Come facilmente intuibile dal nome, l'emulazione RG è un'emulazione del register_globals, che consente ad alcune applicazioni di funzionare anche se il register_globals è su off.

Per motivi di sicurezza è consigliabile portarla a OFF.

E' possibile farlo aprendo il file globals.php nella cartella principale del sito Joomla, e sostituire la linea define('RG_EMULATION', 1) con la riga define('RG_EMULATION', 0).

Concludiamo questa prima parte con un'altra direttiva fondamentale per il corretto funzionamento di Joomla, ovvero il safe mode, che dovrebbe essere impostato su OFF.

Se la direttiva safe_mode è attiva si potrebbero riscontrare problemi durante l’installazione di estensioni.

E' possibile modificare l’impostazione del safe_mode nei seguenti modi:

a) modificando direttamente il valore della direttiva accedendo al file php.ini

b) alterandone il comportamento inserendo nel file .htaccess la direttiva php_value safe_mode 0

Analogamente alla modifica del register_globals è possibile modificare l’impostazione delle Magic Quotes nei seguenti modi:

modificare il file .htaccess inserendo “php_flag magic_quotes_gpc on”.

Se non si ha accesso al file .htaccess si può cercare di modificare il file php.ini inserendo magic_quotes_gpc=on

Se non è possibile modificare nè il file .htaccess nè il file php.ini dovete contattare il vostro fornitore del servizio richiedendo il cambio dell’impostazione.

Dalla versione 4.2 di PHP register_globals è impostato automaticamente su stato di off al fine di prevenire problemi di vulnerabilità. Se la versione di PHP del nostro server è precedente alla 4.2 e register_globals è impostato su on è possibile cambiare l’impostazione nei seguenti modi:

modificare il file .htaccess inserendo “php_flag register_globals off”.

Se non si ha accesso al file .htaccess si può cercare di modificare il file php.ini inserendo “register_globals = off”

Se non è possibile modificare nè il file .htaccess nè il file php.ini dovete contattare il vostro fornitore del servizio richiedendo il cambio dell’impostazione.

Sembra banale ma seguire tre semplici regole ci può "salvare" da eventuali rischi di hacheraggio che il nostro sito può subire. Inutile sottolineare come queste tre regole non vanlgono solo per Joomla, ma per qualsiasi sito si trovi online. E' semplice osservare queste semplici indicazioni che ci vengono dagli sviluppatori di Jooma:

• tenere traccia del numero di versione di ogni estensione installata
• utilizzare sempre e soltanto l’ultima versione stabile di ogni estensione, compreso Joomla!
• rimuovere completamente i file relativi ad estensioni insicure

Semplice no? Non inficiare il buon funzionamento e la sicurezza sono alla base di un produttore e gestore di siti Web; non dimenticarlo mai!!!

In questa pagina ho pensato sia utile a molti di noi che utilizzano Joomla!! tenere a mente quali siano le estensioni a rischio. Primi di istallare un componente è bene verificare che non sia presente qui in basso. Ricordando che inficiando il Cms con alcuni di essi non solo corriamo il rischio di aprire le porte del nostro sito, ma anche di creare problemi ai nostri vicini di server e all'host che ci ospita. Ecco la lista aggiornata al 30/10/2009. Avete la mia parola, anche perchè è nel mio interesse (e nel vostro) tenere sempre aggiornato quanto segue.

30-10-09 Componente Jumi 2.0.5 backdoored
07-05-09 Joomla Almond Classifieds 5.6.2 Blind SQL Injection Vuln
22-04-09 Joomla Component rsmonials Remote Cross Site Scxripting Exploit
08-04-09 Joomla Component Cmimarketplace (viewit) Directory Traversal Vuln
08-04-09 Joomla Component MailTo (article) SQL Injection Vulnerability
08-04-09 Joomla Component Maian Music 1.2.1 (category) SQL Injection Vuln
06-04-09 Joomla Component com_bookjoomlas 0.1 SQL Injection Vulnerability
12-03-09 Joomla Djice Shoutbox 1.0 Permanent XSS Vulnerability
06-03-09 Joomla com_ijoomla_archive Blind SQL Injection Exploit
04-03-09 Joomla com_carman 2.x (Itemid) Remote SQL Injection Exploit
04-03-09 Joomla com_reservation (Itemid) Remote SQL Injection Exploit
03-03-09 Joomla com_digistore (pid) Blind SQL Injection Exploit
03-03-09 Joomla-Mambo Component eXtplorer Code Execution Vulnerability
27-01-09 Joomla com_flashmagazinedeluxe (mag_id) SQL Injection Vulnerability
21-01-09 Joomla com_pcchess (game_id) Blind SQL Injection Exploit
21-01-09 Joomla Component beamospetition 1.0.12 SQL Injection - XSS
21-01-09 Joomla Com BazaarBuilder Shopping Cart v.5.0 SQL Injection Exploit
19-01-09 Joomla com_waticketsystem Blind SQL Injection Exploit
19-01-09 Joomla Component com_news SQL Injection Vulnerability
19-01-09 Joomla com_pccookbook (recipe_id) Blind SQL Injection Exploit
19-01-09 Joomla Component Gigcal 1.x (id) SQL Injection Vulnerability
15-01-09 Joomla com_Eventing 1.6.x Blind SQL Injection Exploit
14-01-09 Joomla Component Camelcitydb2 2.2 SQL Injection Vulnerabilities
14-01-09 Joomla Component Fantasytournament SQL Injection Vulnerabilities
13-01-09 Joomla Component com_gigcal (gigcal_gigs_id) SQL Injection Vuln
12-01-09 Joomla Component Portfol (vcatid) SQL Injection Vulnerability
12-01-09 Joomla com_xevidmegahd (catid) Remote SQL Injection Exploit
12-01-09 Joomla com_jashowcase (catid) Remote SQL Injection Exploit
12-01-09 Joomla com_newsflash (id) Remote SQL Injection Vulnerability
07-01-09 Joomla <= 1.5.8 (xstandard editor) Local Directory Traversal Vulnerability
06-01-09 Joomla com_phocadocumentation (id) Remote SQL Injection Exploit
05-01-09 Joomla com_na_newsdescription (newsid) SQL Injection Exploit
05-01-09 Joomla Component simple_review 1.x SQL Injection Vulnerability