• altg58

    (@altg58)


    Salve a tutti…
    e spero di porre alla vostra attenzione un argomento cruciale: la sicurezza…
    spero anche non me ne vogliano i moderatori se sarò troppo prolisso…
    essendo novizio: se sbaglio mi correggerete…

    nel autunno 2016 ho subito un primo attacco bruteforce ad un mio sito WP…
    fortunatamente (tenevo costantemente sotto controllo le statistiche ed i tentativi di accesso ) me ne sono accorto e l’ho stroncato mettendo rapidamente in atto le contromisure …
    purtroppo a gennaio 2017 ho subito un secondo attacco e questa volta con conseguenze catastrofiche…
    sono riusciti ad impossessarsi dell’accesso agli account mail e perfino a miei dati c/c e carte di debito…
    i danni a livello bancario sono stati modesti, ma il mio lavoro con wordpress è andato in fumo in un attimo… sono riusciti a sottrarmi il controllo dei DNS (reindirizzandoli su siti facks) e per recuperarli dopo 3 denunce alla polizia postale ci sono voluti due mesi di lotta con i providers-registrants i domini per riprendere il controllo del pannello le passwords e ripristinare il tutto…
    un paio d’anni di lavoro polverizzati e uno stop di oltre 6 mesi prima di recuperare un minimo di produttività… un vero incubo !

    Certamente ho commesso diversi errori…
    ad esempio è sbagliato pensare : “posso anche lasciare le porte aperte tanto non hanno nulla da rubare” … ho constatato che purtroppo c’è al mondo chi lo fa per vendetta o per pura idiozia…
    quindi spesso il “ladro/delinquente” non si limita a entrati in casa e derubarti ma si diverte a distruggere tutto quello che può…
    sbagliando si impara…
    sulla base della disastrosa esperienza sto riconsiderando tutti gli aspetti inerenti la sicurezza che coinvolgono il mio lavoro con wordpress.
    Vi espongo quindi i miei ragionamenti per avere, da chi ne sa più di me, una conferma : se mi sto muovendo correttamente o se sto ripetendo errori che potrei pagare di nuovo in futuro a caro prezzo e stress.

    Dal momento che non si può considerare a rischio 0 la eventualità che qualcuno riesca a prendere in qualche modo controllo della nostra installazione WP (database & cartella public_html; Hosting/pannello di controllo ) o inquinare il database, assumo che il backup di tutti i dati debba necessariamente essere effettuato con il massimo scrupolo e frequenza. Spero che su questo la maggiorparte di voi concordino…

    se il backup viene effettuato sulla stessa macchina fisica su cui sono presenti i vostri dati in caso di guasto dell’ HD o del server (remota ma non impossibile), ovvero, in caso di guasti tecnici… siamo fregati.

    Inizialmente ho pensato quindi a scaricare i backup sul mio PC locale in ufficio …
    a parte il fatto che la sicurezza su un PC usato normalmente in un normale ufficio (dove tranquillamente e quotidianamente si aprono mail ed allegati (e magari si naviga sul web) è molto labile, anche provvedendo in locale a fornirsi di una macchina configurata in modalità server e con tutti i crismi della sicurezza applicabili …
    ci si scontra con la realtà dell’ obsolescenza delle reti-dati-ADSL Italiche…
    in alcune località anche le prestazioni di alice 20mega sono un sogno…
    chi ha provato a fare un download ed un upload di un Backup di un sito di medie dimensioni con le correnti velocità di upload si sarà accorto che ci vuole una notte intera… e se la connessione cade… si ricomincia come nel gioco dell’oca..
    fino a prima del’ attacco avevo un hosting shared con discrete prestazioni e ottimo rapporto prezzo qualità…
    ora sto facendo dei test utilizzando due distinti hosting VPS che alla fine mi costeranno poco di più…
    sul primo gira solo l’installazione “in produzione”…
    sul 2° vengono stokati i backup e gira un clone della installazione “in produzione” in modalità che non è accessibile al pubblico…
    qualcuno potrebbe dire: “perché non scarichi i backup su un cloud (dropbox vs google vs mega, tanto per non fare nomi) ? ”
    perché sul 2° server VPS ci faccio girare un clone identico (ricavato ed aggiornato dai salvataggi frequenti della 1°) che mi permette di testare prima di implementarlo sull 1° VPS (quello attualmente “in produzione”) tutti gli aggiornamenti che dovrò effettuare…
    chi non ha mai avuto dei guai dopo aver aggiornato un plugin o un tema o anche semplici parti di codice : alzi la mano !
    Le comunicazioni fra i due server che fisicamente sono separati in luoghi. ovvero in data-center diversi, viaggiano su fibra ottica (verae reale ! …non quella che reclamizzano in Italia e che di ottico non ha proprio nulla) a 400MB costanti e garantiti …
    il che vuol dire che un backup e/o restore comportano solo qualche minuto.
    Posso inoltre controllare tutto (compreso il cpannel e la WP Admin dashboard), con un qualunque portatile, anche con connessioni precarie e/o lente, tramite NoMachine o VNC… da qualunque luogo io mi trovi al momento … anche su Italo e/o frecce FS e/o autostrada.
    Al momento i test mi danno risultati più che soddisfacenti…

    Che vi sembra di questo modus operandi ?
    Qualcuno di voi ha suggerimenti e/o esperienze in questo campo e sulla base del mio ragionamento ?
    In base alla vostra esperienza: c’è di meglio ?

    Ringrazio tutti per la pazienza…

    • Questo topic è stato modificato 7 anni fa da altg58.
    • Questo topic è stato modificato 7 anni fa da altg58.
    • Questo topic è stato modificato 7 anni fa da altg58.
  • Il topic ‘strategie x migliorare la sicurezza in presenza infrastruture obsolete: VPS host’ è chiuso a nuove risposte.