{"id":4379,"date":"2014-05-27T09:19:32","date_gmt":"2014-05-27T07:19:32","guid":{"rendered":"https:\/\/www.hostingvirtuale.com\/blog\/?p=4379"},"modified":"2016-11-15T20:42:01","modified_gmt":"2016-11-15T18:42:01","slug":"siti-web-sicurezza-devi-sapere-seconda-parte","status":"publish","type":"post","link":"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html","title":{"rendered":"Siti web e sicurezza: quello che devi sapere \u2013 Seconda parte"},"content":{"rendered":"<p class=\"normal\" style=\"text-align: center;\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-4380\" src=\"https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2.jpg\" alt=\"Siti web e sicurezza seconda parte\" width=\"540\" height=\"300\" srcset=\"https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2.jpg 540w, https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2-300x166.jpg 300w\" sizes=\"(max-width: 540px) 100vw, 540px\" \/><\/p>\n<p class=\"normal\">Come abbiamo visto nel <a title=\"Siti web e sicurezza: quello che devi sapere \u2013 Prima parte\" href=\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-prima-parte-4344.html\" target=\"_blank\">precedente articolo<\/a>, sono numerose le problematiche di sicurezza informatica per il nostro sito, molte delle quali restano del tutto <b>ignote<\/b> per la maggior parte dei clienti hosting che invece, farebbero bene a tenerle ben presenti.<!--more--><\/p>\n<p class=\"normal\">Abbiamo visto alcuni dei problemi che possono capitare nella gestione di un sito e che possono sottoporlo ad <b>attacchi<\/b> di vario genere: abuso di privilegi (tra le falle pi\u00f9 diffuse), errori nel sito e file contenenti dati riservati.<\/p>\n<p class=\"normal\">In questa seconda parte procediamo con il nostro <i>excursus<\/i> sulle problematiche pi\u00f9 comuni di sicurezza dei portali web e sul come <b>difenderci<\/b> in modo efficace.<\/p>\n<h2 class=\"normal\"><b>Presenza di foothold e pagine di login pubbliche<\/b><\/h2>\n<p class=\"normal\">Si tratta di una situazione in cui, in generale, esistano dei \u201cpunti di appoggio\u201d per un attaccante, mediante i quali possa individuare l\u2019URL da cui fare login, eseguire arbitrariamente comandi PHP \u201c<i>wrappati<\/i>\u201d e tutto quello che riguarda gli accessi indebiti al sito dall\u2019esterno.<\/p>\n<p class=\"normal\">Per proteggersi in questi casi \u00e8 indispensabile <b>fortificare<\/b> l\u2019intera installazione di PHP e questo pu\u00f2 essere fatto seguendo ad esempio questa eccellente guida di <a href=\"http:\/\/www.cyberciti.biz\/tips\/php-security-best-practices-tutorial.html\" target=\"_blank\" rel=\"nofollow\"><span style=\"color: #1155cc;\">cyberciti<\/span><\/a>, che spiega tutto nel dettaglio.<\/p>\n<p class=\"normal\">Si noti inoltre che i pi\u00f9 comuni CMS possiedono URL di accesso alle pagine di <i>login<\/i> <b>standardizzati<\/b> e ben noti, il che rappresenta un <b>vantaggio<\/b> per un malintenzionato non da poco: la soluzione \u00e8 proteggersi cambiando questi URL, oppure inserendo un <b>duplice<\/b> livello di protezione (ad esempio mediante <i>password<\/i> via HTML e via <i>htpasswd<\/i>, oppure uso di <a href=\"http:\/\/linux.about.com\/cs\/linux101\/g\/one-time_passwo.htm\" target=\"_blank\" rel=\"nofollow\"><span style=\"color: #1155cc;\">OTP<\/span><\/a>).<\/p>\n<h2 class=\"normal\"><b>Directory \u201csensibili\u201d<\/b><\/h2>\n<p class=\"normal\">Hanno spesso nomi evocativi come <i>secret<\/i>, <i>private<\/i> e simili e sono molto <b>ambite<\/b>\u00a0dai criminali informatici che si aspettano di trovarvi informazioni utili a violare il vostro sito. In altri casi potrebbero esistere delle <i>directory<\/i> in cui avete arbitrariamente deciso di salvare <b>dati di login<\/b> del vostro sito in chiaro (ovviamente non \u00e8 affatto una buona idea farlo), mentre la soluzione ideale per le cartelle del sito in generale \u00e8 quella di <b>non renderle visibili<\/b>\u00a0lato <i>server.