セキュリティ概要レポートは、サイト管理の 'レポート' の 'セキュリティ概要' から入手できます。

• Register globals

register_globalsは、Moodleを安全に動作させるために無効にする必要があるPHP設定です。

• 安全ではないdataroot

データルートは、Moodleがユーザファイルを保存するディレクトリです。ウェブから直接アクセスできないようにする必要があります。

• PHPエラーを表示する

PHPがエラーを表示するように設定されている場合、誰でも誤ったURLを入力すると、PHPがディレクトリ構造などに関する貴重な情報を提供できなくなります。

• ベンダディレクトリ

ベンダのディレクトリは公開サイトに存在してはなりません。

• 認証なし

認証なし プラグインの使用は危険な場合があり、ユーザは認証なしでサイトにアクセスできます。

• EMBEDおよびOBJECTを許可する

通常のユーザがFlashやその他のメディアをテキスト（フォーラムの投稿など）に埋め込むことは、メディアオブジェクトが別のサーバにある場合でも、管理者または教師のアクセスを盗むために使用できるため、問題になる可能性があります。

• .swfメディアフィルタ有効化

フラッシュメディアフィルタを悪用して、悪意のあるフラッシュファイルを含めることもできます。

• ユーザプロファイルを公開する

プライバシーの理由と、スパマーがあなたのサイトにスパムを公開するためのプラットフォームを持っているため、ユーザプロファイルは認証なしでWebに公開しないでください。

• Googleに公開する

Googleにサイトへのアクセスを許可すると、すべてのコンテンツが世界中で利用できるようになります。それが本当に公共のサイトでない限り、これを使わないでください。

• パスワードポリシー

パスワードポリシーを使用すると、侵入者によるクラックの影響を受けにくい強力なパスワードをユーザが使用するように強制されます。

• パスワードソルト

パスワードソルトを設定すると、パスワード盗難のリスクが大幅に軽減されます。

• メール変更確認

通常、常に確認リンクがユーザに送信される追加の手順を介して、ユーザにメールアドレスの変更を確認するように強制する必要があります。

• セキュアクッキー

SSLを介して提供する場合にのみ、安全なCookieを使用することをお勧めします。

• 書き込み可能なconfig.php

config.phpファイルは、Webサーバプロセスから書き込み可能であってはなりません。そうであれば、別の脆弱性により、攻撃者がMoodleコードを書き直して、必要なものを表示できる可能性があります。

• XSS信頼ユーザ

あなたがこのリストのすべての人々を信頼していることを確認してください：彼らはフォーラムなどでXSSエクスプロイトを書く可能性のある人々です。

• 管理者

管理者アカウントを確認し、必要なものだけがあることを確認してください。

• ユーザデータのバックアップ

ユーザデータをバックアップする必要がある役割のみがそれを実行できること、およびその機能を持つすべてのユーザが信頼できることを確認してください。

• すべてのユーザのデフォルトのロール

これは、登録されたユーザロールが適切なパーミッションで定義されていることを確認します。

• ゲストロール

これにより、ゲストロールが適切なパーミッションで定義されていることが確認されます。

• フロントページロール

これにより、フロントページのユーザロールが適切なパーミッションで定義されていることが確認されます。

こちらもご覧ください

• Security and Privacy forum moodle.org