Moodle - problém se zabezpečením?

Dobrý den,

po rychlém a zcela bezproblémovém nainstalování aplikace Moodle 1.9.8+ (Build: 20100512) přesně dle vašeho návodu jsem v části Správa > Sestavy > Přehled zabezpečení našel jeden vážný problém a několik varování:

1) vážný problém - datový adresář moodledata je chybně umístěn a jeho obsah může být dostupný přes web,
2) varování - zobrazování chyb PHP (PHP display_errors) je zapnuto, doporučuje se vypnout,
3) varování - PHP skripty mohou měnit config.php,
4) varování - RISK_XSS - počet důvěryhodných uživatelů: 1,
5) varování - zálohování dat uživatelů - počet nalezených rolí: 1, počet lokálních přenastavení oprávnění: 0, celkem uživatelů: 1.

Můžete mi prosím poradit, jak lze tyto problémy odstranit? Děkuji.

Dobrý den,

zde máte vysvětlení a postup:

1. Složka moodledata je zabezpečená souborem .htaccess, a proto obsah nemůže být dostupný přes web.
2. Pokud nechcete zobrazovat chybová hlášení, stačí zaslat e-mail na podpora@c4.cz.
3. Změňte oprávnění souboru config.php na 440 (r--r-----) - http://navody.c4.cz/pristupova-prava-k-souborum
4. Kliknutím na odkaz XSS důvěryhodní uživatelé se Vám zobrazí seznam uživatelů. V něm zkontrolujte, zda se jedná o důvěryhodné uživatele.
5. Kliknutím na odkaz Zálohovat data uživatelů uvidíte seznam uživatelů, kteří mají oprávnění zálohovat i data uživatelů. Stačí překontrolovat uživatele.

Děkuji Vám za rychlou odezvu, jasné vysvětlení a radu, jak postupovat.

Soubor .htacess v datovém adresáři moodledata jsem našel, práva k souboru config.php jsem změnil, důvěryhodné uživatele a zálohování dat jsem zkontroloval a hlášení o zobrazování chyb PHP jsem přestal věnovat pozornost, takže nyní již je vše OK:-) Díky.

Ve své předchozí odpovědi jsem nechtěně zlehčil problém týkající se zobrazování chyb PHP, v současné době však Moodle pouze testuji, tj. nejedná se o ostrou verzi.

S ohledem na obecný název tohoto tématu přikládám několik souvisejících odkazů, které jsem dnes našel:
1) Moodle Docs: Security Overview - http://docs.moodle.org/en/Security_overview
2) Moodle Docs: Category: Security - http://docs.moodle.org/en/Category:Security
3) Moodle: Security and Privacy - http://moodle.org/mod/forum/view.php?f=1048
4) Moodle.org: Security News - http://moodle.org/security/
5) Moodle.org: Security Announcements - http://moodle.org/mod/forum/view.php?f=996

dobrý den, začal jsem s testování Moodle 2.0 na vašem hostingu, ale při instalaci je v této nové verzi již vyžadováno umístění adresare moodledata mimo web. Chci se tedy zeptat..jestli je nejaka moznost presunitu adresare moodledata nad adresar /www ??

dekuji

Dobrý den,

když budete postupovat podle návodu Moodle - Instalace, tak tam je cesta směrovaná do složky tmp, která je umístěná mimo web. Takže cestu zadejte ve tvaru /data/www/nazev-vasi-domeny/tmp/nazev-vaseho-webu/, přesně jak je uvedeno v návodu.

Omlouvám se za mojí nepozornost - dekuji za radu - ted vse funguje