FAQ siti scolastici: Sezione Prima passi con il sito scolastico

Questa sezione è assegnata come referente a ...

Il referente ha il compito di inserire una prima ipotesi di risposta.
Ogni membro del wiki può partecipare secondo due modalità:
1. eliminando refusi o migliorando la forma espressiva. In questo caso agirà direttamete sul testo;
2. proponendo miglioramenti o precisazioni su elementi considerati sbagliati o incompleti. In questo caso utilizzerà l'icona Comment. Il referente raccoglierà le proposte ritenuite migliorative della risposta modificando il testo.
Tempi
  1. Prima formulazione risposta da parte del referente: entro il 18 dicembre
  2. Ritocchi linguistici e proposte di modifiche da parte dei partecipanti al wiki: entro il 10 gennaio
  3. Stesura testo condiviso: entro il 20 gennaio
  4. Approvazione e pubblicazione dei testi: entro 30 gennaio

Come organizzare il gruppo di lavoro Sito scolastico?

Il gruppo di lavoro ideale, coordinato dal dirigente scolastico, deve comprendere Dsga, personale di segreteria (adibiti alla gestione di albo online e della sezione Amministrazione trasparente), 1 o più docenti.
Sulle caratterssiotiche del sito e la creazione del gruppo di lavoro, vedi anche la presentazione //La comunicazione interna ed esterna: il sito//

Quale caratteristiche deve avere il servizio di hosting?

Per Drupal, e107, Joomla e WordPress:
  • server Linux;
  • database Mysql;
  • servizio giornaliero di backup di file e database.

E’ necessario acquisire il dominio .gov.it?

Con la Direttiva del Ministro per la Pubblica amministrazione n.8/2009 si evidenzia l’importanza di fissare i criteri di riconoscibilità, di aggiornamento, di usabilità e accessibilità individuando con il “gov.it” il dominio che riconosce i siti e i portali delle pubbliche amministrazioni. Le pubbliche amministrazioni sono tenute quindi a provvedere all’iscrizione al dominio “gov.it” dei siti che intendono mantenere attivi.

Per ulteriori informazioni: Agenzia per l'Italia Digitale

Come si fa a registrare il sito .gov.it?

Per partire da zero, con il servizio di hosting offerto da Aruba:
  1. dominio.gov.it su Linux + backup
  2. se occorre, Mysql + backup
  3. Dopo il pagamento si riceve una serie di e-mail da Aruba tra cui Conferma ordine servizi: qui si trovano i 2 DNS necessari per la compilazione della richiesta a digitpa (normalmente sono dns.technorail.com e dns1.technorail.com)
  4. Andare su DigitPa e cliccare su Registrazione nuovo dominio.
    • servono due codici scuola: Codice IPA e codice AOO (occorre il n° del DPR o legge con cui la scuola è stata istituita)
    • In dominio.gov (in fondo alla pagina si trova il Manuale utente applicativo web che è ben fatto)
    • E' disponibile, grazie al lavoro di Anna Rita Lauri, una guida alla registrazione
  5. Dopo la conclusione DigitPa invia e-mail alla scuola con allegato LAR
  6. Il dirigente firma e rispedisce

Quali sono le precauzioni di sicurezza da tenere presente?

Drupal

  1. Partiamo sempre dal presupposto che gli unici computer sicuri sono quelli non collegati ad internet. Poiche qualsiasi sito web risiede su un computer esposto ad internet è evidente che la sicurezza totale non può esistere. Ma ci sono delle precauzioni da adottare per non rendere il sito facilmente attaccabile. Drupal non fa eccezione, anzi essendo un cms a codice aperto per certi versi rischia di essere anche più attaccabile di un semplice sito statico. Questa è la brutta notizia, quella bella è che difficilmente il vostro sito verrà bucato se tenete conto delle indicazioni sotto elencate.


  • Scegliere un buon servizio di hosting (un buon fornitore di hosting deve darvi soprattutto la possibilitá di impostare i permessi più restrittivi per alcuni files e directory e darvi la possibilitá di creare facilmente copie di backup del sito e del database. La tipica installazione di Drupal avverrá su una macchina, del vostro fornitore di hosting, con sistema operativo Linux, server web Apache, Php e MySql. Ognuno di questi compoinenti deve essere configurato correttamente ed aggiornato periodicamente per evitare falle nella sicurezza. Il server deve essere protetto da un buon firewall impostato in modo da garantire la sicurezza ma possibilmente senza creare problemi ad alcuni moduli di Drupal che potrebbero essere invece bloccati dallo stesso firewall).
  • Proteggere il files settings.php da scrittura (le informazione più importanti contenute in questo file sono le credenziali di accesso al database). Impostare i permessi a 444 (sola lettura)
  • Impostare la variabile $base_url nel file settings.php con il dominio utilizzato può essere utile per proteggersi contro attacchi di utenti malintenzionati che tentino di manipolare i link del vostro sito ed effettuare ad esempio phishing per rubare i dati di accesso agli utenti.
  • Permessi sui files e directory. Dopo aver installato Drupal in generale si consiglia di impostare i permessi per le directory a 755 e per i file a 644, ad eccezione dei seguenti casi:
    /sites/files/default/settings.php (444, ovvero sola lettura)
    .htaccess 644 o addirittura 444 ricordandosi che in certi casi Drupal deve avere accesso alla scrittura del file .htaccess, per cui se avete impostato i permessi a 444 dovrete temporaneamente cambiarli e poi impostarli di nuovo a 444.
    Se il vostro fornitore di hosting lo consente mettere la cartella dei file temporanei e privati sopra la cartella www in modo che non sia accessibile dal web, altrimenti accertarsi che i files .htaccess siano presenti nelle due directory ed impostati correttamente.
  • Segnalazione di errori. In caso di errore provocato da un modulo o dal core viene scritto nella pagina l'errore con il percorso completo del file che lo ha generato. Ciò può essere sfruttato da un utente malintenzionato. Si consiglia di non mostrare alcun errore nei siti in produzione e fare in modo che vengano scritti solo sul log. Dovrete invece attivare temporaneamente la segnalazione errori quando installate nuovi moduli o aggiornate il core o apportate in ogni caso modifiche importanti che potrebbero generare errori. Per modificare le impostazioni andare a http://www.vostrosito/admin/config/development/logging
  • Mantenere il core aggiornato (sopratutto quando la nuova versione del core è stata rilasciata per correggere problemi di sicurezza)
  • Mantenere i moduli aggiornati (sopratutto quando la nuova versione del modulo è stata rilasciata per correggere problemi di sicurezza. Come fare: Il modulo Update Manager incluso nel core di Drupal vi avviserà quando nuove versioni di sicurezza sono disponibili per il core ed i moduli installati. Vedrete un messaggio di avviso rosso nell'area amministrativa che vi incoraggia ad aggiornare i moduli. potete anche impostare Update Manager in modo che vi invii una e-mail di notifica nel caso siano disponibili aggiornamenti .

Per approfondimenti vedere la guida sulla sicurezza sul drupal.org

e107

testo

Joomla

testo

Plone

testo

WordPress

Consigli di base
  1. Tenere sempre aggiornato WP e, nel limite del possibile, i plugin
  2. Non usare username admin
  3. Usare password forti
  4. Non usare come prefisso wp_, ma qualcosa di più complicato
  5. Avere un servizio di backup giornaliero di file e db
  6. Fare il backup di file e db prima di ogni aggiornamento
  7. Non mostrare le versioni del software che si utilizza
  8. Cancellare il file /wp-admin/install.php
Risorse su sicurezza e WordPress