{"id":2113,"date":"2014-10-15T08:30:15","date_gmt":"2014-10-15T07:30:15","guid":{"rendered":"http:\/\/www.flapane.com\/blog\/?p=2113"},"modified":"2015-01-29T16:58:39","modified_gmt":"2015-01-29T15:58:39","slug":"proteggere-il-sito-da-attacchi-hacker-e-bot-malevoli-ed-ottimizzare-le-risorse-ii-parte","status":"publish","type":"post","link":"https:\/\/www.flapane.com\/blog\/2014\/10\/proteggere-il-sito-da-attacchi-hacker-e-bot-malevoli-ed-ottimizzare-le-risorse-ii-parte\/","title":{"rendered":"Proteggere il sito da attacchi hacker e bot malevoli, ed ottimizzare le risorse – II Parte"},"content":{"rendered":"

$\"Come$ <\/p>\n

Nel precedente articolo<\/a>, abbiamo visto che, purtroppo, esistono bot malevoli<\/strong>, il cui scopo \u00e8 scandagliare la rete, alla ricerca dei punti deboli del nostro sito<\/strong>. Poco conta che il sito sia basato su WordPress<\/strong> (di per s\u00e9, molto sicuro, ma il cui punto debole sono i plugin), Coppermine Gallery<\/strong>, Joomla, o utilizzi codice PHP scritto da noi.<\/p>\n

E’utile, quindi, disabilitare l’indicizzazione delle cartelle<\/strong>, ed evitare di avere troppe pagine con nomi “riconoscibili”, del tipo login.php<\/strong>, per rendere pi\u00f9 difficile la vita di questi dannati bot!<\/p>\n

Tuttavia, nell’ultimo anno, dopo aver avuto diversi problemi di rallentamento, ho approfondito ulteriormente la questione, per cercare di eliminare tutti i punti deboli<\/strong>, precludendo l’accesso a bot e visitatori “malevoli”<\/strong> che NON hanno interesse a visitare il sito<\/strong>, ma solo a consumare risorse ed, eventualmente, riuscire ad editarne il contenuto.<\/p>\n

Analizzeremo il contenuto di due file molto importanti, che vanno piazzati nella root del nostro sito, e ci permettono di restringere l’accesso ad alcuni o tutti i file, da parte di alcuni indirizzi IP o bot.<\/p>\n

