Quando utilizziamo uno script conosciuto (ad es. WordPress, Drupal o Magento) per realizzare un sito web, ci troviamo sempre a fronteggiare attacchi informatici su URL che presentano vulnerabilità note.
Per aumentare la sicurezza del server in ambiente WHM/cPanel, è opportuno disabilitare l’autenticazione SSH tramite password e abilitarla solamente tramite chiave RSA a 2048 bit.
Per procedere da WHM scegliere Manage root’s SSH Keys (Gestione chiavi SSH della radice per chi usa la lingua italiana) e generare una chiave, assegnando ad essa un nome e scegliendo una password.
La situazione cui ci troviamo di fronte è quella di avere una installazione di Drupal funzionante, e di aggiungere una cartella “stats” dentro cui carichiamo i file *.pl per leggere le statistiche awstats del sito.
Supponiamo inoltre di voler proteggere la directory con password per renderla accessibile solo al cliente. La protezione con password è da effettuarsi tramite il cpanel.
Le imposstazioni di prtezione della cartella però vanno in conflitto con le direttive scritte dentro il file .htaccess di drupal; per rendere funzionante il meccanismo è necessario effettuare qualche modifica:
- Creare un file 401.html e caricarlo sia nella root che nella cartella da proteggere
- Aggiungere una direttiva al file .htaccess della root del sito
- Aggiungere due direttive al file .htaccess che risiede dentro la cartella protetta
Creare file 401.html
Creare un file di testo, nominarlo 401.html e al suo interno incollare il seguente codice
|
1 2 3 4 5 6 |
<html> <head><title>401 Password Needed</title></head> <body><h1>401 Password Needed</h1> <p>You don't have permission to access this folder.</p> </body> </html> |
Caricare il file nella root dell’installazione di Drupal, e dentro la cartella protetta da password
Direttiva dentro l’htaccess nella root dell’installazione
Aprire il file .htaccess che risiede nella root dell’installazione di drupal, in cima, sotto al codice
|
1 |
ErrorDocument 404 /index.php |
aggiungere
|
1 |
ErrorDocument 401 /401.html |
e salvare.
Direttive dentro al file .htaccess che risiede dentro la cartella protetta
Aprire l’htaccess che risiede dentro la cartella protetta da password e in cima, prima di ogni riga scritta aggiungere i seguenti comandi:
|
1 2 |
Options +Indexes DirectoryIndex awstats.pl |
Salvare e caricare il file.
Seguendo questi 3 passi si ottiene la cartella delle statistiche protetta da password, accessibile dal web dopo aver inserito user e password nella maschera di acesso e la navigazione di Drupal intatta, eventuali aree protette agli utenti comprese.
Nel nostro form creato con il modulo Webform per drupal aggiungere un campo testuale, chiamiamolo antispam, di tipo text field e impostiamolo con non obbligatorio (non spuntare la casella mandatory) e non includiamolo in email (non spuntare la casella email).
Aprire il foglio di stile del nostro tema e modifichiamolo per nascondere il campo alla vista degli utenti. In genere il codice necessario è
div#webform-component-antispam {display: none;}
N.B. antispam è il nome del nostro campo, e caratterizza sia le regole del foglio di stile, sia le regole di validazione del form, che vedremo più avanti, assicurarsi quindi di mantenere antispam o il nome che scegliamo per il campo in tutto il codice che copiamo da questi appunti.
Torniamo nella configurazione del nostro form e cerchiamo il gruppo di opzioni Webform advanced settings; all’interno di “Additional Validation” incolliamo
|
1 2 3 4 5 |
<?php if ($form_values['submitted_tree']['antispam'] != "") { form_set_error('submitted_tree][antispam', t('Failed attempt')); } ?> |
dove antispam è il nome del nostro campo aggiuntivo.
A questo punto il nostro form di contatto possiede un campo in più nascosto alla vista dell’utente, e che quindi l’utente non compila. Il controllo aggiuntivo fà si che se il campo è vuoto il form venga processato correttamente, in caso contrario (come succede quando sono i bot a inviare messaggi di spam) il form non passa la validazione, e non invia il messaggio.