesce a fare logon correttamente. Apro manualmente una sessione ftp con quelle credenziali e mi ritrovo un bel

530 FTP Access Denied, user@xxxxxxxxxxx.com has been temporarily blocked due to suspicious FTP activity

Della serie ” tuning questo sconosciuto” vi ho presentato un innalzamento del livello di sicurezza: quello che fino a due ore fa era una normalissima attività più che lecita di un’utenza FTP è diventata sospetta tanto da creare disservizio.

Adesso mi sento più sicuro.

Joomla! 1.5.12 Released

Joomla! 1.5.12 Released.