Vademecum sicurezza: 10 consigli pratici per rendere più sicuro il tuo Hosting.

Aggiornato il: 15 Aprile 2016


In questo breve e ci auguriamo utile documento, abbiamo stilato un elenco delle precauzioni e norme più comuni rispetto ad un tema delicato quale quello della sicurezza informatica. Non si tratta di un manuale, né tantomeno di un elenco esaustivo di possibili protezioni contro gli attacchi di hackers, spammers, ecc, o di base per l'ottemperanza ad un DPS (Documento programmatico di Sicurezza) ma semplicemente di un VADEMECUM che consenta anche all'amministratore di sito meno esperto di evitare le distrazioni e gli errori più comuni quando si usufruisce di un servizio di hosting. Naturalmente siamo totalmente disponibili a suggerimenti su come migliorare o espandere questo documento:
Molte di queste norme ai più sembreranno elementari e comunque già ottemperate dalle normative sulla sicurezza informatica e sulla Privacy attualmente vigenti, ma abbiamo ritenuti di fare cosa utile riassumerle qui:

1) POSTA ELETTRONICA
Con tutti i piani di hosting viene solitamente fornito l'accesso ad un mail server, che consente sia la ricezione della posta elettronica (tramite connessione POP3 oppure webmail) sia l'invio della posta tramite SMTP (o webmail)
Poichè solitamente viene creata una sola casella preesistente e poi viene lasciata all'iniziativa del Cliente la possibilità di gestirsi le proprie caselle di posta tramite il pannello di controllo fornito in dotazione con il servizio, è quantomai utile rammentare poche regole basilari sulla configurazione delle caselle di posta:

a) le password devono essere composte da almeno 8 caratteri alfanumerici, possibilmente sia lettere che numeri, e non dovrebbero contenere parole gia' presenti nell'indirizzo di posta ne' in alcun modo essere riconducibili alla persona che utilizza la casella di posta (NO nome, NO cognome) o all'attività lavorativa che svolge (es: nome ditta). Allo stesso modo non dovrebbero contenere nomi di uso comune, in special modo nomi di città o nomi propri. In generale, è opportuno che i caratteri utilizzati nelle password di posta siano RANDOM, ovvero una sequenza casuale di lettere e numeri, comprese lettere maiuscole e caratteri speciali (punto esclamativo, ecc). L'utilizzo del generatore di password di Cpanel, presente in ogni pagina in cui si impostano le password di accesso ai servizi, con un numero minimo di 10-12 caratteri casuali, garantisce un ottimo livello di sicurezza.

b) le password non dovrebbero essere annotate su alcun documento non criptato che sia presente sul proprio hard disk, e soprattutto non raccolte tutte in un unico file chiaramente identificabile. Per la gestione sicura delle proprie  password, LineaHosting consiglia KeePass, disponibile per vari sistemi operativi inclusi smartphone.

c) Nel caso di aziende con più dipendenti e quindi più caselle di posta, ciascuna casella di posta dovrebbe disporre di una propria password NON COMUNE alle altre caselle e conosciuta esclusivamente dal titolare della casella stessa, e/o tutt'al più da una persona identificata come responsabile tecnico che le abbia in custodia. Queste norme sono previste anche dai requisiti della Privacy sui luoghi di lavoro, oltre che dalle comuni regole di corretta gestione di una rete aziendale.

d) Un sistema antivirus aggiornato con funzioni di Browser monitoring ed Email monitoring (es: Kaspersky Internet Security) dovrebbe essere sempre presente e funzionante su ciascun computer connesso ad Internet, onde prevenire l'installazione e la diffusione di virus informatici tramite posta elettronica o tramite la navigazione in siti web compromessi.

e) Quando possibile, preferire le connessioni di tipo POP3s, IMAPs o SMTPs, con metodo di autenticazione STARTTLS. Questo protocollo permette che i dati scambiati tra server e client di posta, incluse le password, avvengano in modo criptato e quindi più difficilmente intercettabili in caso di una compromissione di sicurezza sulla stessa LAN aziendale su cui transitano queste informazioni. All'interno del pannello di controllo assegnato a ciascun piano hosting, sono indicate dettagliatamente tutte le configurazioni per queste modalità di accesso.

 

2) CONSERVAZIONE PASSWORD
Le password di accesso di qualsiasi servizio installato sul vostro dominio dovrebbero essere conservate in un luogo sicuro, possibilmente su stampa oppure su file criptato. Conservare le password in un unico file di testo in chiaro è quantomai rischioso poichè, se trovato o "carpito" da un virus informatico, consentirebbe in un colpo solo di conoscere tutti gli accessi a tutti i servizi. Esistono validi programmi ed app per cellulari in grado di immagazzinare tutte le vostre password e criptarle in modo sicuro.

3) SCRIPTS PHP, CGI
Uno dei metodi più utilizzati dai pirati informatici per guadagnare accesso illegale ad un sistema informativo e in questo caso ad un server, è quello di sfruttare falle di sicurezza presenti nel sistema stesso. Nel caso di servers adibiti ad hosting di siti web, la via più "facile" per l'hacker è quella di studiare e quindi violare i software installati all'interno della document root e non adeguatamente protetti o testati contro un uso che non sia quello previsto. Le tecniche più note di questo tipo di attacchi vengono denominate "exploits" (possono essere remoti o locali, a seconda che vengano portati direttamente da un server remoto oppure richiedano preventivamente un accesso locale).
L'argomento è troppo lungo e complesso per essere affrontato in poche righe qui, tuttavia può essere sufficiente tenere presente poche norme:

a) qualsiasi script commerciale acquistato e quindi installato su un account DEVE essere constantemente aggiornato all'ultima versione resa disponibile dagli sviluppatori. Questo serve a correggere non solo i bugs del programma in sè, ma spesso anche le falle di sicurezza individuate dai creatori di quel software!

