{"id":8216,"date":"2017-01-26T13:03:47","date_gmt":"2017-01-26T12:03:47","guid":{"rendered":"https:\/\/www.hostingvirtuale.com\/blog\/?p=8216"},"modified":"2017-01-26T15:46:49","modified_gmt":"2017-01-26T14:46:49","slug":"3-tecniche-proteggere-sito-wordpress-dagli-attacchi-sql-injection","status":"publish","type":"post","link":"https:\/\/www.hostingvirtuale.com\/blog\/3-tecniche-proteggere-sito-wordpress-dagli-attacchi-sql-injection-8216.html","title":{"rendered":"3 tecniche per proteggere un sito WordPress dagli attacchi SQL injection"},"content":{"rendered":"

\"3<\/p>\n

WordPress \u00e8 di gran lunga la piattaforma pi\u00f9 usata per realizzare la maggior parte dei\u00a0siti web: dal blog all’e-commerce, dal sito vetrina al portale turistico. Questo per\u00f2 ha come diretta\u00a0conseguenza il fatto che sia anche potenzialmente vulnerabile agli attacchi hacker<\/strong>.\u00a0Nello specifico, analizzeremo alcune delle tecniche per proteggersi e possibilmente prevenire gli attacchi\u00a0SQL injection<\/strong>.<\/p>\n

Oltre ad approfondire nel nostro blog come proteggere un sito web da malware e hacker<\/a>, ti ricordiamo che tra i nostri servizi, oltre a domini e hosting, sono disponibili anche quelli relativi alla sicurezza di un sito web: i\u00a0certificati SSL<\/a>, SiteLock per la protezione dal malware<\/a> e il Cloud Backup<\/a>.<\/p>\n
<\/i> Scopri di pi\u00f9! <\/span><\/a><\/div><\/div><\/div>\n

Ti chiederai come fare SQL injection<\/strong> e soprattutto che significa. Facciamo quindi una premessa. L\u2019SQL injection<\/strong>\u00a0(dove SQL sta per Structured Query Language) \u00e8 una tecnica di programmazione, usata per attaccare applicazioni di gestione dati, con la quale vengono inseriti delle stringhe di codice SQL malevole all’interno di campi di input in modo che vengano eseguiti.<\/p>\n

Sfrutta le vulnerabilit\u00e0 di sicurezza del codice<\/strong> di un’applicazione, ad esempio quando l’input dell’utente non \u00e8 correttamente filtrato da ‘caratteri di escape’ contenuti nelle stringhe SQL oppure non \u00e8 fortemente tipizzato e viene eseguito inaspettatamente.<\/p>\n

L’SQL injection in PHP \u00e8 pi\u00f9 conosciuto come attacco ai siti web, ma \u00e8 anche usato per attaccare qualsiasi tipo di database SQL.<\/div><\/div>\n

La caratteristica principale dei CMS e quindi di WordPress, rispetto allo sviluppo in solo HTML, \u00e8 proprio quella di utilizzare un database per memorizzare i dati<\/strong> necessari alla visualizzazione del contenuto del sito web<\/a>.<\/p>\n

Se questi non vengono opportunamente validati (con un’analisi del testo), l’hacker sarebbe in grado di\u00a0inserire dei comandi che potenzialmente potrebbero interagire con il database.<\/p>\n

SQL injection: classico e blind<\/strong><\/h2>\n

Esistono due tipi di attacchi SQL injection il “classico” e il “blind\u201d.<\/p>\n

\"Effettuare<\/a>Mentre nel classico la vulnerabilit\u00e0 di SQL vede un input dell’utente non filtrato permettendo a un utente malintenzionato di inviare comandi al database<\/strong> ed avere una risposta; il \u201cblind\u201d consente al malintenzionato di inviare comandi al database, ma non permette di avere l’output del database.<\/p>\n