Tali file si chiamano robots.txt<\/strong> e .htaccess<\/strong>.<\/p>\n

Cosa inserire nel file .htaccess<\/span><\/h1>\n\n
Blocca tutto il traffico proveniente dalla Cina<\/strong><\/li>\n<\/ul>\n
Non so voi ma, nel mio caso, il traffico “reale” proveniente dalla Cina \u00e8 scarso, se non scarsissimo, ed \u00e8 in gran parte comporto da botnet che si collegano costantemente al mio sito, e ne effettuano continuamente l’indicizzazione, alla ricerca di eventuali punti deboli. Tale caratteristica, purtroppo, \u00e8 condivisa con l’Ucraina e la Russia.<\/p>\n
Per ovviare a ci\u00f2, utilizzeremo un metodo “brutale”: bloccheremo l’accesso all’intero gigante asiatico.<\/p>\n
Andiamo su countryipblocks.net<\/a>, spuntiamo “CHINA->.htaccess deny” e clicchiamo su “Create ACL”, e copiamo il risultato in cima al nostro file .htaccess<\/p>\n
\n
Scoraggia gli hacker indonesiani islamici di zone-h<\/strong><\/li>\n<\/ul>\n
Tali personcine, da anni, scandagliano la rete, ed effettuano migliaia di accessi al vostro sito, tentando di caricare un file di prova “nyet.gif” sul vostro spazio FTP.
\nIn caso di successo, hanno la prova che il vostro sito \u00e8 un target ideale, e proseguono con l’hack vero e proprio.<\/p>\n
Per evitare che questi subumani sprechino anche una singola “goccia” delle risorse del vostro server, blocchiamo a priori l’accesso al generico file nyet.gif, inserendo, in .htaccess:<\/span><\/p>\n
#nyet.gif islamic script kiddies\r\n<Files \"nyet.gif\">\r\nOrder Allow,Deny\r\nDeny from all\r\n<\/Files><\/pre>\n
<\/span><\/p>\n
\n
Fornisci sempre il file robots.txt ed una pagina di errore, anche se blocchi un IP\/bot<\/strong><\/li>\n<\/ul>\n
Se non si consente esplicitamente l’accesso alla pagina di “ACCESSO NEGATO” (HTTP error 403), c’\u00e8 il rischio di creare un loop, col bot di turno che cerca continuamente di accedere, senza che riesca a “capire” perch\u00e8 non vi riesce.
\nAllo stesso modo, conviene sempre<\/strong> fornire il file robots.txt, nel caso quel bot che avete bannato decidesse finalmente di rispiettarne le direttive. <\/span><\/p>\n
#avoid redirect loop when blocking bots - always delivery robots.txt, http403 and 410 pages\r\n<FilesMatch \"(^403\\.shtml$|^410\\.shtml$|^robots\\.txt$)\">\r\nOrder Allow,Deny\r\nAllow from all\r\n<\/FilesMatch><\/pre>\n
<\/span><\/p>\n
\n
Blocca l’accesso a pagine del tipo login.php o wp-login.php<\/strong><\/li>\n<\/ul>\n
Come abbiamo visto nel precedente articolo, molti bot sparano nel buio, e cercano di accedere, magari, ad una pagina di log-in di WordPress, magari sperando che la password sia “admin” o “password”. \ud83d\ude42<\/p>\n
A tale scopo, conviene rinominare tutte le vostre pagine del tipo “login.php”, utilizzare il plugin Rename wp-login.php per WordPress<\/a>, ed inserire, nel file .htaccess:<\/span><\/p>\n
#blocca accessi malevoli a login e wp-login nella root e nei subfolder\r\n<FilesMatch \"(^wp-login\\.php$|^login\\.php$|^login\\.aspx$)\">\r\n\u00a0\u00a0\u00a0\u00a0 Order allow,deny\r\n\u00a0\u00a0\u00a0\u00a0 Deny from all\r\n<\/FilesMatch><\/pre>\n
<\/span><\/p>\n
\n
Blocca l’accesso ai bot malevoli<\/strong><\/li>\n<\/ul>\n
Sono tanti, sono fastidiosi, non creano alcun valore aggiunto e, purtroppo, continuano a cambiare nome negli anni: sono i bot malevoli che \u00e8 bene escludere, per un milione di valide ragioni. \ud83d\ude42
\nInoltre, cos\u00ec facendo, andiamo a bloccare anche curl e wget, evitando che qualcuno effettui una copia 1:1 del vostro sito.<\/span><\/p>\n
RewriteEngine on\r\n#inherit from root htaccess and append at last, necessary in root too\r\nRewriteOptions inherit<\/pre>\n
#block bad bots\r\nRewriteCond %{HTTP_USER_AGENT} ^$ [OR]\r\nRewriteCond %{HTTP_USER_AGENT} 360Spider [OR]\r\nRewriteCond %{HTTP_USER_AGENT} A(?:ccess|ppid|hrefsBot) [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} C(?:apture|lient|opy|rawl|url) [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} D(?:ata|evSoft|o(?:main|wnload)) [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} E(?:ngine|zooms) [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} filter [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} genieo [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} Ja(?:karta|va) [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} Li(?:brary|nk|bww) [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} MJ12bot [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} nutch [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} Pr(?:oxy|ublish) [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} robot [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} s(?:craper|istrix|pider) [NC,OR]\r\nRewriteCond %{HTTP_USER_AGENT} W(?:get|(?:in(32|Http))) [NC]\r\nRewriteRule .? - [F]<\/pre>\n
