Archivi

Ultimi Commenti

Categorie

Blog

Ecommerce-security

Mettere in sicurezza un CMS: ecco come fare

Se il nostro sito web è online da qualche tempo, potrebbe essere necessario effettuare un po’ di manutenzione allo scopo di migliorare la sicurezza del sito stesso: gli attacchi ai siti sono infatti normalmente su larga scala (è improbabile, anche se non certo impossibile, che qualcuno vi abbia preso di mira), e mirano a sfruttare falle note di CMS diffusi, come Joomla! e WordPress (ma non solo). I principi di sicurezza di un software web si basano su alcune semplici idee:

  • 1) le utenze autorizzate a manipolare il sito da amministratori devono possedere una (doppia) chiave di accesso riservata, quindi da un lato quella “Pubblica” che li identifica (username), dall’altro quella privata (password) che conoscono soltanto loro; molti CMS hanno la debolezza di esporre l’username in pubblico (miosito.com/author/username, del tipo), addirittura facendola indicizzare ai motori di ricerca, e questo è un problema tuttora aperto di WordPress, ad esempio.
  • 2) bisogna ragionevolmente esporre il meno possibile della macchina server, evitando di lasciare pagine con la funzione PHP_info() online ed occultando, se possibile, anche le informazioni sulla versione del CMS che si sta usando. Questo infatti conferisce un vantaggio notevole all’attaccante che può sfruttare eventuali falle di quella versione, dato che i bollettini per la sicurezza (come questo, ad esempio) sono aggiornati tempestivamente con CMS e numero di versione difettosa e gli hacker tendono a seguire tali informazioni.
  • 3) in generale, infine, bisogna assicurarsi di non lasciare dettagli di accesso al proprio sito incustoditi, e non segnarli su carta per nessuno motivo al pari dei PIN di accesso ai Bancomat.

Come metto al sicuro il mio sito web?

Uno dei principali metodi per conferire un margine di sicurezza al proprio sito è quello, se si utilizza un CMS, di sfruttare uno dei tantissimi plugin adibiti allo scopo:  di fatto non tutti sono equivalenti, ad esempio per WordPress si suggerisce caldamente Better Security WP, dato che molte opzioni si installano in automatico ed è possibile, peraltro, loggare tutte le operazioni che avvengono sul sito (tentativi di login inclusi). Invece per Joomla! potete sfruttare uno di quelli contenuti nel repository ufficiale, ad esempio quello per imporre una password doppia da accordare all’URL di /administrator (jSecure), in modo che – per eventuali hacker o utenze non autorizzate – sia impossibile accedere alla stessa senza conoscere quella chiave segreta, e solo dopo averla inserita correttamente si potrà accedere all’area di login amministrativo. Inserendo una chiave difficile da indovinare la protezione del nostro Joomla! sarà certamente potenziata: il più delle volte, infatti, tale protezione riesce a rendere vano qualsiasi tentativo di login automatizzato, per quanto riguarda gli attacchi basati su dizionario oppure, più semplicemente, brute force (si provano le varie combinazioni di username e password a ripetizione).

Un’altro aspetto molto importante consiste nel tenere il proprio CMS sempre aggiornato, facendo in modo quindi di aggiornarlo non appena ci venga notificato; se ovviamente utilizziamo un CMS proprietario sarà cura del venditore avvisarci qualora ci siano update da fare, e al tempo stesso se utilizzate un sito PHP fatto da terze parti dovrà essere il webmaster a validare adeguatamente i campi, impedire SQL injection e così via. Di fatto la politica di sicurezza di un sito passa per due fasi: da un lato la protezione dei dati, per la quale Hosting99 offre appositi piani con backup incorporato su server esterno all’hosting. Dall’altro, ovviamente, vi sono varie misure di sicurezza di cui quelle riportate sono solo una parte, per quanto consistente, di un problema che andrebbe affrontato con occhio sistemistico prima ancora che da puro webmaster.

condividi!

AUTHOR - WEB Hunter

3 Comments

0
  • Sandro kensan

    Magari non chiamiamo hacker quello che hacker non sono. Bill gates, Richard Stallman, Linus Torvalds sono hacker e non ci vedo nulla di male nell’esserlo.

    • WEB Hunter

      Ciao Sandro,

      puntualizzazione corretta, ma quei nomi non sono stati fatti nell’articolo, per l’appunto. Ci mancherebbe altro: la figura dell’hacker in senso buono esiste eccome, e ci sarebbe un bel discorso da aprire in merito.

      Ma il focus dell’articolo era differente e più di carattere tecnico-pratico, e desiderava far capire la filosofia che sta dietro le politiche di sicurezza. :)

  • I principali software per la scansione di sicurezza del vostro sito | Hosting99 Blog

    […] già parlato di come mettere in sicurezza un sito e come utilizzare i backup per salvare regolarmente i dati del nostro sito: per quanti accorgimenti […]

Post A Comment