Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
-
Upload
aruba-spa -
Category
Technology
-
view
2.045 -
download
0
Transcript of Hosting: 10 consigli per mettere al sicuro un sito - parte 1 #TipOfTheDay
#Arubait5 Elementi della pagina di prodotto
Hosting: 10 consigli per mettere al sicuro un sito
parte 1
La sicurezza hosting
è garantita se si ha l'accortezza
di adottare alcune strategie di gestione
del proprio account e di tutto il sito web.
Vediamo come fare.
#e-Commerce
Contenuti a cura di HostingTalk
Per molti utenti, affidarsi a un provider per un servizio di hosting condiviso è
sinonimo di non curanza per la sicurezza hosting, in quanto si è convinti
che tale elemento e le configurazioni appropriate per garantire
l’incolumità dell’account siano un onere a carico del provider.
Chi attiva un hosting non si preoccupa più di tanto di cosa
potrebbe accadere al sito e ai file memorizzati online
qualora diventasse vittima di un attacco hacker.
Qualora l’ipotesi di un attacco diventi reale, l’utente rischia di trovarsi
con una brutta sorpresa e procede chiedendo lumi al provider che,
a volte, risponde sottolineando comportamenti
e abitudini scorrette protratte nel tempo,
spesso inconsapevolmente,
dall’utente stesso.
Se è vero che la maggior parte dell’incombenza riguardo la sicurezza hosting
è a carico del provider, è vero anche che gli utenti possono comunque
mettere in grave pericolo l’integrità del servizio con alcune configurazioni non corrette e comportamenti rischiosi, trasformando così il proprio account
in una breccia capace di mettere a repentaglio
l’intera attività degli altri utenti hosting e del server intero.
Evitare che ciò accada è il lavoro del team di sicurezza hosting del provider,
mentre evitare che il proprio account hosting diventi terreno fertile per gli hacker è compito
dell’utente stesso.
Per dirla in breve, la questione sicurezza hosting è
quindi una responsabilità compartecipata dal provider e dall’utente.
E’ garantita se, insieme al lavoro del provider, l’utente segue alcune regole di base,
facili da applicare e semplici da capire. Esistono accorgimenti che l’utente
può mettere in atto per evitare di cadere vittima degli attacchi informatici.
Di seguito, elenchiamo alcuni degli interventi che un utente può fare
sul proprio hosting per garantirsi il massimo della sicurezza.
Molti utenti hanno la cattiva abitudine di associare la stessa password
a differenti aspetti della gestione di un hosting,
come l’accesso FTP, l’accesso SSH, l’accesso ai pannelli di controllo, l’accesso
alla configurazione delle email, l’accesso alla gestione dei database,
l’accesso al back-end dei CMS e via discorrendo.
La prima regola da applicare è quindi molto semplice e si può ridurre in una
massima di facile applicazione: diversificare le password.
Per ogni tipologia di accesso associato al proprio hosting, qualsiasi esso sia,
è utile configurare una password univoca, che sia dedicata a un solo servizio.
In questo modo, qualora un hacker riesca a carpire una chiave di accesso,
gli si impedisce di muoversi liberamente fra i differenti account dei diversi servizi.
Le password devono poi essere lunghe e complesse a sufficienza per evitare di essere scoperte facilmente e nessuno dei file memorizzati sull’hosting deve contenere
tali chiavi, soprattutto quelle di accesso ai pannelli amministrativi come cPanel.
Eliminare sempre tutto ciò che è presente sull’hosting, ma che non è più utile.
A volte, questo è il consiglio più difficile da seguire, perché con il tempo
ci si dimentica dei file abbandonati e non più usati.
Per questo, è importante effettuare un controllo periodico sui file
inutili al funzionamento del sito e rimuoverli.
Lo stesso vale per gli script inutilizzati, che spesso
sono l’obiettivo degli hacker per esercitare un controllo sull’account.
