Archivi tag: sicurezza

Attacco POODLE: con Tantrahost da adesso siete al sicuro

La sicurezza online è un processo in continua evoluzione, e protocolli di sicurezza vengono migliorati e sviluppati continuamente per mantenere i vostri dati e le vostre comunicazioni al sicuro. Dopo essere stato rilasciato circa 15 anni fa, SSL 3.0 è un protocollo piuttosto antico: è stato succeduto da TLS da un po’ di tempo, ma la compatibilità SSL 3.0 è stata ampiamente mantenuta. Negli ultimi giorni, Bodo Möller del team di sicurezza di Google ha annunciato di aver scoperto una vulnerabilità nel vecchio protocollo SSL 3.0, nome in codice POODLE (o Padding Oracle On Downgraded Legacy Encryption, se non siete pratici con gli acronimi). Questa vulnerabilità permette ad un hacker di visualizzare il contenuto testuale in connessioni sicure su SSL 3.0.

Dopo aver effettuato un’analisi dettagliata del traffico che scorre attraverso la nostra rete, abbiamo deciso di rimuovere la compatibilità SSL 3.0 dai nostri server del tutto. Abbiamo automaticamente distribuito una patch per tutti i nostri server che rimuove SSL 3.0 e ciò significa che essi non saranno più vulnerabili agli attacchi POODLE (dobbiamo ammettere, non era qualcosa di cui ci eravamo preoccupati in precedenza). Si tratta di una soluzione adeguata, in base alle nostre analisi abbiamo ricevuto una frazione molto piccola di richieste su SSL 3.0, meno dello 0,02%.

Anche la maggior parte dei principali siti web e molti browser saranno via via lasciando perdere il supporto per SSL 3.0, che così diventerà presto confinato nella storia di Internet. A volte è più gentile dire addio, piuttosto che continuare a sostenere tecnologie superate. Così è con bei ricordi e molte grazie per il suo eccellente lavoro per il decennio e mezzo passato, che dobbiamo dire addio a SSL 3.0, la vita va avanti.

Alcuni plugin di sicurezza WordPress

Capita spesso che occorra proteggere la vostra installazione di WordPress, ecco quindi che vi introduciamo alcuni suggerimenti e plugin di sicurezza, che potrete utilizzare a vostra discrezione.

Plugin utili:

  • Plugin CHAP Secure Login: Si codifica password utilizzando il protocollo CHAP. Non ha bisogno di configurazione aggiuntiva, si installa e si attiva.
    URL: http://wordpress.org/extend/plugins/chap-secure-login/
  • Plugin Login Lockdown: Blocca gli IP dopo alcuni errori di autenticazione.
    URL: http://wordpress.org/extend/plugins/login-lockdown/
  • Plugin WP-DB-Backup: consente di eseguire facilmente il backup delle tabelle del database di WordPress. Si può anche effettuare il backup di altre tabelle nello stesso database.
    URL: http://wordpress.org/extend/plugins/wp-db-backup/
  • Plugin WP-Security-Scan:. Controlla il vostro sito WordPress alla ricerca di vulnerabilità di sicurezza.
    URL: http://wordpress.org/extend/plugins/wp-security-scan/

Consigli utili:

  • Proteggere il vostro file wp-config.php aggiungendo la seguente riga al vostro htaccess.:
    < FilesMatch ^wp-config.php$ > Deny from all
  • Modificare la password del wp-admin e del DB ogni certo numero di giorni.
  • Eliminare le informazioni della vostra versione di WP. Provate a dare un’occhiata al file header.php o quello del vostro tema, e commentate la linea (senza eliminarlo).
  • Nascondere la directory wp-content: Potete farlo creando un file index.html vuoto in questa directory o creando un htaccess nella stessa cartella e aggiungere la seguente riga.: Options All -Indexes
  • Bloccare le directory di WP ai motori di ricerca attraverso il file robots.txt scrivendo la seguente riga nel file:
    Disallow: / wp-*

  • Mantenere aggiornato il vostro WordPress, sempre all’ultima versione.
  • Controllare i plugin, assicurandosi che le siano ufficiali o ben recensiti. Di solito le persone offrono plugin per la comunità, la gente scarica e non si rende conto che il plugin contiene vari strumenti di hacking o di spamming.
  • Utilizzare SFTP: Sostituire la connessione FTP con SFTP, che invia le informazioni caricate al nostro server in modo sicuro. (Nota: È necessario cambiare la porta a 22, e abilitare l’accesso Bash)

