Nozioni di base sulla sicurezza VPS

Il tuo VPS è il tuo server — la sicurezza dipende interamente da te. La maggior parte delle intrusioni non nasce da vulnerabilità lato provider, ma da software obsoleto, password deboli o codice malevolo introdotto tramite FTP, plugin o macchine locali compromesse.

Come vengono solitamente compromessi i server

1. CMS/plugin obsoleti Scanner automatizzati scansionano il web alla ricerca di installazioni WordPress, Joomla, OpenCart, ecc. con versioni vecchie o plugin vulnerabili. Una volta individuate → viene iniettato codice malevolo (iframe, redirect, miner).

2. Credenziali FTP compromesse Un malware sul tuo computer locale ruba le credenziali FTP → l'attaccante accede e deposita codice direttamente nei file.

3. Manipolazione del .htaccess Gli attaccanti riscrivono il .htaccess per reindirizzare i visitatori verso siti di phishing o malware, oppure per eseguire script nascosti.

4. File malevoli caricati File PHP camuffati da immagini vengono caricati in /uploads, /images, ecc. → e vengono eseguiti quando vengono aperti.

Misure di sicurezza fondamentali (da applicare subito)

1. Solo password forti e chiavi SSH

   • Password di root/admin: almeno 16 caratteri casuali
   • Disabilita l'accesso tramite password in SSH — usa esclusivamente le chiavi:

     sudo nano /etc/ssh/sshd_config
     # Modifica o aggiungi:
     PasswordAuthentication no
     PermitRootLogin prohibit-password   # oppure no
     sudo systemctl restart ssh
     

2. Mantieni tutto aggiornato Esegui ogni giorno:

   sudo apt update && sudo apt upgrade -y && sudo apt autoremove -y
   

3. Permessi sui file corretti

   • File: 644
   • Cartelle: 755
   • wp-config.php / configuration.php: 600

     find /var/www/ -type f -exec chmod 644 {} \;
     find /var/www/ -type d -exec chmod 755 {} \;
     

4. Firewall — consenti solo ciò che è necessario Esempio con UFW (22/SSH, 80/HTTP, 443/HTTPS):

   sudo ufw allow OpenSSH
   sudo ufw allow 80/tcp
   sudo ufw allow 443/tcp
   sudo ufw enable
   sudo ufw status
   

5. Fail2Ban — blocca gli attacchi brute-force Installazione:

   sudo apt install fail2ban -y
   

   Fail2Ban blocca automaticamente gli IP dopo ripetuti tentativi di accesso falliti (funziona out-of-the-box per SSH).

6. Scanner di malware e rilevatori di rootkit

   • ClamAV — scanner di file:

   sudo apt install clamav clamav-daemon -y
   sudo freshclam
   sudo clamscan -r /var/www
   

   • Rkhunter — rilevamento di rootkit e malware:

   sudo apt install rkhunter -y
   sudo rkhunter --update
   sudo rkhunter --check
   

   • Lynis — audit di sicurezza:

   sudo apt install lynis -y
   sudo lynis audit system
   

7. Backup — la tua rete di sicurezza

• Backup automatici giornalieri (non solo sul server — copia in locale o nel cloud)
• Testa regolarmente il ripristino
• In caso di infezione → ripristinare una copia pulita è più rapido di una pulizia manuale

Se il tuo sito/server è già stato compromesso

1. Isola — disabilita temporaneamente il sito (rinomina index.php o blocca tramite .htaccess)
2. Cambia tutte le password (FTP, admin CMS, SSH, database, pannello di controllo)
3. Esegui una scansione (ClamAV + Rkhunter + controllo manuale)
4. Ispezione manuale:
   • File modificati di recente:

   find /var/www/tuo_sito/ -type f -mtime -7 -ls
   

   • File PHP nelle cartelle uploads/images:

   find /var/www/tuo_sito/uploads/ -type f -iname "*.php"
   

   • Pattern di codice sospetti:

   grep -ril "base64_decode\|eval\|gzinflate\|fromCharCode" /var/www/tuo_sito/
   

5. Ripristina da un backup pulito
6. Aggiorna CMS, plugin e temi
7. Controlla il .htaccess per redirect e iframe