Così in questi giorni ho provveduto ad effettuare alcune attività per rafforzare la sicurezza della piattaforma e impedire a chiunque di iscriversi e spammare.

Alcune misure adottate:

1. Restrizione della creazione di account ai soli amministratori
All’interno di LocalSettings.php ho inserito:

$wgGroupPermissions['*']['createaccount'] = false;

2. Disabilitazione dell’editing per utenti non registrati
All’interno di LocalSettings.php ho inserito:

$wgGroupPermissions['*']['edit'] = false;

3. Restrizione della creazione di pagine da parte di utenti anonimi
All’interno di LocalSettings.php ho inserito:

$wgGroupPermissions['*']['createpage'] = false;

4. Restrizione della lettura da parte di utenti non registrati
All’interno di LocalSettings.php ho inserito:

$wgGroupPermissions['*']['read'] = false;

Con questi primi quattro passi ho ristretto l’utilizzo del wiki adeguandolo alle necessità d’uso del corso che prevede sostanzialmente che ad utilizzarlo siano studenti registrati e conosciuti dal docente. Il docente sarà in grado di registrare gli utenti e consetirgli l’editing del wiki.

Ora, una volta terminata questa fase, c’è da fare un pò di pulizia sugli account registrati che continuano a fare spam.
Visto che da più parti ho letto che è fortemente sconsigliato in Mediawiki procedere alla rimozione degli account da database, ho utilizzato una extension: User Merge and Delete.
L’extension consente di attribuire ad un nuovo account tutti i contenuti del vecchio procedendo successivamente alla sua rimozione. In questo modo ho creato un account fittizio per lo spam e agganciato a questo rimuovendoli tutti gli account che effettuavano spam.
Una volta fatto questo ho proceduto alla rimozione dei singoli contenuti ritenuti spam, tramite le Special Pages.

Per concludere ho installato l’extension Confirm Edit che mi consente di inserire un reCAPTCHA in fase di editing, creazione dei contenuti e registrazione dei nuovi utenti. E’ una misura che tornerà utile quando ultimato il lavoro degli studenti sul wiki questo dovrà essere reso pubblico. Insieme a Confirm Edit, ho installato Access Log che consentirà al docente amministratore del wiki di tenere sotto controllo la situazione individuando eventuali future attività di spam in maniera più efficente.

I log sul server hanno evidenziato molti tentativi di Cross Site Scripting per cui ho provveduto ad aggiornare Mediawiki ad una versione più recente che corregge la vulnerabilità.