« Osservatorio e-commerce B2c: la presentazione dei risultati | Main | Corsi SEO personalizzati »

Movable Type e le impostazioni di mod_security

Durante la migrazione dei server di cui vi ho parlato qualche giorno fa, siamo ancora al primo, a maisazi.com, abbiamo dovuto superare uno scoglio non banale, quello dell'impostazione delle regole di mod_security. Eccovi qualche aspetto da tenere presente se anche voi pensate di cambiare server o hosting.

Una premessa prima di iniziare, non sono un sistemista, quindi le descrizioni e le considerazioni che darò sono quelle che potrebbe fare un Consulente Web Marketing come me, che sino a 15 anni fa metteva le mani dentro ad un PC, ma che da allora s'è persino scordato cosa significhi PHP, figuriamoci C o Kernel o BIOS o Interrupt.

Iniziamo?

 

Manifestazione del problema

Trasferito il database e le pagine di maisazi.com sul nuovo server e fatte alcune prove di funzioni critiche, ad esempio la pubblicazione di un post, andiamo in onda. Si girano i DNS sulla nuova macchina, che diventa quella effettiva.

A questo punto iniziamo la prova sistematica di tutte le funzioni di Movable Type e ci accorgiamo di due problemi importanti: all'inserimento di un commento si ha un errore critico del server; il salvataggio di alcuni template di pubblicazione porta ad un secondo errore critico e di fatto non salva. Stranamente, invece, funziona la pubblicazione massiva delle pagine.

Decido di concentrarmi su questo secondo problema. Ormai dovrei fargli una proposta di assunzione, mi rivolgo a Simone Carletti. Per queste cose scelgo sempre l'amico Simone perché tra le tante persone che conosco è una delle poche che unisce una forte conoscenza informatica a capacità sistemistiche e visione web marketing, oltre che essere un ottimo SEO e sviluppatore. Simone non parla perché ha letto un libro. Le cose che dice le ha provate e spesso sue indicazioni mi hanno mostrato un percorso che poi mi ha consentito di risolvere un problema. Anche in questo caso è stato così, perché in chat mi dice "mod_security, sicuramente è lei".

 

Cos'è mod_security

Mod_security è un modulo di Apache su Linux che consente la verifica real-time dei contenuti degli scambi che avvengono tra un server ed un client. Il suo compito è bloccare i tentativi di intrusione, di attacco al sito o al file system, l'acquisizione del controllo di programmi e routine di sistema. Molte regole impostano pattern di controllo che portano mod_security da un livello base di analisi e reazione ad uno estremamente stretto e vincolante.

Decido che una funzione così non si può disattivare per far funzionare le pagine, sarebbe a rischio la sicurezza del sistema. Apro un ticket sul sistema di assistenza di Hosting Noamweb, Fabio mi risponde chiedendomi quali siano gli errori indicati sul log degli errori del server, che sono sotto il mio controllo. Ovviamente le segnalazioni si sprecano, su questo file, Fabio mi suggerisce di fare una prova tenendo registrata l'ora, per poi vedere le indicazioni corrispondenti alla stessa ora.

 

Metodo impiegato per la correzione del primo errore

Entro nel pannello di controllo e mi posiziono sul punto da cui posso scaricare il log degli errori. Entro in Movable Type e vado sul primo template che produce l'errore. Mi fermo dieci minuti per evitare che sul log vi siano segnalazioni relative ad altri miei movimenti, registro l'ora, tento il salvataggio, si produce l'errore, lo registro, scarico il log degli errori sul mio PC.

Analizzando il log, individuo le segnalazioni circoscritte ai dieci minuti a cavallo dell'ora che ho registrato. Le salvo e le inserisco nel ticket di assistenza che avevo aperto.

Fabio dopo un po' mi dice il problema potrebbe essere dato da una regola filtro codificata con un certo numero. La regola viene disattivata, si riprova. C'è ancora errore, Fabio ne disattiva un'altra ed andiamo avanti così, ogni volta riducendo il numero delle segnalazioni di errore, sino ad arrivare al funzionamento.

 

Strategia d'intervento per la risoluzione definitiva

Anche se la cosa sarà lunga e scocciante, con Fabio decidiamo che la sicurezza è più importante, quindi procederemo funzione per funzione, disabilitando solo quelle regole di mod_security che risultano eccessive, lasciando le altre. La sicurezza ne patisce leggermente, ma sempre meglio che disattivare tutto.

Tutta l'operazione dura una settimana. Alla fine il pannello di controllo di Movable Type è pienamente operativo ed anche la funzione di inserimento dei commenti va a buon fine.

Passo successivo, il funzionamento dell'iscrizione alla newsletter (sarà il tema del prossimo post della serie).

 

Conclusione

Non date mai per scontato che la migrazione di un sito da una piattaforma ad un'altra con le stesse caratteristiche e release di software vada bene da subito. Vi sono molte impostazioni che possono fare la differenza, indipendentemente dalle release dei programmi installati.

Importante, invece, è che abbiate coscienza del fatto che vi saranno degli errori, che dovrete fare dei test, che dovrete avere un'assistenza e del tempo disponibile davanti a voi (o dei vostri incaricati).

Scrivi un commento


YoYo - Formazione rotolante, Via Zara 30, 36040 Orgiano (VI) - Tel. +39 349 2207339 - P.IVA 03441480245
Per iscrivervi ai corsi o ricevere maggiori informazioni contattate Mariangela Balsamo scrivendo a mariangela.balsamo@yoyoformazione.it