<\/span><\/p>\n
\n
Limita i tentativi di inserimento spam nei commenti e nei guestbook<\/strong><\/li>\n<\/ul>\n
Un tentativo di hacking molto diffuso, contiste nel tentare, a caso, di inserire spam nei commenti o nel libro degli ospiti, lasciando come ricordo utilissimi messaggi a proposito di pillole blu, o su come si perdano 50kg in 10 giorni. \ud83d\ude42<\/p>\n
Tali tentativi hanno in comune il fatto di attaccare, alla fine dell’URL del guestbook di turno, dei codici del tipo ++++++++result+chosen+nickname+”nomeacaso”;+sent<\/em><\/span><\/p>\n
# Limita tentativi di hacking del tipo: +result:+chosen+nickname+\"acqqicny06\";+sent; o PLM=0\r\nRewriteRule ^(.*)result:(.*)$ - [F,NC]\r\nRewriteRule ^(.*)\\+\\[PLM\\=0\\]\\[N]\\+GET(.*)$ - [F]\r\nRewriteRule ^(.*)\\+\\[PLM\\=0\\]\\+GET(.*)$ - [F]<\/pre>\n
<\/span><\/p>\n
Cosa inserire nel file robots.txt<\/span><\/h1>\n
\n
Impedisci il crawling di cartelle inutili o pericolose<\/strong><\/li>\n<\/ul>\n
E’inutile che googlebot, bingbot o altri crawler vadano a “scavare” in cartelle che non contengono alcun contenuto utile al visitatore. Pensiamo alle cartelle contenenti plugin, script vari…<\/p>\n
In questo caso, escludiamo alcune cartelle inutili di WordPress (\/blog), evitiamo la creazione di duplicati in Coppermine Gallery (\/gallery), ed escludiamo alcune cartelle inutili per l’utente (v. la cartella contenente gli script per il minify, o lightbox).<\/span><\/p>\n
User-Agent: *\r\nAllow: \/\r\nDisallow: \/cgi-bin\/\r\nDisallow: \/min\/\r\nDisallow: \/lightbox\/\r\nDisallow: \/gallery\/addfav.php?*\r\nDisallow: \/gallery\/login.php?*\r\nDisallow: \/gallery\/thumbnails.php?album=*favpics*\r\nDisallow: \/gallery\/thumbnails.php?album=*lastup*\r\nDisallow: \/gallery\/thumbnails.php?album=*lastcom*\r\nDisallow: \/gallery\/thumbnails.php?album=*topn*\r\nDisallow: \/gallery\/thumbnails.php?album=*toprated*\r\nDisallow: \/gallery\/thumbnails.php?album=*search*\r\nDisallow: \/gallery\/thumbnails.php?album=*slideshow\r\nDisallow: \/blog\/wp-admin\/\r\nDisallow: \/blog\/wp-includes\/\r\nDisallow: \/blog\/wp-content\/plugins\/\r\nDisallow: \/blog\/wp-content\/cache\/\r\nDisallow: \/blog\/wp-content\/themes\/\r\nDisallow: \/blog\/wp-content\/languages\/\r\nDisallow: \/blog\/wp-content\/wptouch-data\/\r\nDisallow: \/blog\/trackback\/\r\nDisallow: \/blog\/*\/trackback\/\r\nDisallow: \/blog\/feed\/\r\nDisallow: \/blog\/*\/feed\/\r\nDisallow: \/blog\/wp-login.php\r\nDisallow: \/blog\/wp-signup.php<\/pre>\n
<\/span><\/p>\n
\n
Blocca i pochi bot “inutili” che rispettano il file robots.txt<\/strong><\/li>\n<\/ul>\n
Molti bot “malevoli” non rispettano assolutamente il file robots.txt, motivo per cui li abbiamo esclusi poco sopra, grazie al file .htaccess, individuando e bloccando i rispettivi user agent.<\/p>\n
Per fortuna, alcuni di questi, sono pi\u00f9 “corretti”, e necessitano di una semplice regola nel file robots.txt.<\/span><\/p>\n
# Block due to SEO or pseudo-SEO which is not useful to me.\r\nUser-agent: AhrefsBot\r\nDisallow: \/\r\nUser-agent: Ezooms\r\nDisallow: \/\r\nUser-agent: Exabot\r\nDisallow: \/\r\nUser-agent: MJ12bot\r\nDisallow: \/\r\nUser-agent: CCBot\r\nDisallow: \/\r\nUser-agent: meanpathbot\r\nDisallow: \/\r\nUser-agent: SearchmetricsBot\r\nDisallow: \/\r\nUser-agent: Baiduspider\r\nUser-agent: Baiduspider-video\r\nUser-agent: Baiduspider-image \r\nDisallow: \/\r\nUser-agent: Sogou\r\nDisallow: \/<\/pre>\n
<\/span><\/p>\n
Grazie a queste regolette, trovate qua e l\u00e0 su stackexchange, webmasterworld, google groups o l’esperienza personale, ho escluso la stragrande maggioranza del traffico inutile e potenzialmente dannoso.<\/p>\n
E’tutto! Fatemi sapere se ne avete tratto giovamento, come ne ho tratto io. \ud83d\ude42<\/p>\n","protected":false},"excerpt":{"rendered":"
Nel precedente articolo, abbiamo visto che esistono bot malevoli, il cui scopo \u00e8 scandagliare la rete, alla ricerca dei punti deboli del nostro sito.[…]Nell’ultimo anno, dopo aver avuto problemi di rallentamento, ho approfondito la questione, per cercare di eliminare tutti i punti deboli[…]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[7],"tags":[173,46,147,214,9,8,162,116],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/posts\/2113"}],"collection":[{"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/comments?post=2113"}],"version-history":[{"count":0,"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/posts\/2113\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/media?parent=2113"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/categories?post=2113"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.flapane.com\/blog\/wp-json\/wp\/v2\/tags?post=2113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}