セキュリティ概要レポート
( セキュリティの概要からリダイレクト)
- セキュリティの推奨事項
- セキュリティ概要レポート
- サイトセキュリティ設定
- サイト通知
- パスワードソルト
- プライバシーの向上
- スパムを減らす
- セキュリティFAQ
セキュリティ概要レポートは、サイト管理の「セキュリティ概要」から入手できます。
- register_globalsはPHPの設定で、Moodleが安全に動作するために無効にされなければなりません。
- datarootはMoodleがユーザファイルを保存するディレクトリです。 Webから直接アクセスすることはできません。
- PHPがエラーを表示するように設定されている場合、だれでも間違ったURLを入力すると、PHPはディレクトリ構造などに関する貴重な情報をあきらめることになります。
- ベンダーのディレクトリは、公開サイトには存在しません。
- 「認証なし」プラグインを使用すると危険な場合があり、ユーザーは認証なしでサイトにアクセスすることができます。
- メディアオブジェクトが別のサーバー上にある場合でも、これらのリッチメディアオブジェクトを使用して管理者や教師のアクセスを盗むことができるため、一般のユーザーがFlashなどのメディアをテキストに埋め込むことを許可するのは問題になります。
- フラッシュメディアフィルタでさえ悪意のあるフラッシュファイルを含むために悪用される可能性があります。
- プライバシーの理由から、そしてスパマーがあなたのサイトにスパムを公表するためのプラットフォームを持っているという理由で、ユーザープロファイルは認証なしでウェブに公開されるべきではありません。
- Googleがあなたのサイトに入ることを許可することは、すべてのコンテンツが世界中で利用可能になることを意味します。それが本当に公共の場所でない限り、これを使わないでください。
- パスワードポリシーを使用すると、侵入者に解読されにくい強力なパスワードをユーザーに使用させることになります。
- パスワードソルトを設定すると、パスワード盗難のリスクが大幅に減少します。
- 通常、確認リンクがユーザーに送信されるという追加の手順で、ユーザーに電子メールアドレスの変更の確認を常に強制する必要があります。
- SSL経由でサービスを提供する場合にのみ安全なクッキーを使用することをお勧めします。
- config.phpファイルはWebサーバープロセスによって書き込み可能であってはいけません。もしそうであれば、他の脆弱性により攻撃者がMoodleコードを書き換えて彼らが望むものを表示することが可能になる可能性があります。
- あなたがこのリストのすべての人々を信頼していることを確認してください:彼らは潜在的にフォーラムなどでXSSエクスプロイトを書く許可を持っているものです。
- 管理者アカウントを確認し、必要なものだけがあることを確認してください。
- ユーザーデータをバックアップする必要があるロールだけがそれを実行できること、およびその機能を持つすべてのユーザーが信頼されていることを確認してください。
- これにより、登録されたユーザーロールが適切な権限で定義されていることが確認されます。
- これにより、ゲストロールが適切な権限で定義されていることが確認されます。
- これにより、フロントページのユーザーロールが適切な権限で定義されていることを確認します。
関連情報
- moodle.orgのセキュリティとプライバシーフォーラム