Come abbiamo visto nel precedente articolo, sono numerose le problematiche di sicurezza informatica per il nostro sito, molte delle quali restano del tutto ignote per la maggior parte dei clienti hosting che invece, farebbero bene a tenerle ben presenti.
Abbiamo visto alcuni dei problemi che possono capitare nella gestione di un sito e che possono sottoporlo ad attacchi di vario genere: abuso di privilegi (tra le falle più diffuse), errori nel sito e file contenenti dati riservati.
In questa seconda parte procediamo con il nostro excursus sulle problematiche più comuni di sicurezza dei portali web e sul come difenderci in modo efficace.
Presenza di foothold e pagine di login pubbliche
Si tratta di una situazione in cui, in generale, esistano dei “punti di appoggio” per un attaccante, mediante i quali possa individuare l’URL da cui fare login, eseguire arbitrariamente comandi PHP “wrappati” e tutto quello che riguarda gli accessi indebiti al sito dall’esterno.
Per proteggersi in questi casi è indispensabile fortificare l’intera installazione di PHP e questo può essere fatto seguendo ad esempio questa eccellente guida di cyberciti, che spiega tutto nel dettaglio.
Si noti inoltre che i più comuni CMS possiedono URL di accesso alle pagine di login standardizzati e ben noti, il che rappresenta un vantaggio per un malintenzionato non da poco: la soluzione è proteggersi cambiando questi URL, oppure inserendo un duplice livello di protezione (ad esempio mediante password via HTML e via htpasswd, oppure uso di OTP).
Directory “sensibili”
Hanno spesso nomi evocativi come secret, private e simili e sono molto ambite dai criminali informatici che si aspettano di trovarvi informazioni utili a violare il vostro sito. In altri casi potrebbero esistere delle directory in cui avete arbitrariamente deciso di salvare dati di login del vostro sito in chiaro (ovviamente non è affatto una buona idea farlo), mentre la soluzione ideale per le cartelle del sito in generale è quella di non renderle visibili lato server.
Ovvero, è necessario inserire un file index.html vuoto nella directory che vogliamo proteggere (se possibile), o ancora disabilitare il directory listing mediante Options -Indexes nel file .htaccess. Attenzione che questo genere di contromisure, se applicate frettolosamente e senza consapevolezza, potrebbero compromettere in tutto o in parte il funzionamento del vostro sito.
Pattern
In questa situazione lo scenario è subdolo quanto pericoloso: ad esempio immaginiamo di migrare un’installazione di WordPress da un hosting all’altro, adattando così il file di configurazione wp-config.php. Per fare prima, molti creano una copia del file e la rinominano ad es. wp-config.php.old, senza considerare che questa operazione “svela” e rende il file leggibile dall’esterno a chiunque.
Non è detto che sia per forza un problema, ovviamente, per quanto sia un rischio, dato che contiene informazioni riservate come il nome utente, la password ed il database che il sito utilizza.
Si tenga conto, inoltre, che nei template dei vari siti è bene evitare di lasciare nel footer della pagina o altrove frasi come “Powered by Joomla” o “Powered by WordPress”, poiché forniscono un vantaggio notevole a chi volesse defacciare o attaccare il vostro sito.
Vulnerabilità note
In quest’ultima circostanza l’attaccante si basa su vulnerabilità note: ad esempio riesce mediante curl a reperire la versione del server, oppure analizzando i file pubblici del vostro sito trova riferimenti al numero di versione di WordPress che si sta utilizzando.
L’attaccante potrebbe quindi fare uso di file PHP manipolandone gli URL per eseguire comandi di accesso indebito o di cancellazione di contenuti (SQL/code injection), potrebbe inoltre avere accesso al login da amministratore ed eseguire operazioni che vadano, con modalità differenti, a sovraccaricare il sito.
In certi casi, inoltre, è possibile che lo stesso riesca ad indovinare le credenziali di accesso, visto che molte password sono facili da indovinare oltre che periodicamente pubblicate su appositi siti di riferimento.
Il meglio che possiamo fare in questi casi è tenere sempre aggiornato il CMS ed i plugin del sito all’ultima versione stable e al tempo stesso, cambiare la propria password di accesso periodicamente (almeno ogni uno o due mesi: spesso i siti abbandonati per mesi sono quelli più facili da colpire o abbattere) e sceglierne una lunga, con sia lettere che numeri e con almeno un carattere non alfabetico.
Lascia un commento