• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina

Il blog di HostingVirtuale

Hosting e Registrazione Domini

  • Facebook
  • Instagram
  • LinkedIn
  • Pinterest
  • RSS
  • Twitter
  • Youtube
  • Home
  • CMS
  • Social Media
  • Web Hosting
  • Web Design
  • Web Marketing
  • HostingVirtuale
    • Web Hosting
    • Cloud server
    • Server dedicati
    • Virtual Private Server
    • Sicurezza
Ti trovi qui: Home / Web Design / Siti web e sicurezza: quello che devi sapere – Seconda parte

Siti web e sicurezza: quello che devi sapere – Seconda parte

Pubblicato il 27 Maggio 2014 da Salvatore Capolupo Lascia un commento Contrassegnato con: joomla, sicurezza, wordpress

Siti web e sicurezza seconda parte

Come abbiamo visto nel precedente articolo, sono numerose le problematiche di sicurezza informatica per il nostro sito, molte delle quali restano del tutto ignote per la maggior parte dei clienti hosting che invece, farebbero bene a tenerle ben presenti.

Abbiamo visto alcuni dei problemi che possono capitare nella gestione di un sito e che possono sottoporlo ad attacchi di vario genere: abuso di privilegi (tra le falle più diffuse), errori nel sito e file contenenti dati riservati.

In questa seconda parte procediamo con il nostro excursus sulle problematiche più comuni di sicurezza dei portali web e sul come difenderci in modo efficace.

Presenza di foothold e pagine di login pubbliche

Si tratta di una situazione in cui, in generale, esistano dei “punti di appoggio” per un attaccante, mediante i quali possa individuare l’URL da cui fare login, eseguire arbitrariamente comandi PHP “wrappati” e tutto quello che riguarda gli accessi indebiti al sito dall’esterno.

Per proteggersi in questi casi è indispensabile fortificare l’intera installazione di PHP e questo può essere fatto seguendo ad esempio questa eccellente guida di cyberciti, che spiega tutto nel dettaglio.

Si noti inoltre che i più comuni CMS possiedono URL di accesso alle pagine di login standardizzati e ben noti, il che rappresenta un vantaggio per un malintenzionato non da poco: la soluzione è proteggersi cambiando questi URL, oppure inserendo un duplice livello di protezione (ad esempio mediante password via HTML e via htpasswd, oppure uso di OTP).

Directory “sensibili”

Hanno spesso nomi evocativi come secret, private e simili e sono molto ambite dai criminali informatici che si aspettano di trovarvi informazioni utili a violare il vostro sito. In altri casi potrebbero esistere delle directory in cui avete arbitrariamente deciso di salvare dati di login del vostro sito in chiaro (ovviamente non è affatto una buona idea farlo), mentre la soluzione ideale per le cartelle del sito in generale è quella di non renderle visibili lato server.

Ovvero, è necessario inserire un file index.html vuoto nella directory che vogliamo proteggere (se possibile), o ancora disabilitare il directory listing mediante Options -Indexes nel file .htaccess. Attenzione che questo genere di contromisure, se applicate frettolosamente e senza consapevolezza, potrebbero compromettere in tutto o in parte il funzionamento del vostro sito.

Pattern

In questa situazione lo scenario è subdolo quanto pericoloso: ad esempio immaginiamo di migrare un’installazione di WordPress da un hosting all’altro, adattando così il file di configurazione wp-config.php. Per fare prima, molti creano una copia del file e la rinominano ad es. wp-config.php.old, senza considerare che questa operazione “svela” e rende il file leggibile dall’esterno a chiunque.

Non è detto che sia per forza un problema, ovviamente, per quanto sia un rischio, dato che contiene informazioni riservate come il nome utente, la password ed il database che il sito utilizza.

Si tenga conto, inoltre, che nei template dei vari siti è bene evitare di lasciare nel footer della pagina o altrove frasi come “Powered by Joomla” o “Powered by WordPress”, poiché forniscono un vantaggio notevole a chi volesse defacciare o attaccare il vostro sito.

Vulnerabilità note

In quest’ultima circostanza l’attaccante si basa su vulnerabilità note: ad esempio riesce mediante curl a reperire la versione del server, oppure analizzando i file pubblici del vostro sito trova riferimenti al numero di versione di WordPress che si sta utilizzando.