Informazioni supplementari

  • Guida ufficiale sulla sicurezza di WordPress: http://codex.wordpress.org/Hardening_WordPress
  • Plugin WordPress Firewall: http://wordpress.org/extend/plugins/wordpress-firewall-2/
    Questo plugin WordPress simula le richieste web con semplici euristiche specifiche per WordPress per identificare e fermare gli attacchi più evidenti.
  • Plugin Postlogger For WordPress: http://www.village-idiot.org/archives/2008/04/16/postlogger-for-wordpress/
    Questo plugin vi sembrerà inutile fino a quando il vostro WordPress viene hackerato. Se vi capita di utilizzare questo plugin, registrando attivamente tutte le variabili $POST, e la vostra installazione di WordPress viene compromessa, sarete in grado di tornare indietro e vedere effettivamente dove e come l’exploit si è verificato. Armati di queste informazioni, è possibile fornire i dati agli sviluppatori di WordPress.
  • Plugin BulletProof Security: http://wordpress.org/extend/plugins/bulletproof-security/
    Protegge il vostro sito WordPress contro attacchi XSS, RFI, CRLF, CSRF, Base64, injection del codice e tentativi di SQL injection.

Ci auguriamo che questi spunti vi aiutino ad aumentare la sicurezza del vostro sito WordPress

Come controllare la frequenza di scansione dei bot

I bot e i crawler sono software automatici che navigano il vostro sito per i motivi più svariati: ad esempio il bot di Google viene utilizzato dal gigante di Internet per catalogare e indicizzare il vostro sito nel suo motore di ricerca, mentre il bot di Bing è l’equivalente Microsoft.

Ma non tutti i bot sono portatori di vantaggi, anzi una frequentazione massiva di questo tipo di visitatori automatici rischierà addirittura di saturare l’intero quantitativo di risorse messe a vostra disposizione, con la spiacevole conseguenza di una sospensione dell’account.

Per controllare la frequenza di scansione dei bot (in inglese si usa il termine ‘crawling’) è possibile agire tramite il file robots.txt. Ecco un esempio di una possibile configurazione:


User-agent: *
Crawl-delay: 35
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-*

User-agent: MJ12bot
Disallow: /

User-agent: Yandex
Disallow: /

User-agent: BLEXBot
Disallow: /

User-agent: proximic
Disallow: /

user-agent: AhrefsBot
disallow: /

user-agent: SEOkicks-Robot
disallow: /

user-agent: Ezooms
disallow: /

user-agent: sistrix
disallow: /

Questa configurazione, oltre a bloccare eventuali cartelle di WordPress da un’inutile azione troppo frequente da parte dei bot, non consentirà a bot dannosi di navigare il nostro sito, risparmiando così un innumerevole quantitativo di risorse. Tali bot bloccati causano soltanto problemi, non appartengono a motori di ricerca (se non Yandex, che è russo, toglietelo dalla lista se vi interessa ricevere traffico dalla Russia).

Ma ciò non è sufficiente per controllare la frequenza di scansione da parte di Google e Bing: per questi due motori di ricerca dovrete controllare il ritardo di scansione dal pannello di controllo:

http://support.google.com/webmasters/bin/answer.py?hl=it&answer=48620
http://www.bing.com/webmaster/help/crawl-control-55a30302

In particolare, per Google dovrete accedere ai webmaster tools ed inserire un valore basso, come ad esempio:

  • 0.004 richieste al secondo
  • 250 secondi tra le richieste

Così facendo il bot di Google navigherà il vostro sito al massimo ogni 250 secondi, una frequenza che non danneggia assolutamente il posizionamento e consentirà al vostro account di risparmiare preziose risorse.

Come mettere in sicurezza un sito Joomla

Sappiamo quanto possa essere utile e comodo utilizzare Joomla per sviluppare un sito web per un cliente ( o per la vostra azienda ) quando non avete molto tempo per crearlo da zero . Joomla è uno dei più utilizzati CMS  ( Content Managment System ) al mondo, tuttavia come qualsiasi altra applicazione dinamica che potrete installare sul vostro account, tra i suoi punti deboli c’è quello della sicurezza.

Come già saprete per noi di Tantrahost la sicurezza del vostro account è fondamentale, e abbiamo implementato diversi sistemi per proteggere le vostre applicazioni. Non possiamo tuttavia proteggere ogni parte di software che i clienti installano sui loro siti – purtroppo non esiste un modo garantito per proteggere i vostri siti web da exploit o malintenzionati, a causa di vulnerabilità nel codice dovute al non aggiornamento dei vostri script, temi o plugin alle ultime versioni, estensioni mal codificate o codice personalizzato.