b) La stessa regola vale anche per i software/scripts distribuiti gratuitamente.
Alcuni scripts tra i più famosisono particolarmente presi di mira:
- PhpBB, Wordpress, Joomla, ecc.
E' importante che questi script, se installati nel proprio spazio web, siano sempre aggiornati dal Cliente all'ultima versione disponibile, soprattutto in presenza di aggiornamenti di sicurezza. Mediamente, ogni anno, ciascuno di  questi software riceve almeno 5-10 aggiornamenti, di cui almeno una parte riguarda aggiornamenti per coprire falle di sicurezza, a volte anche molto gravi e facilmente sfruttabili da aspiranti hackers con modeste competenze. Il mantenimento di versioni obsolete e soggette a vulnerabilità, pone l'intero account (e talvolta anche altri clienti sullo stesso server) in grave rischio di compromissioni, utilizzi illegali e quant'altro di peggio si possa immaginare. Per questa ragione, è nell'interesse di ciascun titolare di ciascun account fare in modo che questa corretta manutenzione venga effettuata nel tempo, anche se questo può avere un costo non irrilevante in termini economici.

4) FORM MAIL: dal form sul sito alla vostra email IN SICUREZZA
Un altro capitolo a parte è dedicato all'uso degli scripts che consentono di inviare una email da una pagina web direttamente ad una casella di posta. Un capitolo a parte è stato dedicato a questo argomento delicato e da cui dipende la capacità di contrastare uno spammer che voglia sfruttare proprio il vostro sito per inviare decine di migliaia di email anonimamente!
L'articolo è presente nelle nostre FAQ.

5) ACCESSO FTP
Valgono le stesse regole già descritte al punto 1) per le email, riguardo alla password e alla sua conservazione.

6) MANTENIMENTO DI UNA COPIA DEL SITO SUL VOSTRO HARD DISK
Sebbene tutti i nostri servers dispongano di unità per il backup che viene effettuato secondo le modalità previste dal contratto, senza costi aggiuntivi, è assolutamente raccomandato che ciascuno conservi una copia in locale di tutti i files, in modo che nel caso malaugurato di compromissione o perdita di dati esista sempre una copia fisicamente collocata in un altro luogo e su un altro sistema hardware/rete. Per quei siti con una elevata frequenza di aggiornamento quali ad esempio i siti dinamici, communities, ecc. LineaHosting fornisce soluzioni di Hosting Professionale e/o Remote Backup apposite, che forniscono un adeguato livello di replicazione dei propri dati.

7) NON ABBANDONATE IL VOSTRO SITO
Anche se si tratta di un servizio che utilizzate solo occasionalmente, è sempre bene che ogni tanto venga fatto un rapido controllo dei siti per controllare che i dati e i contenuti corrispondano a quelli che vi aspettereste di trovare. Nel caso si preveda una lunga assenza e l'impossibilità di gestire il proprio sito, è opportuno incaricare qualcuno in vostra vece e/o comunicare a noi le variazioni di recapito in caso di urgenza. Quando possibile, non utilizzate gli autorisponditori! Questo perchè gli autorisponditori inviano una risposta anche a tutte le email di spam che non sono state eliminate dai filtri antispam, generando inutile e potenzialmente dannoso traffico che aggiunge altro spam.

8) MANTENETE AGGIORNATI I VOSTRI CONTATTI
Il personale di LineaHosting utilizza il contatto email principale da voi fornito alla sottoscrizione del servizio. Tale email dovrebbe essere controllata almeno 1 volta al giorno o comunque con una certa frequenza, oppure affidata a persona esperta e di vostra fiducia che sia in grado di occuparsene. In tal modo potrete ricevere tempestivamente eventuali nostri aggiornamenti, richieste, comunicazioni urgenti ecc.
Allo stesso modo, dovrebbero essere aggiornate nell' Area Clienti tutte le eventuali variazioni relative a recapiti telefonici, indirizzi ecc.

9) CONSULTATE QUESTO HELPDESK
Oltre alle sezioni che tutti conoscono relative all'apertura di ticket di assistenza, molti non sanno che le altre sezioni contengono molti articoli, costantemente aggiornati, circa l'utilizzo dei nostri servizi e la risposta alle problematiche più comuni. Questi articoli, sovente, possono far risparmiare molto tempo nella ricerca dell'informazione utile.

10) DUBBI? CONTATTATE IL SUPPORTO TECNICO
Se un software, uno script non vi convincono, se avete bisogno di un consiglio su un aspetto di sicurezza o sul corretto uso del servizio di hosting, chiedere è molto meglio che rischiare! Il nostro Supporto Tecnico operativo 24h su 24 tramite Live Chat e Ticket sarà lieto di fornirvi tutte le spiegazioni oppure le indicazioni su dove e come reperire la documentazione per essere correttamente informati.

©Copyrights 2016 LineaHosting - tutti i diritti riservati

Hai trovato questa risposta utile?

 Stampa Articolo

Leggi anche

Ho ricevuto una notifica di abuso con origine un mio dominio. Cosa devo fare?

La sicurezza di tutti i servizi e software/script installati all'interno del vostro spazio web e...

Ho smarrito la password Cpanel, E-mail o FTP. Cosa fare?

Come regola generale è bene annotarti in un posto sicuro le password di accesso. Ma soprattutto...

Errore di certificato inaffidabile nell'accesso a Cpanel o alla webmail. Come mai?

E' possibile che, durante l'accesso al proprio pannello di controllo (sia WHM che CPanel) oppure...

Non riesco ad accedere a CPanel/WHM

Se il dominio associato al piano hosting è attivo, occorre innanzitutto verificare se riesci a...