Sicurezza Hosting: 9 consigli per difendersi dagli hacker

Sicurezza_Hosting
03 marzo 2015
2 commenti

Chi attiva un servizio hosting appartiene solitamente a due categorie ben distinte: chi è sempre preoccupato per i possibili attacchi degli hacker e pretende di essere continuamente assicurato sul piano della sicurezza, e chi non si interessa minimamente della questione fino a quando non viene “bucato”.
Al di là di tutti i consigli, scegliere un provider hosting professionale e affidabile rimane sempre e comunque la regola principale da seguire.

Indipendentemente dal provider scelto, elenchiamo di seguito alcuni consigli basilari che non possono essere ignorati da chi desidera mettere in sicurezza il proprio account hosting:

1) La scelta delle password

Molti provider permettono all’utente di scegliere in autonomia le password per diversi accessi: SSH, account FTP, pannelli di amministrazione, back end dei CMS e dei database MySQL e MSSQL. La maggior parte degli utenti sceglie delle password uguali per diversi servizi, non le appunta offline e le sceglie con criteri banali e facilmente penetrabili da parte degli hacker. Per questo motivo in neen obblighiamo a scegliere password alfanumeriche su servizi specifici, in modo che l’utente possa avere chiavi di accesso differenti almeno sui componenti critici.

2) Disabilitazione degli utenti FTP anonimi

Adottare i filtri di accesso FTP per consentire l’accesso FTP solo agli indirizzi IP o alle classi di indirizzi IP pre-configurati.

3) Effettuare backup regolari

Effettuare backup regolari, eliminando applicazioni e file non necessari e script poco usati o inutilizzabili.

4) Nascondere indirizzo back end

Molti CMS e piattaforme di uso comune sono facilmente attaccabili (vedi WordPress), ed è quindi importante installare degli appositi plugin o configurare i file .HTACCESS per migliorarne la sicurezza.

5) Proteggere il PC

Su questo punto c’è poco da aggiungere, se non usare e preservare con buon senso il proprio PC da malware e virus.

6) Nascondere l’uso di un motore di programmazione

Inserendo questo codice nel file HTACCESS:

RewriteEngine On
RewriteRule ^/(.+)\.py(.+)? /$1.php$2 [L,QSA,NC]

è possibile mascherare l’uso del PHP facendolo sembrare un altro linguaggio di programmazione lato server, al fine di depistare gli hacker meno esperti.

7) Configurazione dei permessi sui file

I file che risiedono sullo spazio hosting ad accesso pubblico non devono mai avere permessi superiori ai valori 644 o 755, per evitare che vengano sabotati facilmente. Nel caso debbano avere permessi superiori, verificare che lo spazio hosting non sia di pubblico accesso.

8) Navigazione FTP browser

Impedire a chiunque la navigazione nelle cartelle FTP via browser nel seguente modo:

Options All – Indexes

9) Bloccare indirizzi IP indesiderati

Configurare il file HTACCESS per impedire l’accesso ai file da parte dei bot indesiderati. Un consiglio molto utile è quello di bloccare a priori visitatori indesiderati provenienti da indirizzi IP conosciuti per attività di malware sia agli spider, che ai bot.

Se si vuole dormire sonni tranquilli, si deve scegliere un’hosting company che sia in grado di offrire strumenti di sicurezza aggiuntivi, come ad esempio certificati SSL, l’individuazione di malware, protocolli di sicurezza (come il backup dei dati più importanti), l’aggiornamento del software, la protezione dei server con firewall aggiuntivi e di inserire anche sistemi di IDS (Intrusion Detective System) e di IPS (Intrusion Prevention System).

Luca  Zucconi Web Product Manager