Hosting: 12 consigli per difendersi dagli hacker

Dalla scelta delle password

alla configurazione corretta del file HTACCESS.

Ecco i trucchi per garantire

Sicurezza al proprio account hosting

#e-Commerce

Contenuti a cura di HostingTalk

Chi attiva un servizio hosting completo di database a vostra disposizione

e si sente minacciato dagli attacchi sferrati da bot e hacker,

vuole avere la certezza che il proprio account hosting sia posto in sicurezza.

Per soddisfare questo continuo bisogno, si va così alla ricerca delle soluzioni più impensabili,

che, a volte, si rivelano di difficile applicazione.

Si entra così in un impasse, pensando che la sicurezza hosting è a esclusivo

appannaggio delle aziende che possono investire notevoli risorse economiche

e dispongono di profili professionali nell’ambito della sicurezza IT.

Questo pensiero annebbia la realtà. Infatti, la vera sicurezza per un account hosting

spesso nasce da piccole e buone abitudini, dalla messa in opera di alcuni accorgimenti,

così semplici a tal punto da essere poco considerati.

Infatti, al di là di scegliere un provider hosting di rinomata professionalità e affidabilità,

basta seguire alcuni consigli per mettere in atto tutte le più importanti

pratiche di sicurezza capaci di difendere il proprio account hosting.

Ecco 12 consigli di facile applicazione suddivisi per tipologia di argomento,

con cui mettere in sicurezza sia il servizio hosting appena attivato, sia quello più datato.

Il primo dei consigli più importanti riguarda la scelta delle password.

Molti provider permettono all’utente di decidere in autonomia le password degli accessi SSH,

degli account FTP, dei pannelli di amministrazione, dei backend dei CMS e dei database MySQL

e MSSQL. Parecchi utenti usurpano questa libertà, impostando un’unica chiave di accesso

per tutti i servizi su citati.

Questa pratica diffusa rende molto semplice la vita agli hacker che scandagliano la rete

alla ricerca delle proprie vittime, e mina la sicurezza hosting. È importante, quindi, scegliere

delle password diverse per ogni tipologia di servizio hosting attivo, appuntando poi queste

password offline, in modo da tenerle al sicuro qualora la memoria non fosse così allenata

per ricordarle tutte. Alcuni provider impongono password alfanumeriche su alcuni servizi

specifici, come i database, in modo da obbligare l’utente ad avere chiavi di accesso

differenti almeno su alcuni componenti critici come i DB.

Tip 1

Il secondo consiglio afferente a questo ambito riguarda la disabilitazione degli utenti

FTP anonimi. Alcuni pannelli provider come cPanel permettono la disattivazione

dell’utente FTP anonimo in modo semplice. In cPanel, ad esempio, basta guardare

alla sezione Files, scegliere FTP Anonimo ed eliminare i segni di spunta alle opzioni selezionate.

Altri provider non necessitano

di questa operazione,

adottando, invece,

i filtri di accesso FTP per

consentire l’accesso FTP

solo agli indirizzi IP

o alle classi di in indirizzi IP

pre-configurati.

Tip 2

Il terzo consiglio riguarda la

configurazione dei permessi sui file.

Come già approfondito in una precedente #TipOfTheDay

i file che risiedono sullo spazio hosting ad accesso pubblico

non devono mai avere permessi

superiori ai valori 644 o 755.

Impostare i permessi di un file a 777 è un invito per gli hacker

a sabotare la sicurezza del proprio account hosting.

Se alcuni file hanno, quindi, bisogno di permessi superiori a quelli sopra indicati,

bisogna accertarsi che siano memorizzati in un’area hosting

di non pubblico accesso.

Tip 3

In un precedente #TipOfTheDay abbiamo dedicato uno speciale al file .HTACCESS: un alleato nella lotta per la sicurezza hosting. Infatti, si possono apportare diverse modifiche al file per garantire diversi aspetti di sicurezza.

Il quarto consiglio prevede di configurare il file HTACCESS per impedire l’accesso

ai file da parte dei bot indesiderati e disabilitare linguaggi di scripting come il Perl, configurando un falso gestore con la seguente porzione di codice:

SetEnvIfNoCase User-Agent libwww-perl bad_bots order deny,allow deny from env=bad_bots <FilesMatch “.(cgi|pl|py|txt)”> Deny from all </FilesMatch> <FilesMatch robots.txt> Allow from all </FilesMatch>

In generale, possiamo disabilitare qualsiasi esecuzione di script con il seguente codice:

AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi Options –ExecCGI eliminando dalla prima riga le estensioni che servono al sito in uso.

