• Super User

    Mi serve un Hosting / Server molto molto sicuro!

    Ciao a tutti, mi servirebbe un consiglio per un Hosting / Server molto molto sicuro, possibilmente con assistenza in italiano ma anche in inglese va bene lo stesso purché sia molto molto sicuro, sia per eventuali attacchi DDOS che per tentativi di intrusione.


  • Super User

    Ciao,

    se hai necessita' di cose specifiche puoi usare SiteLock e CloudFlare con protezione DDOS.

    Ciao


  • Moderatore

    Suonera' banale, ma la sicurezza e' un processo e non un prodotto. Per i DDOS ci sono i servizi elencati da vhosting, ma per le intrusioni non esistono ricette magiche e/o automatismi. Potresti assumere degli esperti, il che aggiungerebbe dei costi non trascurabili. Qualcuno ti dira' che se usi OpenBSD come sistema operativo allora sarai in una botta di ferro. Vero in parte, ma OpenBSD non e' invulnerabile anche se molto piu' sicuro dei concorrenti.

    In generale si procede mantenendo il sistema sempre aggiornato, riducendo la superficie d'attacco ( disabilitando tutti i servizi/componenti che non sono essenziali ), effettuando penetration testing di routine.

    E si, considera pure la possibilita' di adottare un sistema operativo e software che siano ingegnerizzati per essere piu' sicuri della media.


  • User Attivo

    Personalmente ti consiglio di costruire la sicurezza attorno all'hosting che sceglierai. Nessun hosting ti può garantire di essere sicuro e non avrai mai visibilità su come gestiscono l'infrastruttura, per cui o trovi qualcuno che offre servizi aggiuntivi di anti ddos e waf oppure ti devi arrangiare da solo, cosa che è possibile se vuoi mettere un application firewall o fare un VA ma che diventa più difficile se devi gestire ddos.In particolare ti consiglio di orientarti più verso soluzioni di monitoraggio che prevenzione, con gli 0-day (e le app web sono piene) non c'è signature che regga.


  • Super User

    Grazie delle risposte. Si certo non ero alla ricerca di ricette magiche o di soluzioni facili "in 3 click".

    Considerate che, a parte le email, mi servono un sito in html e php e un sito con un CMS che stiamo sviluppando, quindi niente app web o plugin o CMS fatti da altri.
    Al massimo gli script di iubenda e google analytics o per la condivisione sui social, ma non credo che possono usare quelli per attaccare un sito.


  • Super User

    Ciao,

    se scrivi bene il codice dato che è tuo personale, penso che un webhosting con mod_security, basta nel tuo caso, per quanto riguarda la protezione DDoS meglio usare servizi di terzi appositi per questo.

    Ciao


  • User Attivo

    @LorenzoRoma said:

    un CMS che stiamo sviluppando, quindi niente app web o plugin o CMS fatti da altri.
    Solo leggendo queste righe mi è venuta la pelle d'oca e ora comprendo meglio perché la tua richiesta è di un server non solo sicuro ma "molto molto sicuro".

    Io non so quali siano le vostre competenze, do per scontato che le vostre siano molto elevate perché per sviluppare un CMS insomma... non è proprio alla portata di tutti, specialmente riguardo l'aspetto più rilevante e complesso che è la sicurezza.
    E ha anticipato molto bene vhosting:

    @vhosting said:

    se scrivi bene il codice dato che è tuo personale, penso che un webhosting con mod_security basta nel tuo caso


  • Super User

    @hub said:

    Solo leggendo queste righe mi è venuta la pelle d'oca e ora comprendo meglio perché la tua richiesta è di un server non solo sicuro ma "molto molto sicuro".

    Ma perchè, se usavo una normale installazione di joomla o wordpress con decine di plugin fatti da chissà chi era più sicuro?
    (E io sono favorevolissimo all'opensource eh, non stiamo facendo un CMS nostro perché non ci fidiamo degli altri CMS, ma perchè ci serve una cosa molto particolare.)


  • User Attivo

    @LorenzoRoma said:

    Ma perchè, se usavo una normale installazione di joomla o wordpress con decine di plugin fatti da chissà chi era più sicuro?
    Sì e no.
    Premesso che in informatica la sicurezza al 100% non esiste, se parliamo della sola struttura di Joomla, Drupal, Wordpress etc, si può ragionevolmente affermare che sono CMS sicuri, senza contare che a cadenza continua vengono rilasciati aggiornamenti sviluppati da decine e decine di programmatori accreditati.

    I problemi iniziano nel momento in cui si installa una qualsiasi estensione, tema, template, plugin etc, come giustamente hai scritto a volte non si sa nemmeno bene chi li sviluppa.

    Comunque, a titolo di chiarimento, non stavo criticando la vostra idea su realizzare un nuovo CMS, anzi da parte mia vi incoraggio, volevo solo darti lo spunto per riflettere sulla possibilità di investire tempo e risorse nello sviluppo di un'estensione ad hoc, sfruttando uno dei CMS disponibili.


  • Super User

    Si certo, ma l'opzione del nuovo CMS è stata l'ultima che ho valutato ma purtroppo credo sia la migliore, per vari motivi.
    Il problema è che hanno paura non di imbattersi nel solito "attacco random" che si basa sulle falle note del CMS, ma proprio su attacchi mirati a loro in quanto tali.