SEUGURIDAD DE MOODLE

SEUGURIDAD DE MOODLE

by MANUEL A. B. -
Number of replies: 9

Hola, he instalado moodle en un servidor Linux y he solicitado al proveedor que desactivase el modo seguro para evitar perdida de funcionalidad, sin embargo ahora encountro los siguientes mensajes en el apartado NOTIFICACIONES:

1)La configuración de su sitio podría no ser segura. Por favor, asegúrese de que su directorio raíz (...../midominio/httpdocs/moodledata) no es accesible directamente vía web.

2) No se recomienda habilitar el ajuste PHP display_errors en sitios en producción debido a que algunos mensajes de error pueden revelar información sensible sobre su servidor.

3) El script de mantenimiento del cron.php no ha sido ejecutado durante las últimas 24 horas.

¿QUE DEBO DE HACER?...

Como siempre muchas gracias por adelantado.

 

Average of ratings: -
In reply to MANUEL A. B.

Re: SEUGURIDAD DE MOODLE

by David Hernández -

Hola Manuel,

Sobre 1)

Esto quiere decir que en tu escenario de trabajo no fue posible colocar la carpeta de datos (moodledata) fuera del área pública del servidor y esto implica que hay una posible vulnerabilidad en tu plataforma.

En los servicios de hosting compartido esta situación es muy común, por lo que Moodle ofrece un mecanismo para minimizar dicha vulnerabilidad.

Para saber si dicho mecanismo fue implementado adecuadamente trata de entrar a la carpeta de datos de tu plataforma, por ejemplo:

http://www.misitio.com/moodle/moodledata

Si te sale un error, entonces Moodle trabajó satisfactoriamente.

Si te sale un listado de archivos u otra cosa, entonces tu plataforma es totalmente insegura y debes evitar trabajar en ella hasta solucionar este problema.

Sobre 2)

Tu proveedor tiene configurado el PHP de manera que si hay algún error en un script éste se muestre en pantalla.

Esto es útil para los desarrolladores de código, pero dependiendo de la información que se muestre, ésta puede ser utilizada por personas poco éticas para atacar tu plataforma.

En este caso le debes pedir a tu proveedor que te indique cómo desactivar esto de "display_errors".

Sobre 3)

Tienes que correr el cron de tu plataforma.

¿Qué es esto? ¿Para qué sirve? ¿Cómo correrlo automáticamente?

Por favor busca en los foros, pues este tema está ultra-desarrollado en cientos de posts, así como en la documentación oficial de la plataforma.

Saludos

PD Cuanto entras al área de notificaciones, generalmente, hasta abajo de la página hay un vínculo hacia la ayuda de Moodle (el ícono es un signo de interrogación). Creo que valdría la pena echarle un vistazo a la información que incluye,

Average of ratings: Útil (8)
In reply to David Hernández

Re: SEUGURIDAD DE MOODLE

by MANUEL A. B. -

Muchísimas gracias David por tus magníficas aclaraciones, que seguro serán de gran utilidad, además de para mi, para muchos usuarios.

Average of ratings: -
In reply to MANUEL A. B.

Re: SEUGURIDAD DE MOODLE

by David Quintal -

Saludos Manuel tambien creo que es importante buscar en los foros esos temas estan mas que discutidos son los basicos.

Asi puedes aprender mas.

Tambien excelente al respuesta de Wenceslao

Average of ratings: -
In reply to David Hernández

Re: SEUGURIDAD DE MOODLE

by Christophe Patigny -

Buenas noches,

Es respecto al segundo punto. Me he instalado en local el Moodle 2.0+ usando Xampp (creo que la versión 1.7+), y me sale el segundo mensaje indicado por el compañero. Intento instalarme el modulo no estándar para Twitter...

Probé en desactivarlo en php.ini, y poner en los tres parámetros de displays_errors "off", pero el mensaje sigue apareciendo sin dejarme acceder a Notificaciones.  ¿Cómo desactivo el aviso y puedo continuar instalando el modulo?

Gracias,.

