Joomla! 1.0.14 RC1へ少しずつ変更しています。

FTPでダイレクトにファイルを開き、バックアップもせずに直接変更しているのですが、（とんでもないのでまねしないでください。）途中まで変更した状態です。

ほとんどがバックエンド部分なのでフロントエンドの検索部分とコア部分、index.phpなどを重点的に変更しました。昨日、行った変更でサイト内検索ができなくなりましたが、消してはいけない行を間違って消していたのが原因でした。まあ、直接変更していることが一番の原因なのですが・・・。少しずつという事もおかしいですね。また、今日も少し変更しました。

今・・・そうですね、　Joomla! 1.0.136 RC1 位でしょうか。

Joomlaのadministratorフォルダとxmlrpcフォルダに.htaccessでアクセス制限をかけましょう。

以下は、サンプル。
※指定したIPアドレスなら認証をスルーします。ご注意を。

<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
#example:"/var/html/administrator/.htpasswd"
AuthUserFile "/your htpasswd file path"
AuthGroupFile /dev/null
#example:"Watashi Dakeyo"
AuthName "Only Administrator"
AuthType Basic
Require valid-user
Satisfy Any
Order Deny,Allow
Deny from all
Allow from 123.123.123.123
Allow from 345.345.345.345

htpasswdファイルは、ここで：.htaccess Tools

FireboardのRSSでエラーが出ていました。

Firefoxで表示すると問題なく表示されるのですが、IE6, IE7の両方で表示させようとするとエラーが出て表示できません。

そこで下記の部分を変更してみました。

Root/components/com_fireboard/sources/fb_rss.php

61行目のDOCTYPE行を削除しました。

同じく以下を

echo ("<description>" . htmlspecialchars(substr($words, 0, 512)) . "...</description>" . "\n");

を

echo ("<description>" . htmlspecialchars(mb_substr($words, 0, 512)) . "...</description>" . "\n");

へ変更しました。

今のところエラーは出ていません。

実は、IE６でこのサイトを見ていたら見たこともないJavascriptのソースでエラーが発生してIEがフリーズしてしまいあわてていました。その見たこともないJavascriptは、たくさん入れているアドオンの一つが原因だったので良かったのですが、最初は本当に見たこともないJavascriptなのでうちのサイトにはそんなJavascriptないのになぜ？って感じでした。そんなこともあるんですね。

で、fireboardのRSSエラーは前から知っていたのですが、致命的ではないと思っていたんです。（致命的ではないと判断すると行動が鈍いです。）ところが、上記のからみもあってIE6で表示したらエラー。IE7でもエラーではないですか。

linux.comで「Securing Joomla! installations」という記事がありました。

簡単に

• PHP4かPHP５を使用する。
• ディレクトリは、chmod 755にファイルはchmod 644にする。
  （できるだけ書き込み不可にする。全部やるとエラーが出る。）
• グローバルコンフィグレーションのサーバータブでchmod の設定を行う。
  （ディレクトリは、chmod 755にファイルはchmod 644）
• 複雑な文字数の多いパスワードにする。
• rootのhtaccessを使う。
• register_globalsはオフにする。
• php.iniに以下を追加する。
  allow_url_fopen = OFF
  disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
  
• administratorフォルダにhtaccessでアクセス制限をかける。
• 以下のサイトをチェック。
• • vulnerabilities
     
  • Secunia's Vulnerability Database
     
  • Joomla! Forums's security category
     
  • read what others have to say
     
  • these guidelines
     
  • the Joomla! Administrator's Security Checklist
     
    .
• 絶えず、セキュリティリストをチェックし、エクステンションのバージョンアップを行う。サーバーログもチェックしなよ。と

超言葉足らずですが、要点はこんなところかと思います。中にはサーバーによってできないものもあるかと思いますが、気をつけましょう。

特にhtaccessで制限をかけることは、簡単なので最初にしておきましょう。

• Root/administratorフォルダ
• Root/xmlrpcフォルダ
  

エクステンションやJoomlaに問題があったとき、テストサイトを作ってもらえると解決が早いです。（問題の程度にもよりますので一概に言えませんけどね。）

　先日問い合わせのあった方は、自らテストサイトを用意されJoomlaの管理者アカウントを連絡いただきました。そのおかげでメールのやりとりでは、見えていなかった観点のずれなどがわかり、すぐに解決できました。問題が起こったサイトと同じサーバーでテストサイトを作ってもらえるとありがたいです。そしてその問題をそのテストサイトで再現してみてください。

　残念ながら、私には英語力がありませんし、たとえ日本語であっても見ている物が異なっていれば答えも違ってきてしまいます。

　すぐに対応できないときもありますが、問題があれば遠慮無くご連絡ください。