La manutenzione e la pulizia del sito deve anche passare attraverso
la disattivazione di tutti gli account (email, FTP, ecc.) che risultano ancora attivi,
ma che non sono più utilizzati da nessuno,
in quanto potrebbero essere forzati e usati da persone non autorizzate.
Qualsiasi siano le applicazioni integrate nel sito (CMS, chat, forum, ecc.),
bisogna essere sempre sicuri che queste siano
installate nell’ultima versione disponibile e aggiornate,
soprattutto per quel che riguarda gli aspetti sicurezza.
Bisogna evitare di aspettare che sia l’application installer
reso disponibile dal provider a suggerire gli aggiornamenti,
cercando di essere il più proattivi possibile,
ossia verificando la disponibilità di nuove patch di sicurezza e
aggiornamenti direttamente dalle fonti ufficiali.
Insomma, è proprio alla ricerca e applicazione degli aggiornamenti
che bisogna dedicare gran parte del proprio tempo lavorativo
destinato al sito.
I CMS come WordPress, Joomla, Drupal, Magento, Prestashop sono molto
diffusi per la semplicità con cui consentono a chiunque di gestire siti web complessi.
Questa popolarità, d’altra parte, è anche il loro svantaggio.
Infatti, queste piattaforme sono spesso uno degli obiettivi preferiti da parte degli hacker
che si trovano facilitati negli attacchi, perché la maggior parte delle installazioni
permette di raggiungere in modo agevole l’interfaccia di accesso al
back-end amministrativo
(per esempio WordPress la pone sempre all’indirizzo /wp-admin/)
e anche perché i prefissi delle tabelle usate nei database sono sempre quelli standard.
Inoltre, molti CMS espongono i temi e i plugin usati dall’utente e tutto questo,
insieme alla standardizzazione a cui CMS mirano per rendere più semplice
la vita agli utilizzatori, diventa strumento facilitatore
per l’esecuzione degli attacchi hacker.
Quando si lavora con i CMS, quindi, bisogna seguire alcune accortezze
per garantirsi la sicurezza hosting:
• cercare la modalità più sicura per nascondere l’indirizzo del backend,
magari agendo sul file .HTACCESS o usando appositi plugin;
• nascondere i plugin e i temi usati e cercare di rendere il più difficoltoso possibile l’identificazione del CMS usato agli internauti, utilizzando le procedure corrette per ogni CMS;
• diversificare i percorsi di installazione del CMS e, soprattutto,
i prefissi delle tabelle del database, prestando attenzione a ogni singolo passaggio
proposto nel setup;
• utilizzare solo plugin e temi provenienti da fonti sicure o dai repository ufficiali,
evitando di installare elementi gratuiti resi disponibili su siti poco attendibili, in quanto le
backdoor di accesso potrebbero proprio nascondersi nei file di tali estensioni.
Gli script in generale e le applicazioni Java consentono agli sviluppatori
di creare delle funzioni personalizzate e rendere così il web molto più interattivo.
Quindi, non è sconsigliabile usare gli script, quanto è importante monitorarli e
tenerli sotto controllo, per verificare che funzionino sempre secondo quanto previsto originariamente. A volte è semplicemente necessario verificare che siano aggiornati
nelle funzioni e protetti dagli attacchi hacker.
Altre volte è meglio permettere solo agli utenti registrati al sito di raggiungere
queste applicazioni e utilizzarle. Nello specifico si potrebbe parlare dei forum,
che dovrebbero essere resi accessibili solo agli utenti autenticati e
dovrebbero prevedere la disabilitazione per gli utenti di alcune funzionalità,
come l’uso delle applet Java, del codice HTML o
dell’inserimento ed esecuzione di qualsiasi codice.
Nel prossimo appuntamento
saranno pubblicati i prossimi consigli
dedicati all’utenza più avanzata
e contenenti informazioni sulla configurazione
dei permessi dei file,
della configurazione PHP e .HTACCESS.