Guida alla sicurezza per gli hosting

Guida alla sicurezza per gli hosting

La sicurezza degli hosting può diventare un vero e proprio incubo se non si mantiene il pieno controllo del sistema operativo e dei software che vi girano: gli attacchi informatici sono purtroppo all’ordine del giorno e bisogna sempre trovare nuovi modi per proteggersi al meglio.

In genere gli hosting condivisi, i dedicati ed i VPS possono essere soggetti a vulnerabilità di vario genere, che permettono agli attaccanti di:

  • abusare dei privilegi di sistema al fine di iniettare codice malevolo e diffondere virus o malware;
  • defacciare alcune tipologie di siti per cui siano scoperte vulnerabilità specifiche (ad esempio WordPress TimThumb oppure MailPoet).

In genere, quindi, una falla rilevata in una certa “zona critica” dell’hosting può riflettersi negativamente sulle prestazioni globali dei vari siti ospitati, mettendo a forte rischio la sicurezza globale. Tutto dipende, in questi casi, dal livello di manutenzione e dalla frequenza di aggiornamento che il sistemista riesce ad imporre sulle macchine che sta gestendo.

Per evitare rischi per la sicurezza, in linea di massima quello che fa un amministratore è riconducibile ad una delle seguenti operazioni.

  1. seguire le regole basilari indicate nel post di cyberciti dedicato alla sicurezza dei server PHP: Linux: 25 PHP Security Best Practices For Sys Admins
  2. dimensionare opportunamente i privilegi dei client, in modo da non penalizzarne l’uso ordinario e, al tempo stesso, trovare un tradeoff accettabile che impedisca abusi; un esempio potrebbe essere quello di non concedere ad alcun client MySQL i grand per l’esecuzione di script SQL, limitandone l’uso esclusivamente alla lettura ed alla scrittura del database. Un altro esempio può essere quello di evitare che si possano inserire script PHP via upload, cosa che il cliente può settare autonomamente in wordpress mediante iThemes Security;
  3. disabilitare funzioni di basso livello tipo eval(), se possibile, in modo da confinare la script injection che spesso causa numerosi problemi su theme e script;
  4. informare adeguatamente i propri clienti dei rischi che si corrono mediante forum e newsletter apposite.

Per incrementare la sicurezza dell’hosting si deve inoltre:

  • impostare un buon firewall, in modo da bloccare all’origine i pacchetti di natura sospetta;
  • installare software anti-DDoS;
  • invitare i propri clienti ad installare plugin per la sicurezza specifici del CMS che si sta utilizzando.

 

 

 

 

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.