{"id":1158,"date":"2012-12-22T09:00:47","date_gmt":"2012-12-22T08:00:47","guid":{"rendered":"http:\/\/www.flapane.com\/blog\/?p=1158"},"modified":"2012-12-22T09:01:32","modified_gmt":"2012-12-22T08:01:32","slug":"proteggere-il-sito-da-attacchi-hacker-due-trucchi-efficaci","status":"publish","type":"post","link":"https:\/\/www.flapane.com\/blog\/2012\/12\/proteggere-il-sito-da-attacchi-hacker-due-trucchi-efficaci\/","title":{"rendered":"Proteggere il sito da attacchi hacker: due trucchi efficaci"},"content":{"rendered":"

$\"Proteggere$ <\/p>\n

Se \u00e8 vero che, ai giorni nostri, \u00e8 diventato relativamente facile aprire e far funzionare un sito, \u00e8 anche vero che molti tralasciano l’aspetto “sicurezza<\/strong>“.<\/p>\n

Il risultato \u00e8 una sfilza di “You’ve been hacked”, password perse, database corrotti, ondate di spam, o ancora peggio, l’iniezione di codice malevolo nelle pagine.<\/p>\n

Oltre ai soliti consigli, come tenere aggiornato il proprio CMS come WordPress e simili, ed utilizzare una password lunga ed un nome utente diverso dal classico “admin”, alcune statistiche del pannello di controllo del mio sito, relative agli error 404 (gli errori di pagina inesistente), mostravano alcune cose interessanti.
\nInfatti, numerose volte era stato tentato l’accesso a queste pagine:<\/p>\n

\/undefined
\n\/crossdomain.xml
\n\/signup
\n\/signup.php
\n\/register.php
\n\/wp-login.php
\n\/administrator\/
\n\/guestbook\/\/admin.php
\n\/signup\/
\n\/\/admin.php
\n\/member\/register
\n\/join.php
\n\/account\/register.php
\n\/shop
\n\/login.aspx<\/p><\/blockquote>\n
col risulato di “error 404”, che significava che queste pagine, nel mio sito, non esistevano.<\/p>\n
Come si vede, il potenziale “malfattore” tentava casualmente di accedere a pagine che, di solito, chiedono username e password<\/strong>, o comunque permettono, tramite SQL e PHP, di accedere ad un database e corromperlo (sql injection).<\/p>\n
Conviene, quindi, evitare di avere delle pagine con questo nome, rinominandole in maniera leggermente differente, in modo da evitare OGNI possibilit\u00e0 di essere “beccati” dai bot che cercano i punti deboli di un sito, e che cercano parole diffuse come “login”, “signup”, “shop”,”register”.<\/p>\n
Un’altra statistica del mio pannello di controllo (in particolare, il log del server), recitava spesso:<\/p>\n
[09-Dec-2012 15:35:45 Europe\/Berlin] PHP Warning:\u00a0 mysql_query() [<a href=’function.mysql-query’>function.mysql-query<\/a>]: Access denied for user ‘root’@’localhost’ (using password: NO) in \/xxx\/xxx\/xxx\/yyy.php on line X<\/p><\/blockquote>\n
Insomma, qualcuno ha tentato di aprire alcune pagine php di una sottocartella, che di norma non devono essere aperte, ma vengono “incluse” altrove tramite la funzione php include<\/strong>.
\nL’obiettivo, in questo caso, era cercare di accedere al mio database SQL, sfruttando la riga X del file yyy.php che contiene una query SQL (mysqli_query()).<\/p>\n
La riga<\/p>\n
Access denied for user ‘root’@’localhost’ (using password: NO)<\/p><\/blockquote>\n
ci dice che \u00e8 stato tentato l’accesso senza le credenziali, ovvero usando username e password di default.<\/p>\n
Se il mio database SQL non fosse stato protetto da password, quindi, il malfattore sarebbe riuscito ad accedervi.<\/p>\n
Anche se \u00e8 piuttosto improbabile che qualcuno utilizzi un database non adeguatamente protetto da password, per evitare questo inconveniente mi \u00e8 bastato disabilitare l’indicizzazione di questa ed altre cartelle dove risiedono questi file php che vengono “inclusi”.<\/p>\n
In questo modo, il malfattore non pu\u00f2 sapere quali siano i nomi dei file php della cartella, e non pu\u00f2 tentare di forzare l’accesso in nessuno di questi.<\/p>\n
Per disabilitare l’indicizzazione, \u00e8 sufficiente aggiungere, nel file .htaccess di quella cartella, la riga:<\/p>\n
Options -Indexes<\/p><\/blockquote>\n
Dopo aver fatto questa modifica, il log del server non mi ha pi\u00f9 segnalato accessi “sospetti” come quello di sopra.<\/p>\n
Qualsiasi altro consiglio che serva ad aumentare la sicurezza dei nostri siti, \u00e8 il benvenuto!<\/p>\n","protected":false},"excerpt":{"rendered":"
e \u00e8 vero che, ai giorni nostri, \u00e8 diventato relativamente facile aprire e far funzionare un sito, \u00e8 anche vero che molti tralasciano l’aspetto “sicurezza”.
\nIl risultato \u00e8 una sfilza di “You’ve been hacked”, password perse, database corrotti, ondate di spam, o ancora peggio, l’iniezione di codice malevolo nelle pagine.
\nOltre ai soliti consigli, come tenere aggiornato il proprio CMS come Wordpress e simili, ed utilizzare una password lunga[…]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[7],"tags":[214,9,14,162,116],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/posts\/1158"}],"collection":[{"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/comments?post=1158"}],"version-history":[{"count":0,"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/posts\/1158\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/media?parent=1158"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/categories?post=1158"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/tags?post=1158"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}