Ho notato che molti utenti si interrogano sulla sicurezza dei CMS ed alcuni (come ad esempio baccanoinside) chiedevano informazioni specifiche su Xoops.

Non vorrei sembrare campanilistico, ma ho scelto Xoops (e ho continuato a lavorare su Xoops) in quanto lo ritengo uno dei CMS più sicuri e protetti che ci siano in circolazione. Con questo non voglio dire che il vostro sito xoopsato sia invulnerabile; nulla è sicuro al 100%.
Qualsiasi il livello di sicurezza fornito è sempre bene però essere accorti nel gestirne i parametri, (della serie: non lasciate le chiavi della macchina nel cruscotto!).

Vediamo allora qualche dritta per stare più tranquilli con Xoops.

Directory e i files scrivibili

Devono essere scrivibili:
Directory uploads/
Directory cache/
Directory templates_c/
File mainfile.php

Tutti gli altri file/direttori possono essere impostati come accessibili solo in lettura.

ATTENZIONE: il file mainfile.php deve essere mantenuto scrivibile solo durante il processo di installazione. A installazione completata il file deve essere reso accessibile in sola lettura.


Prefisso tabelle
In fase di installazione modificate a piacimento il prefisso delle tabelle del vostro sito. Non è buona norma lasciare il valore di default ("xoops").


Cartella install/
Al termine dell'installazione è di fondamentale importanza eliminare la cartella install/.


Attacchi hacker vari
Al fine di prevenire gli attacchi maliziosi dall'esterno consiglio caldamente di installare il modulo Xoops Protector di GIJOE (www.peak.ne.jp/xoops), che è in grado di prevenire/intercettare:
- attacchi DoS
- Bad Crawlers
- SQL Injection
- XSS (solo una piccola parte)
- inquinamento delle variabili globali
- hi-jacking della sessione
- Null-bytes
- specifiche maliziose di path file errate
- alcuni tipi di CSRF (fatali in XOOPS <= 2.0.9.2)
- attacchi a forza bruta


Con questi minimi accorgimenti il vostro Xoops diventerà simile ad una corazzata... ma state sempre attenti! La sicurezza non è mai troppa!


-Defkon1 [XoopsIT Staff]