#Arubait5 Elementi della pagina di prodotto

Hosting: 10 consigli per mettere al sicuro un sito

parte 1

La sicurezza hosting

è garantita se si ha l'accortezza

di adottare alcune strategie di gestione

del proprio account e di tutto il sito web.

Vediamo come fare.

#e-Commerce

Contenuti a cura di HostingTalk

Per molti utenti, affidarsi a un provider per un servizio di hosting condiviso è

sinonimo di non curanza per la sicurezza hosting, in quanto si è convinti

che tale elemento e le configurazioni appropriate per garantire

l’incolumità dell’account siano un onere a carico del provider.

Chi attiva un hosting non si preoccupa più di tanto di cosa

potrebbe accadere al sito e ai file memorizzati online

qualora diventasse vittima di un attacco hacker.

Qualora l’ipotesi di un attacco diventi reale, l’utente rischia di trovarsi

con una brutta sorpresa e procede chiedendo lumi al provider che,

a volte, risponde sottolineando comportamenti

e abitudini scorrette protratte nel tempo,

spesso inconsapevolmente,

dall’utente stesso.

Se è vero che la maggior parte dell’incombenza riguardo la sicurezza hosting

è a carico del provider, è vero anche che gli utenti possono comunque

mettere in grave pericolo l’integrità del servizio con alcune configurazioni non corrette e comportamenti rischiosi, trasformando così il proprio account

in una breccia capace di mettere a repentaglio

l’intera attività degli altri utenti hosting e del server intero.

Evitare che ciò accada è il lavoro del team di sicurezza hosting del provider,

mentre evitare che il proprio account hosting diventi terreno fertile per gli hacker è compito

dell’utente stesso.

Per dirla in breve, la questione sicurezza hosting è

quindi una responsabilità compartecipata dal provider e dall’utente.

E’ garantita se, insieme al lavoro del provider, l’utente segue alcune regole di base,

facili da applicare e semplici da capire. Esistono accorgimenti che l’utente

può mettere in atto per evitare di cadere vittima degli attacchi informatici.

Di seguito, elenchiamo alcuni degli interventi che un utente può fare

sul proprio hosting per garantirsi il massimo della sicurezza.

Molti utenti hanno la cattiva abitudine di associare la stessa password

a differenti aspetti della gestione di un hosting,

come l’accesso FTP, l’accesso SSH, l’accesso ai pannelli di controllo, l’accesso

alla configurazione delle email, l’accesso alla gestione dei database,

l’accesso al back-end dei CMS e via discorrendo.

La prima regola da applicare è quindi molto semplice e si può ridurre in una

massima di facile applicazione: diversificare le password.

Per ogni tipologia di accesso associato al proprio hosting, qualsiasi esso sia,

è utile configurare una password univoca, che sia dedicata a un solo servizio.

In questo modo, qualora un hacker riesca a carpire una chiave di accesso,

gli si impedisce di muoversi liberamente fra i differenti account dei diversi servizi.

Le password devono poi essere lunghe e complesse a sufficienza per evitare di essere scoperte facilmente e nessuno dei file memorizzati sull’hosting deve contenere

tali chiavi, soprattutto quelle di accesso ai pannelli amministrativi come cPanel.

Eliminare sempre tutto ciò che è presente sull’hosting, ma che non è più utile.

A volte, questo è il consiglio più difficile da seguire, perché con il tempo

ci si dimentica dei file abbandonati e non più usati.

Per questo, è importante effettuare un controllo periodico sui file

inutili al funzionamento del sito e rimuoverli.

Lo stesso vale per gli script inutilizzati, che spesso

sono l’obiettivo degli hacker per esercitare un controllo sull’account.

La manutenzione e la pulizia del sito deve anche passare attraverso

la disattivazione di tutti gli account (email, FTP, ecc.) che risultano ancora attivi,

ma che non sono più utilizzati da nessuno,

in quanto potrebbero essere forzati e usati da persone non autorizzate.

Qualsiasi siano le applicazioni integrate nel sito (CMS, chat, forum, ecc.),

bisogna essere sempre sicuri che queste siano

installate nell’ultima versione disponibile e aggiornate,

soprattutto per quel che riguarda gli aspetti sicurezza.

Bisogna evitare di aspettare che sia l’application installer

reso disponibile dal provider a suggerire gli aggiornamenti,

cercando di essere il più proattivi possibile,

ossia verificando la disponibilità di nuove patch di sicurezza e

aggiornamenti direttamente dalle fonti ufficiali.

Insomma, è proprio alla ricerca e applicazione degli aggiornamenti

che bisogna dedicare gran parte del proprio tempo lavorativo

destinato al sito.

I CMS come WordPress, Joomla, Drupal, Magento, Prestashop sono molto

diffusi per la semplicità con cui consentono a chiunque di gestire siti web complessi.

Questa popolarità, d’altra parte, è anche il loro svantaggio.

Infatti, queste piattaforme sono spesso uno degli obiettivi preferiti da parte degli hacker

che si trovano facilitati negli attacchi, perché la maggior parte delle installazioni

permette di raggiungere in modo agevole l’interfaccia di accesso al

back-end amministrativo

(per esempio WordPress la pone sempre all’indirizzo /wp-admin/)

e anche perché i prefissi delle tabelle usate nei database sono sempre quelli standard.

Inoltre, molti CMS espongono i temi e i plugin usati dall’utente e tutto questo,

insieme alla standardizzazione a cui CMS mirano per rendere più semplice

la vita agli utilizzatori, diventa strumento facilitatore

per l’esecuzione degli attacchi hacker.

Quando si lavora con i CMS, quindi, bisogna seguire alcune accortezze

per garantirsi la sicurezza hosting:

• cercare la modalità più sicura per nascondere l’indirizzo del backend,

magari agendo sul file .HTACCESS o usando appositi plugin;

• nascondere i plugin e i temi usati e cercare di rendere il più difficoltoso possibile l’identificazione del CMS usato agli internauti, utilizzando le procedure corrette per ogni CMS;

• diversificare i percorsi di installazione del CMS e, soprattutto,

i prefissi delle tabelle del database, prestando attenzione a ogni singolo passaggio

proposto nel setup;

• utilizzare solo plugin e temi provenienti da fonti sicure o dai repository ufficiali,

evitando di installare elementi gratuiti resi disponibili su siti poco attendibili, in quanto le

backdoor di accesso potrebbero proprio nascondersi nei file di tali estensioni.

Gli script in generale e le applicazioni Java consentono agli sviluppatori

di creare delle funzioni personalizzate e rendere così il web molto più interattivo.

Quindi, non è sconsigliabile usare gli script, quanto è importante monitorarli e

tenerli sotto controllo, per verificare che funzionino sempre secondo quanto previsto originariamente. A volte è semplicemente necessario verificare che siano aggiornati

nelle funzioni e protetti dagli attacchi hacker.

Altre volte è meglio permettere solo agli utenti registrati al sito di raggiungere

queste applicazioni e utilizzarle. Nello specifico si potrebbe parlare dei forum,

che dovrebbero essere resi accessibili solo agli utenti autenticati e

dovrebbero prevedere la disabilitazione per gli utenti di alcune funzionalità,

come l’uso delle applet Java, del codice HTML o

dell’inserimento ed esecuzione di qualsiasi codice.

Nel prossimo appuntamento

saranno pubblicati i prossimi consigli

dedicati all’utenza più avanzata

e contenenti informazioni sulla configurazione

dei permessi dei file,

della configurazione PHP e .HTACCESS.

Hosting Aruba

Grazie