Average of ratings: -
In reply to Christophe Patigny

Re: SEUGURIDAD DE MOODLE

by David Hernández -

Hola Christopher,

¿Podrías poner una captura de pantalla?

Por lo que comentas tu problema es diferente, pues lo de "display errors" no afecta en nada la parte operativa de la plataforma.

Con esta modalidad habilitada de vez en vez se ven leyendas "raras" en la pantalla, pero no afectan ninguna funcionalidad.

Saludos

Average of ratings: -
In reply to David Hernández

Re: SEUGURIDAD DE MOODLE

by Christophe Patigny -

Buenas tardes,

El modulo de Twitter me daba error. Visto que podía ser un error de actualización del modulo para Moodle 2.0, (véase este otro foro), me busque uno que pusiera expresamente que era para Moodle 2.0+. He usado "Standard Slideshow"...

Después de cargarlo en moodle/mod, al ir a Notificaciones me ha salido el mismo mensaje, pero me ha detectado el nuevo recurso, dejado Actualizar y creado correctamente las bases de datos. He podido agregar un recurso en un curso, sin problemas aparentes.

El aviso sigue y no sé cómo desactivarlo... (Adjunto captura pantalla.)

thoughtful ¿Realmente me va suponer un problema si sólo voy a trabajar en local?

*Por cierto, David, me encanta tu imagen. El perro o lobo es precioso.

Saludos,.

Average of ratings: -
In reply to Christophe Patigny

Re: SEUGURIDAD DE MOODLE

by David Hernández -

Hola Cristopher,

Entiendo el asunto.

Osea, no hay ningún problema con la instalación de módulos ni nada.

Lo que sucede es que te sale la leyende referida en el área de "Notificaciones".

Si estás en "localhost", no te afecta en nada tenerla, pues como ya hemos mencionado, esta configuración sólo arroja mensajes en pantalla, pero no inhibe funcionalidad alguna en la plataforma.

Para que no aparezca la leyenda, debes modificar el archivo de configuración de PHP, llamado "php.ini".

Hay veces en los que existen varios archivos "php.ini", por lo que para saber cuál está siendo reconocido, conviene entrar a la siguiente parte de la plataforma:

Bloque "Ajustes" -> Sección "Administración del sitio" -> Servidor -> Información PHP -> Del lado derecho buscar la leyenda "Loaded Configuration File" y en la ruta respectiva encontraremos el archivo "php.ini" en uso

En un servidor rentado no podremos modificar el archivo nosotros mismos, por lo que se le debe preguntar al proveedor cómo desactivar esta configuración.

Si tenemos acceso al archivo "php.ini", hay que abrirlo con un editor de texto (no con un procesador de palabras), y poner en "Off" lo siguiente:

display_errors = Off

Opcional pero muy recomendado:

display_startup_errors = Off

Luego de hacer lo anterior, se debe detener el servidor Web (Ej. Apache) y luego reiniciarlo para que se lean los cambios (en un servidor rentado ello no es necesario).

Para confirmar que la nueva configuración está operando, dar clic de nuevo en "Notificaciones" (ya no debe haber leyenda alguna relacionada con "display_errors").

O bien, entrar a ver la información de PHP, y ubicar la configuración en la sección "Configuration PHP Core".

Saludos

PD La foto del lobo la saqué de aquí tongueout

Average of ratings: Útil (1)
In reply to David Hernández

Re: SEUGURIDAD DE MOODLE

by Francisco García -

Hola David...

Pues yo ya instale la versión 2.0.2 y cambie el php.ini como mencionas y me sigue apareciendo el mensaje.

No se recomienda habilitar el ajuste PHP display_errors en sitios en producción debido a que algunos mensajes de error pueden revelar información sensible sobre su servidor.

Será esto un problema de la nueva versión?

Saludos

Paco

Average of ratings: -
In reply to Francisco García

Re: SEUGURIDAD DE MOODLE

by Francisco García -

Ya localice el php.ini correcto, efectivamente, si lo instalas en un subdirectorio no es el php.ini del raiz si no del subdirectorio.... Gracias

Average of ratings: -