<\/i><\/p>\n<p class=\"normal\">Ovvero, \u00e8 necessario inserire un file <i>index.htm<\/i>l vuoto nella directory che vogliamo proteggere (se possibile), o ancora disabilitare il <i>directory<\/i> <i>listing<\/i> mediante Options -Indexes nel file <i>.htaccess<\/i>.\u00a0<b>Attenzione<\/b> che questo genere di contromisure, se applicate frettolosamente e senza consapevolezza, potrebbero compromettere in tutto o in parte il funzionamento del vostro sito.<\/p>\n<h2 class=\"normal\"><b>Pattern<\/b><\/h2>\n<p class=\"normal\">In questa situazione lo scenario \u00e8 subdolo quanto pericoloso: ad esempio immaginiamo di migrare un\u2019installazione di WordPress da un <i>hosting<\/i> all\u2019altro, adattando cos\u00ec il file di configurazione <i>wp-config.php<\/i>. Per fare prima, molti creano una copia del <i>file<\/i> e la rinominano ad es. <i>wp-config.php.old<\/i>, senza considerare che questa operazione \u201csvela\u201d e rende il <i>file<\/i> <b>leggibile<\/b> dall\u2019esterno a chiunque.<\/p>\n<p class=\"normal\">Non \u00e8 detto che sia per forza un problema, ovviamente, per quanto sia un rischio, dato che contiene informazioni riservate come il nome utente, la <i>password<\/i> ed il <i>database<\/i> che il sito utilizza.<\/p>\n<p class=\"normal\">Si tenga conto, inoltre, che nei template dei vari siti \u00e8 bene evitare di lasciare nel <i>footer<\/i> della pagina o altrove frasi come \u201c<i>Powered by Joomla<\/i>\u201d o \u201c<i>Powered by WordPress<\/i>\u201d, poich\u00e9 forniscono un vantaggio notevole a chi volesse defacciare o attaccare il vostro sito.<\/p>\n<h2 class=\"normal\"><b>Vulnerabilit\u00e0 note<\/b><\/h2>\n<p class=\"normal\">In quest\u2019ultima circostanza l\u2019attaccante si basa su vulnerabilit\u00e0 note: ad esempio riesce mediante curl a reperire la <b>versione<\/b> del server, oppure analizzando i file pubblici del vostro sito trova riferimenti al numero di versione di WordPress che si sta utilizzando.<\/p>\n<p class=\"normal\">L\u2019attaccante potrebbe quindi fare uso di file PHP manipolandone gli URL per eseguire comandi di accesso <b>indebito<\/b> o di <b>cancellazione<\/b> di contenuti (<i>SQL\/code injection<\/i>), potrebbe inoltre avere accesso al <i>login<\/i> da amministratore ed eseguire operazioni che vadano, con modalit\u00e0 differenti, a <b>sovraccaricare<\/b> il sito.<\/p>\n<p class=\"normal\">In certi casi, inoltre, \u00e8 possibile che lo stesso riesca ad indovinare le credenziali di accesso, visto che molte <i>password<\/i> sono facili da indovinare oltre che periodicamente <b>pubblicate<\/b> su appositi siti di riferimento.<\/p>\n<p class=\"normal\">Il meglio che possiamo fare in questi casi \u00e8 tenere sempre aggiornato il CMS ed i plugin del sito all\u2019ultima versione <i>stable<\/i> e al tempo stesso, cambiare la propria <i>password<\/i> di accesso periodicamente (almeno ogni uno o due mesi: spesso i siti abbandonati per mesi sono quelli pi\u00f9 facili da colpire o abbattere) e sceglierne una lunga, con sia lettere che numeri e con almeno un carattere non alfabetico.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Come abbiamo visto nel precedente articolo, sono numerose le problematiche di sicurezza informatica per il nostro sito, molte delle quali restano del tutto ignote per la maggior parte dei clienti hosting che invece, farebbero bene a tenerle ben presenti.