L’attaccante potrebbe quindi fare uso di file PHP manipolandone gli URL per eseguire comandi di accesso indebito o di cancellazione di contenuti (SQL/code injection), potrebbe inoltre avere accesso al login da amministratore ed eseguire operazioni che vadano, con modalità differenti, a sovraccaricare il sito.

In certi casi, inoltre, è possibile che lo stesso riesca ad indovinare le credenziali di accesso, visto che molte password sono facili da indovinare oltre che periodicamente pubblicate su appositi siti di riferimento.

Il meglio che possiamo fare in questi casi è tenere sempre aggiornato il CMS ed i plugin del sito all’ultima versione stable e al tempo stesso, cambiare la propria password di accesso periodicamente (almeno ogni uno o due mesi: spesso i siti abbandonati per mesi sono quelli più facili da colpire o abbattere) e sceglierne una lunga, con sia lettere che numeri e con almeno un carattere non alfabetico.

Articoli correlati:

Siti web e sicurezza: quello che devi sapereSiti web e sicurezza: quello che devi sapere – Prima parte Default ThumbnailConfigurare un VPS: guida SSH per principianti – Seconda parte 8 consigli per creare una pagina Chi Siamo efficace – Seconda parte8 consigli per creare una pagina “Chi Siamo” efficace – Seconda parte

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Come diventare Web Designer Professionista

Crea il tuo sito web gratis

Scopri il nostro hosting gratuito FREE che comprende: dominio, 100 MB di spazio web, posta elettronica, database MySQL, certificato SSL e il pannello di controllo in italiano HVCP che consente anche l'installazione di WordPress con un click.

Scopri di più!

Web Designer alle prime armi?

Scarica l’Ebook e scopri le migliori tecniche e gli strumenti del mestiere usati dai Web Designer esperti.
Ti sveleremo:
- L’importanza del percorso formativo;
- I libri indispensabili;
- Gli strumenti migliori;
- Come trovare nuovi clienti;
- Come creare un preventivo efficace;
- Come creare un portfolio online;
- Come diventare pro con un mentore;
- Il pannello di controllo all-in-one.

Scarica l'ebook!
  • Le nuove funzioni di HVCP: crea il tuo sito web gratis
  • Le nuove funzioni di HVCP: Certificati SSL personali e per sottodomini
  • Le nuove funzioni di HVCP: IMAPSync, direttive php.ini, error log

Articoli recenti

  • I trend di web design per il 2023 21 Marzo 2023
  • Chat GPT: cos’è e a cosa serve 14 Marzo 2023
  • I plugin WordPress per la sicurezza del tuo sito web 7 Marzo 2023
  • Il design dei siti web per la Generazione Z 1 Marzo 2023
  • 7 trend di Content Marketing per il 2023 22 Febbraio 2023

Il tuo sito web è al sicuro?

Attiva il Cloud Backup con il 20% di sconto! Grazie al semplice pannello di controllo in italiano puoi salvare nel cloud storage di Amazon tutti i dati del sito web e del database MySQL.

Scopri di più!

Footer

HostingVirtuale

  • Registrazione domini
  • Web Hosting
  • Posta Elettronica Certificata
  • Cloud server
  • Server dedicati
  • Virtual Private Server
  • Hosting reseller
  • Sicurezza siti web
  • Cloud Backup

Tag Cloud

app backup business cloud content marketing cpanel domini ecommerce email email marketing facebook freelance google grafica hosting condiviso hosting gratuito hostinterview inbound marketing infografica instagram joomla malware mobile news pannello clienti pec personal branding pinterest plugin prestashop project management sconti seo server sicurezza smart working storytelling telegram tools tutorial twitter video marketing vps wordpress youtube

Articoli recenti

  • I trend di web design per il 2023
  • Chat GPT: cos’è e a cosa serve
  • I plugin WordPress per la sicurezza del tuo sito web
  • Il design dei siti web per la Generazione Z
  • 7 trend di Content Marketing per il 2023

© 2023 All Rights Reserved Hosting Virtuale srl Chieti Pescara Roma Partita IVA IT02586030690