Questo tutorial si propone di fornire alcuni consigli e suggerimenti che vi aiuteranno ad aggiungere un ulteriore livello di sicurezza per le installazioni di Joomla.

Cose fondamentali da sapere

  •     Tenere sempre la vostra installazione di Joomla aggiornata, incluse tutte le eventuali estensioni che avete installato (questo punto è fondamentale!).
  •     Creare un nuovo utente amministratore con un nome utente personalizzato e quindi eliminare l’utente di default ‘admin’, in quanto molti attacchi si rivolgono a nomi utente standard.
  •     Cambiare la password dell’account admininistrator regolarmente.
  •     Installare solo le estensioni che sono ben esaminate dalla comunità di Joomla , e che vengono sviluppate attivamente.
  •     Durante l’installazione di Joomla, modificare il prefisso predefinito del database . Tutte le installazioni di default di Joomla utilizzano il prefisso del database ” jos_ “, che rende il lavoro di ogni sfruttatore molto più facile . È possibile cambiare questo prefisso in qualcosa di unico in fase di installazione , ma se avete già installato tutto il seguente plugin può facilmente aiutare a cambiare il prefisso del database di Joomla con pochi click : http://extensions.joomla.org/extensions/hosting- a-servers/database-management/14895

Proteggere Joomla

Di seguito è riportato un elenco di modifiche o adattamenti consigliati per le vostre installazioni di Joomla . Leggetelo con attenzione e se avete domande non esitate a mettervi in ​​contatto con il nostro team di supporto prima di procedere.

1 ) Rimuovere i componenti o le estensioni che non utilizzate. Se avete provato ad utilizzare un’estensione o un componente e vi siete resi conto che non era quello che vi aspettavate , non tenerlo disabilitato ma eliminatelo.

2) Utilizzare un componente SEF . Una delle tecniche più comuni da parte di hacker è quello di utilizzare Google inurl per la ricerca di un exploit vulnerabile. Vi consigliamo vivamente l’uso di una estensione SEF per ri-scrivere il vostro URL e impedire che gli hacker trovino gli exploit. Questo dovrebbe anche essere positivo verso i motori di ricerca grazie alla tecnica dei friendly URL.  Potete controllare le estensioni di Joomla disponibili presso : http://extensions.joomla.org/index.php?option=com_mtree&task=listcats&cat_id=1803&Itemid=35

3) Aggiungere le seguenti righe al vostro file. htaccess per bloccare alcuni exploit comuni.

########## Begin – Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End – Rewrite rules to block out some common exploits

4) Proteggere la cartella ” tmp” . Aggiungete dei cron per cancellare il contenuto della cartella tmp. La maggior parte dei recenti attacchi che abbiamo visto su Joomla sono stati fatti a causa di file precedentemente caricati nella cartella tmp . Quello che consigliamo è quello di impostare un cron job per cancellare ogni giorno il contenuto di questa cartella, è possibile utilizzare il seguente comando :nice- n 15 / bin / find / home /UTENTE-CPANEL/ public_html / tmp / – type f – mtime 1 – exec rm -rf { } \ ;

Dovreste anche disattivare l’ accesso web alla cartella tmp con l’aggiunta di un file .htaccess all’interno di essa contenente la seguente riga .:

deny from all

5) Installazione di un’estensione di sicurezza . Ci sono un sacco di estensioni di sicurezza offerte gratuitamente al’interno della directory delle estensioni di Joomla . Scegliete quelle che hanno un punteggio più alto o quella che preferite: http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection6) Di recente abbiamo visto diversi attacchi a forza bruta alla cartella amministratore di Joomla . È possibile proteggere la cartella di amministratore con una richiesta di conferma prima della pagina di login standard – basta usare l’opzione “Password Protect Directory” che troverete all’interno del vostro pannello di controllo: aggiungerà un secondo strato di sicurezza per proteggersi da questo attacco.

Documentazione ufficiale

Vi consigliamo anche di leggere i seguenti articoli:

http://docs.joomla.org/Joomla_Administrators_Security_Checklist
http://docs.joomla.org/Htaccess_examples_%28security%29

Ci auguriamo che questo breve tutorial sia stato di vostro gradimento. Se avete domande, il nostro team di supporto è a disposizione per darvi tutta l’assistenza che meritate!