セキュリティオーバービュー

移動: 案内, 検索

Moodle 1.8

ロケーション: サイト管理 > レポート > セキュリティオーバービュー

セキュリティオーバービューレポートは、Moodle 1.8.9および1.9.4以降のバージョンで使用することができます。

セキュリティオーバービュー


Moodleを安全に運用するには、PHP設定register_globalsを無効にする必要があります。
datarootは、Moodleがユーザのファイルを保存するディレクトリです。ウェブ経由で直接アクセスできないようにする必要があります。
PHPがエラーを表示するように設定されている場合、正しくないURIを入力することで、PHPエラー引き起こし、誰でもディレクトリ構造等に関する重要な情報を取得することができます。
認証を使わずにユーザのサイトアクセスを許可するため、「認証なし」プラグインの使用は危険です。
仮にメディアが他のサーバに置かれていたとしても、リッチメディアオブジェクトにより、管理者または教師のアクセス権限を取得される可能性があるため、一般的なユーザがFlashおよび他のメディアをテキスト内 (例 フォーラム投稿) に埋め込むことには、危険性があります。
Flashメディアフィルタでさえ、悪意のあるFlashファイルを含んで、不正利用される可能性があります。
プライバシーの理由およびスパム発信者があなたのサイトをスパム発信のプラットフォームとする理由から、認証無しで、ユーザプロファイルをウェブに公開すべきではありません。
あなたのサイトにGoogleが入ることを許可することで、すべてにコンテンツが世界中で利用可能な状態となります。実際にパブリックなサイトでない限り、有効にしないでください。
パスワードポリシーを使用することで、侵入者によりクラッキングされないよう、あなたのユーザによる強いパスワードの使用を強制します。
パスワードSALTを設定することで、パスワード窃盗のリスクを大幅に減らすことができます。
通常、あなたは常に確認メールがユーザに送信される追加的なステップを経由して、ユーザにメール変更の確認を強制すべきです。
config.phpファイルは、ウェブサーバプロセスによる書き込みが可能な状態ではないようにしてください。config.phpが書き込み可能な場合、脆弱性により、攻撃者がMoodleコードを書き換えて、好きな情報を表示させてしまう可能性があります。
このリストすべてのユーザを信頼できることを確認してください。これらのユーザは、潜在的にフォーラム等にXSS攻撃ツールを書くことが可能です。
あなたが必要とするだけ管理者アカウントが割り当てられているか、レビューすることができます。
ユーザデータのバックアップに必要なロールのみ、バックアップを実行できることを確認してください。また、それらすべてのユーザのケイパビリティが信頼されていることも確認してください。
登録ユーザのロールに正しいパーミッションが定義されているかどうか確認します。
ゲストロールに正しいパーミッションが定義されているかどうか確認します。
フロントページユーザロールに正しいパーミッションが定義されているかどうか確認します。
デフォルトコースロールに対して、グローバルに正しいパーミッションが定義されているかどうか確認します。
コースが変なデフォルトコースロールを使用している場合、あなたに警告を発します。

関連情報