Una SQL injection \u00e8 in grado di generare un elenco di database a cui l’hacker ha accesso, oltre alla visione delle tabelle del database e gli consente di scaricare una serie di informazioni sensibili.<\/p>\n

3 tecniche per proteggersi dagli attacchi SQL injection<\/strong><\/h2>\n

Analizziamo quindi le tre migliori tecniche che consentono di proteggere dalla SQL injection un sito web realizzato e sviluppato mediante WordPress, il CMS pi\u00f9 utilizzato nel mondo.<\/p>\n

1. Pulire ed eliminare tutto ci\u00f2 che pu\u00f2 interferire con il database<\/strong><\/h3>\n

Il modo pi\u00f9 semplice per fare questo con WordPress, \u00e8 quello di utilizzare la tecnica di preassegnare dei valori alle variabili tramite l\u2019utilizzo dei placeholders <\/em>all\u2019interno del database MySQL.<\/p>\n

2. Limitare i privilegi degli utenti dei database<\/strong><\/h3>\n

\"OttimizzareDi default MySQL offre diverse tipologie di account e privilegi di accesso al database MySQL.<\/p>\n

Tuttavia, non sempre sono necessari per l’uso quotidiano delle attivit\u00e0 connesse a WordPress:<\/p>\n

    \n
  1. creazione di nuovi utenti;<\/li>\n
  2. post nel blog;<\/li>\n
  3. caricamento di file multimediali;<\/li>\n
  4. commenti agli articoli;<\/li>\n
  5. installazione di plugin.<\/li>\n<\/ol>\n

    L’utente del database MySQL ha bisogno solo delle funzioni di lettura e scrittura cio\u00e8: SELECT, INSERT, UPDATE e DELETE. Altre strutture di database MySQL e una abbondanza di privilegi di amministrazione, come, ad esempio DROP, ALTER e GRANT\u00a0possono essere revocate.<\/p>\n

    Questo mette in atto una politica di contenimento considerevole per prevenire gli attacchi SQL injection.\u00a0<\/strong><\/p>\n

    3. Backup dei dati e codifica (criptazione)<\/strong><\/h3>\n

    \"Come<\/a>Encrypt & Backup sono due elementi fondamentali per questo passaggio.<\/p>\n

    Questa tecnica si basa sui seguenti punti:<\/p>\n

      \n
    1. codificare il backup;<\/li>\n
    2. mantenere una registrazione indipendente degli hash MD5;<\/li>\n
    3. esportare i backup su supporti esterni;<\/li>\n
    4. realizzare degli snapshot<\/em> ad intervalli regolari dell\u2019installazione di WordPress;<\/li>\n
    5. assicurarsi che gli snapshot includano tutti i file del core di WordPress compreso il database (meglio se questo \u00e8 esterno al server su cui \u00e8 installato WordPress).<\/li>\n<\/ol>\n

      In questo modo, anche se il sito ha sub\u00ecto un attacco SQL injection, avendo fatto il backup sar\u00e0 possibile ripristinare il sito in poco tempo.<\/p>\n

      Oltre il backup dei dati, un suggerimento utile \u00e8 quello di camuffare l\u2019account amministrativo cambiandogli il nome ed o il prefisso nelle tabelle del database. Questo pu\u00f2 prevenire gli attacchi pre-programmati.<\/p>\n

      SQL injection: conclusione<\/strong><\/h2>\n

      Queste sono solo tre\u00a0tecniche che semplificano la vita ai sistemisti<\/strong> e consentono agli sviluppatori web di realizzare siti WordPress un minimo pi\u00f9 sicuri. Certamente le difficolt\u00e0 sono tante ma \u00e8 importante approcciare queste problematiche nel migliore dei modi.<\/p>\n

      Nel limite del possibile dobbiamo sempre fare il massimo per prevenire qualsiasi tipo di attacco<\/strong>. Lo ripeto ancora una volta, non dimenticare mai di:<\/p>\n