<\/p>\n","protected":false},"author":7,"featured_media":4380,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"rop_custom_images_group":[],"rop_custom_messages_group":[],"rop_publish_now":"initial","rop_publish_now_accounts":{"twitter_97753652_97753652":""},"rop_publish_now_history":[],"rop_publish_now_status":"pending","_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[516],"tags":[24,537,214],"class_list":{"0":"post-4379","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-web-design","8":"tag-joomla","9":"tag-sicurezza","10":"tag-wordpress","11":"entry"},"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v26.6 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Siti web e sicurezza: quello che devi sapere \u2013 Seconda parte<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Siti web e sicurezza: quello che devi sapere \u2013 Seconda parte\" \/>\n<meta property=\"og:description\" content=\"Come abbiamo visto nel precedente articolo, sono numerose le problematiche di sicurezza informatica per il nostro sito, molte delle quali restano del tutto ignote per la maggior parte dei clienti hosting che invece, farebbero bene a tenerle ben presenti.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html\" \/>\n<meta property=\"og:site_name\" content=\"Il blog di HostingVirtuale\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/HostingVirtuale\" \/>\n<meta property=\"article:published_time\" content=\"2014-05-27T07:19:32+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2016-11-15T18:42:01+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"540\" \/>\n\t<meta property=\"og:image:height\" content=\"300\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Salvatore Capolupo\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@salcapolupo\" \/>\n<meta name=\"twitter:site\" content=\"@HostingVirtuale\" \/>\n<meta name=\"twitter:label1\" content=\"Scritto da\" \/>\n\t<meta name=\"twitter:data1\" content=\"Salvatore Capolupo\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tempo di lettura stimato\" \/>\n\t<meta name=\"twitter:data2\" content=\"3 minuti\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html\",\"url\":\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html\",\"name\":\"Siti web e sicurezza: quello che devi sapere \u2013 Seconda parte\",\"isPartOf\":{\"@id\":\"https:\/\/www.hostingvirtuale.com\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2.jpg\",\"datePublished\":\"2014-05-27T07:19:32+00:00\",\"dateModified\":\"2016-11-15T18:42:01+00:00\",\"author\":{\"@id\":\"https:\/\/www.hostingvirtuale.com\/blog\/#\/schema\/person\/e8b92e4062407ad78e949a41161e6e47\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html#primaryimage\",\"url\":\"https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2.jpg\",\"contentUrl\":\"https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2.jpg\",\"width\":540,\"height\":300,\"caption\":\"Siti web e sicurezza seconda parte\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.hostingvirtuale.com\/blog\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Siti web e sicurezza: quello che devi sapere \u2013 Seconda parte\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.hostingvirtuale.com\/blog\/#website\",\"url\":\"https:\/\/www.hostingvirtuale.com\/blog\/\",\"name\":\"Il blog di HostingVirtuale\",\"description\":\"Hosting e Registrazione Domini\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.hostingvirtuale.com\/blog\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.hostingvirtuale.com\/blog\/#\/schema\/person\/e8b92e4062407ad78e949a41161e6e47\",\"name\":\"Salvatore Capolupo\",\"sameAs\":[\"http:\/\/www.salvatorecapolupo.it\",\"https:\/\/x.com\/salcapolupo\"],\"url\":\"https:\/\/www.hostingvirtuale.com\/blog\/author\/salvatore\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Siti web e sicurezza: quello che devi sapere \u2013 Seconda parte","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html","og_locale":"it_IT","og_type":"article","og_title":"Siti web e sicurezza: quello che devi sapere \u2013 Seconda parte","og_description":"Come abbiamo visto nel precedente articolo, sono numerose le problematiche di sicurezza informatica per il nostro sito, molte delle quali