Recentemente è apparso un gruppo di hackers, o più precisamente di lamers, che utilizzano il motore Google come fonte per cercare siti web realizzati con PHP-Nuke. Una volta ottenuti i dati vanno visitando pagina per pagina e tentano di attaccare i siti via SQL Injection. Gli ultimi attacchi realizzati sotto i giorni di Natale 2004 sono stati possibili per una falla nel Forum phbb (leggi qui la patch che avevamo pubblicato già nel lontano 23 novembre) oppure, ed è stato il caso del nostro sito, per una versione di Php non aggiornata in tempo sul nostro server (leggi qui).

Da tutta questa esperienza si possono trarre alcuni consigli:

1.- Utilizzare sempre e solo le versioni pubbliche di PHP-Nuke. Se possibile scaricandole da un sito conosciuto o direttamente dal sito ufficiale di PHPNuke. Non utilizzare mai versioni scaricate via P2P ( Es: Emule ).

2.- Applicare sempre tutte le patches che sono state annunciate prima di caricare una nuova versione. Possiamo ottenere i pacchetti completi delle patches relative ad ogni versione sui siti www.nukefixes.com o www.nukeresources.com.

3.- Non settare mai i permessi di qualsiasi cartella o files PHP a 777. Il massimo che potete assegnare deve essere 666. A meno che uno script specifico richieda di avere permessi maggiori per funzionare, però mai 777 (alcuni provider escludono automaticamente questa assegnazione). Se incontrate moduli che richiedono il 777 non usateli!

4.- Utilizzare un sistema di sicurezza per aiutare a migliorare la sicurezza del nostro sito. Possiamo utilizzare NukeSentinel, Admin Secure o Protector System aggiornandoli continuamente con le nuove versioni. (Esistono molte altre soluzioni però queste sono le più utilizzate).

5.- Anche se non dovrebbe essere un vostro compito, specie se pagate per il vostro servizio di hosting, cercate di tenervi sempre aggiornati oltre che sui problemi di sicurezza di PHPNuke, anche su quelli di PHP ossia dei bug che man mano vengono scoperti anche su questo applicativo che viene usato sui server dove gira il vostro Nuke. In caso di segnalazione di rilascio di nuove versioni assicuratevi che il vostro provider le abbia installate.

Da oggi su www.phpnukefordonkeys.com sarà potenziata la sezione relativa alla sicurezza con news aggiornate su tutto ciò che riguarda gli aspetti su descritti.