Cheque os direitos dos seus arquivos e diretórios de instalação. Nenhum diretório, exceto os diretórios cache de alguns módulos e o diretório templates_c precisam ser escrevíveis pelo servidor web. E aqueles diretórios precisam ser escritos apenas pelo servidor web, não há necessidade para serem escritos por todos.

O diretório store do gerenciador de arquivos e os diretórios de armazenagem do módulo webmail2 contem arquivos que não devem ser acessados de fora de more.groupware. Então você devia usar algo como este arquivo .htaccess para evitar acesso direto para eles:

Order deny, allow
Deny from all
        

Tais arquivos já estão presenes para os arquivos e módulo webmail2, porém você deveria checar para ver se eles funcionam. Dependendo da configuração de seus servidores web o uso de arquivos .htaccess pode ser restringido. Se você não estiver usando o servidor web Apache, tome medidas semelhantes para sua configuração.

Adicionalmente, você poderia fazê-los apenas acessíveis pelo usuário do servidor web e/ou grupo no nível do sistema de arquivos, mudando as permissões de acesso ao diretório adequadamente, se elas permitirem acesso aos outros.

Se você estiver preocupado sobre ataques de scripting cross-site, deve se lembrar que estes são quase sempre usados para hijack uma seção. Pelo fato de você poder travar sua sessão para um endereço IP no more.groupware ( isto é verdadeiro por padrão ), ter acesso ao ID da seção não dá a você acesso para a seção na maioria dos casos.

E você precisa de um login válido para que o sistema seja capaz de injetar tal conteúdo malicioso. E se você não puder confiar em seus usuários, software seguro é a única coisa que vale a pena.

Não obstante, nós planejamos disabilitar tais ataques na próxima versão.

Você deveria deletar o diretório setup/ depois de concluir com sucesso a instalação do moregroupware.

Pense sobre os scripts no diretório scripts/ do moregroupware, alguns podem dar aos outros a possibilidade de obter informações sobre seu sistema, você deveria querer mantê-los confidenciais (exemplo, systeminfo.php). Voc~e deveria restringir o acesso para este diretório ou movê-lo para outro lugar. Se você não precisa do seu conteúdo, pode deletá-lo com segurança.

Se você usa o moregroupware fora de um ambiente de rede fechado, considere o uso do SSL. O moregroupware é completamente transparente ao SSL, ou seja, você pode usá-lo sem qualquer mudanças em um servidor web com SSL habilitado.

Não há necessidade de se preocupar sobre os arquivos sess_* no diretório /tmp do seu servidor web, porque estes arquivos são apenas legíveis para o usuário no qual seu webserver roda. Você também não precisa deletá-los, o PHP fará isto automaticamente com uma certa probabilidade após uma sessão expirar. veja o manual do PHP para mais informações.