restano del tutto ignote per la maggior parte dei clienti hosting che invece, farebbero bene a tenerle ben presenti.","og_url":"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html","og_site_name":"Il blog di HostingVirtuale","article_publisher":"https:\/\/www.facebook.com\/HostingVirtuale","article_published_time":"2014-05-27T07:19:32+00:00","article_modified_time":"2016-11-15T18:42:01+00:00","og_image":[{"width":540,"height":300,"url":"https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2.jpg","type":"image\/jpeg"}],"author":"Salvatore Capolupo","twitter_card":"summary_large_image","twitter_creator":"@salcapolupo","twitter_site":"@HostingVirtuale","twitter_misc":{"Scritto da":"Salvatore Capolupo","Tempo di lettura stimato":"3 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html","url":"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html","name":"Siti web e sicurezza: quello che devi sapere \u2013 Seconda parte","isPartOf":{"@id":"https:\/\/www.hostingvirtuale.com\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html#primaryimage"},"image":{"@id":"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html#primaryimage"},"thumbnailUrl":"https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2.jpg","datePublished":"2014-05-27T07:19:32+00:00","dateModified":"2016-11-15T18:42:01+00:00","author":{"@id":"https:\/\/www.hostingvirtuale.com\/blog\/#\/schema\/person\/e8b92e4062407ad78e949a41161e6e47"},"breadcrumb":{"@id":"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html"]}]},{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html#primaryimage","url":"https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2.jpg","contentUrl":"https:\/\/www.hostingvirtuale.com\/blog\/wp-content\/uploads\/sicurezza-siti-web-2.jpg","width":540,"height":300,"caption":"Siti web e sicurezza seconda parte"},{"@type":"BreadcrumbList","@id":"https:\/\/www.hostingvirtuale.com\/blog\/siti-web-sicurezza-devi-sapere-seconda-parte-4379.html#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.hostingvirtuale.com\/blog"},{"@type":"ListItem","position":2,"name":"Siti web e sicurezza: quello che devi sapere \u2013 Seconda parte"}]},{"@type":"WebSite","@id":"https:\/\/www.hostingvirtuale.com\/blog\/#website","url":"https:\/\/www.hostingvirtuale.com\/blog\/","name":"Il blog di HostingVirtuale","description":"Hosting e Registrazione Domini","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.hostingvirtuale.com\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"it-IT"},{"@type":"Person","@id":"https:\/\/www.hostingvirtuale.com\/blog\/#\/schema\/person\/e8b92e4062407ad78e949a41161e6e47","name":"Salvatore Capolupo","sameAs":["http:\/\/www.salvatorecapolupo.it","https:\/\/x.com\/salcapolupo"],"url":"https:\/\/www.hostingvirtuale.com\/blog\/author\/salvatore"}]}},"_links":{"self":[{"href":"https:\/\/www.hostingvirtuale.com\/blog\/wp-json\/wp\/v2\/posts\/4379","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostingvirtuale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostingvirtuale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostingvirtuale.com\/blog\/wp-json\/wp\/v2\/users\/7"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostingvirtuale.com\/blog\/wp-json\/wp\/v2\/comments?post=4379"}],"version-history":[{"count":0,"href":"https:\/\/www.hostingvirtuale.com\/blog\/wp-json\/wp\/v2\/posts\/4379\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostingvirtuale.com\/blog\/wp-json\/wp\/v2\/media\/4380"}],"wp:attachment":[{"href":"https:\/\/www.hostingvirtuale.com\/blog\/wp-json\/wp\/v2\/media?parent=4379"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostingvirtuale.com\/blog\/wp-json\/wp\/v2\/categories?post=4379"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostingvirtuale.com\/blog\/wp-json\/wp\/v2\/tags?post=4379"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}