web-dev-qa-db-fra.com

Autorisations Apache optimales pour un site Web Joomla pour la conformité PCI

Un de nos nombreux sites Web Joomla a récemment échoué à un test de conformité PCI, et nos spécialistes des réseaux nous disent maintenant que nous devons "désactiver le fichier_fichier_contenu". Autant que je sache, ce serait à peu près la même chose que de désactiver PHP en ce qui concerne l'effet que cela aurait sur un site Joomla. Je parle de réseau ainsi que de mon lycée français, donc ne peut proposer aucune alternative viable, mis à part le fait de suggérer des changements de permission à Apache.

Nous utilisons WAMP et XAMPP sur nos serveurs Windows (en fonction de l'âge du site, nous les obtenons tous progressivement de 1,5 à 3x). RSFirewall est installé sur tous/la plupart des sites, ainsi que mod_security et divers paramètres htaccess, mais cela n’empêche apparemment pas le test d’avoir accès aux fichiers qu’ils ne devraient pas avoir.

Existe-t-il un ensemble minimal d’autorisations/paramètres compatibles Joomla que je peux suggérer et qui pourraient limiter la portée de file_get_contents comme alternative à la désactivation totale?

1
GDP

Pas sûr que ce soit la meilleure façon, mais cela nous a permis d'être conforme à la norme PCI:

  1. Application d'une autorisation de refus "seulement" en écriture à C:\ Pour notre compte utilisateur Apache.
  2. Définissez ensuite une autorisation Autoriser de "Contrôle total" pour le dossier C:\wamp.
0
GDP