Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Perchè non è consigliabile salvare i backup nella cartella del proprio sito


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Ci sono moltissimi metodi per fare il backup di un sito web: ad esempio in WordPress possiamo farlo direttamente senza plugin, oppure possiamo sfruttare plugin appositi o servizi esterni. Insomma i metodi per farsi una copia di sicurezza di database e file del proprio sito non mancano, ma bisogna fare attenzione quando si verifichino le seguenti tre condizioni:

  1. backup salvati (file .zip ad esempio) direttamente in una sottocartella del server;
  2. directory listing attivo;
  3. mancanza del file index.html, index.htm, index.php all’interno della cartella in questione.

In questo caso, infatti, se un attaccante prova a navigare nelle cartelle del sito potrà  facilmente trovare il backup e scaricarselo, dato che il listing gli permette (anche da anonimo) di consultare e scaricare i file delle cartelle del sito in modalità  pubblica. Nel backup dei file di WordPress, ad esempio, sono contenute le credenziali di accesso nel file wp-config.php, per cui è opportuno che questo file non finisca nelle mani sbagliate perchè permetterebbe all’utente malintenzionato di accedere al nostro sito. Stesso discorso vale per i backup del database MySQL, salvati in formato .sql.


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Sul blog di sucuri ad esempio sono stati recentemente identificati (ma la tecnica è piuttosto vecchia, in realtà ) dei particolari pattern di ricerca su Google che mostrano backup sql indicizzati, che offrono quindi dati di accesso al nostro sito pubblicamente ed a nostra insaputa. In caso il nostro sito sia affetto da un problema del genere, è opportuno cambiare le credenziali di accesso e rimuovere il file sql dal server periodicamente o, meglio ancora, inserire un file index.htm vuoto nella cartella del backup o disabilitare il listing via htaccess. Anche se le password sono criptate in MD5, inoltre, un attaccante può svelarle con un semplice attacco brute force, con probabilità  del 90% utilizzando un comune computer da ufficio.

Ti potrebbe interessare:  Come indicizzare un sito (in WordPress e non solo)

Attenzione, quindi, a lasciare i nostri backup sul server del sito: conviene molto di più utilizzare soluzioni decentralizzate che salvino i file altrove, protetti ad esempio dal , in locale o temporaneamente (e con qualche accortezza, anche qui) su soluzioni di file hosting.

Da non perdere 👇👇👇



Trovalost esiste da 4437 giorni (12 anni), e contiene ad oggi 4022 articoli (circa 3.217.600 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.


Cerchi un hosting economico per il tuo sito o blog? Tophost ti aspetta (clicca qui)

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.