セキュリティ概要レポート

セキュリティ概要レポートは、サイト管理の「セキュリティ概要」から入手できます。

• グローバルを登録する

register_globalsはPHPの設定で、Moodleが安全に動作するために無効にされなければなりません。

• 安全でないデータルート

datarootはMoodleがユーザファイルを保存するディレクトリです。 Webから直接アクセスすることはできません。

• PHPエラーの表示

PHPがエラーを表示するように設定されている場合、だれでも間違ったURLを入力すると、PHPはディレクトリ構造などに関する貴重な情報をあきらめることになります。

• ベンダーディレクトリ

ベンダーのディレクトリは、公開サイトには存在しません。

• 認証なし

「認証なし」プラグインを使用すると危険な場合があり、ユーザーは認証なしでサイトにアクセスすることができます。

• EMBEDとOBJECTを許可

メディアオブジェクトが別のサーバー上にある場合でも、これらのリッチメディアオブジェクトを使用して管理者や教師のアクセスを盗むことができるため、一般のユーザーがFlashなどのメディアをテキストに埋め込むことを許可するのは問題になります。

• 有効な.swfメディアフィルタ

フラッシュメディアフィルタでさえ悪意のあるフラッシュファイルを含むために悪用される可能性があります。

• ユーザープロファイルを開く

プライバシーの理由から、そしてスパマーがあなたのサイトにスパムを公表するためのプラットフォームを持っているという理由で、ユーザープロファイルは認証なしでウェブに公開されるべきではありません。

• Googleに公開

Googleがあなたのサイトに入ることを許可することは、すべてのコンテンツが世界中で利用可能になることを意味します。それが本当に公共の場所でない限り、これを使わないでください。

• パスワードポリシー

パスワードポリシーを使用すると、侵入者に解読されにくい強力なパスワードをユーザーに使用させることになります。

• パスワードソルト

パスワードソルトを設定すると、パスワード盗難のリスクが大幅に減少します。

• メール変更確認

通常、確認リンクがユーザーに送信されるという追加の手順で、ユーザーに電子メールアドレスの変更の確認を常に強制する必要があります。

• 安全なクッキー

SSL経由でサービスを提供する場合にのみ安全なクッキーを使用することをお勧めします。

• 書き込み可能なconfig.php

config.phpファイルはWebサーバープロセスによって書き込み可能であってはいけません。もしそうであれば、他の脆弱性により攻撃者がMoodleコードを書き換えて彼らが望むものを表示することが可能になる可能性があります。

• XSS信頼ユーザー

あなたがこのリストのすべての人々を信頼していることを確認してください：彼らは潜在的にフォーラムなどでXSSエクスプロイトを書く許可を持っているものです。

• 管理者

管理者アカウントを確認し、必要なものだけがあることを確認してください。

• ユーザーデータのバックアップ

ユーザーデータをバックアップする必要があるロールだけがそれを実行できること、およびその機能を持つすべてのユーザーが信頼されていることを確認してください。

• 全ユーザーのデフォルトロール

これにより、登録されたユーザーロールが適切な権限で定義されていることが確認されます。

• ゲストのロール

これにより、ゲストロールが適切な権限で定義されていることが確認されます。

• フロントページのロール

これにより、フロントページのユーザーロールが適切な権限で定義されていることを確認します。

関連情報

• moodle.orgのセキュリティとプライバシーフォーラム