Tip 4

Il quinto consiglio è di mascherare l’uso di un motore di programmazione,

facendo apparire i file come appartenenti a un altro linguaggio.

In sostanza, con questo codice da inserire nel file HTACCESS:

RewriteEngine On RewriteRule ^/(.+)\.py(.+)? /$1.php$2 [L,QSA,NC]

si può mascherare l’uso del PHP, facendolo sembrare un altro linguaggio

di programmazione lato server, come Python,

così da depistare gli hacker alle prime armi.

Il sesto consiglio consiste nell’impedire a chiunque la navigazione

nelle cartelle FTP via browser,

in questo modo:

Options All –Indexes

Tip 5

Tip 6

Con il file HTACCESS è possibile anche mettere in pratica un altro consiglio importantissimo per la sicurezza hosting,

ossia il blocco sia ai visitatori indesiderati provenienti da determinati indirizzi IP noti per le loro attività malevoli sia agli spider e ai bot che potrebbero consumare banda inutile.

Il settimo consiglio, quindi, è ricorrere a una configurazione HTACCESS simile a:

Deny from 192.168.1.2 Deny from 192.168 Deny from .wormhole.com <IfModule mod_rewrite.c> SetEnvIfNoCase ^User-Agent$ .*(craftbot|download|extract|stripper|sucker|ninja|clshttp|webspider|leacher|collector|grabber|webpictures) HTTP_SAFE_BADBOT SetEnvIfNoCase ^User-Agent$ .*(libwww-perl|aesop_com_spiderman) HTTP_SAFE_BADBOT Deny from env=HTTP_SAFE_BADBOT </ifModule>

Tip 7

L’ottavo consiglio prevede di bloccare l’accesso a diversi tipi di file,

al file HTACCESS, che può anche essere autotutelato

rinominandolo in altro modo.

Ecco il codice:

<Files sicurezza.jpg> order allow,deny deny from all </Files>

<FilesMatch “.(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$”> Order Allow,Deny Deny from all </FilesMatch>

<Files .htaccess> order allow,deny deny from all </Files>

AccessFileName htac.cess

Tip 8

In questa sezione, seguono tutta una serie di consigli generici che non possono

essere ignorati da chi desidera mettere in sicurezza il proprio account hosting.

Nono consiglio: effettuare backup regolari delle cartelle del proprio hosting

e mantenere l’hosting in ordine, disattivando gli account FTP ed email inutili,

eliminando le applicazioni e i file non necessari e gli script poco usati o inutilizzabili.

Le operazioni di pulizia agevoleranno anche quelle di backup,

dovendo lavorare su volumi di dati ridotti.

Decimo consiglio: le applicazioni Java sono estremamente flessibili e potenti

e permettono di offrire agli utenti dei servizi altrimenti non fornibili.

Allo stesso tempo, però, forniscono informazioni che potrebbero

essere usati dagli hacker per effettuare degli exploit.

Il consiglio è di ridurre le applicazioni Java alle sole necessarie e fornire le funzionalità

più avanzate solo agli utenti registrati al sito. Generalizzando un po’ il discorso,

è fondamentale tenere sempre sotto controllo tutte le tipologie di script

e monitorarne l’esecuzione.

Tip 9

Tip 10

Undicesimo consiglio: gli stessi motivi visti per le applicazioni Java valgono per i CMS.

Per quanto utili, le piattaforme come WordPress sono spesso oggetto di attacco

ed è per questo che è importante nascondere l’indirizzo del backend

con una delle configurazioni proposte per il file .HTACCESS o con appositi plugin,

nascondere i plugin e i temi usati,

diversificare i percorsi di installazione del CMS e i prefissi delle tabelle del database e utilizzare add-on e template provenienti da fonti sicure.

Per proteggere gli hosting di alcuni CMS è anche importante installare degli appositi plugin pensati per migliorare l’aspetto sicurezza degli stessi e, ricordarsi infine, di tenere sempre aggiornati i file core dei CMS e i vari app e plugin annessi.

Dodicesimo consiglio: è importante proteggere il proprio PC da malware

che potrebbero infettare file e client FTP capaci di scambiare informazioni

con il servizio hosting da mettere in sicurezza.

Anche qui è importante installare software solo di provenienza certa,

usare e aggiornare sistemi antivirus e antimalware

e usare sempre il buon senso nell’uso del computer.

Tip 11

Tip 12

Hosting Aruba

Grazie