Archiviazione sicura dei file nell'hosting web

Archiviazione sicura dei file nell'hosting web: Cosa non deve stare in public_html

In molti account cPanel, la cartella public_html è la directory web pubblica del tuo dominio principale. I file che si trovano lì possono essere raggiungibili via browser, a seconda della configurazione. Proprio per questo è importante depositare lì solo i file effettivamente necessari per il tuo sito web.

Molti problemi di sicurezza nascono perché file sensibili vengono salvati per errore nell'area accessibile pubblicamente: esportazioni di database, backup ZIP, file di configurazione, vecchie copie del sito web o file temporanei. Tali file possono contenere informazioni riservate e non dovrebbero trovarsi senza protezione nella directory web.

Perché public_html è particolarmente sensibile

Lo scopo di public_html è la distribuzione pubblica dei file del sito web. File HTML, immagini, CSS, JavaScript o applicazioni PHP solitamente appartengono a questa cartella. Backup, documenti interni, esportazioni di database e file di configurazione con dati di accesso, al contrario, non devono stare permanentemente in quest'area.

Anche se un file non è direttamente linkato, può in certe circostanze essere raggiungibile se il nome del file è noto o indovinato. Nomi semplici sono particolarmente problematici, come:

• backup.zip
• database.sql
• website-old.zip
• dump.sql
• config.php.bak
• .env

Questi file non dovrebbero trovarsi in public_html

Salvare i backup in modo sicuro

I backup sono importanti, ma non dovrebbero stare permanentemente nella cartella del sito web accessibile pubblicamente. Un backup ZIP completo può contenere codice sorgente, file di configurazione, caricamenti e a volte esportazioni di database.

Procedura consigliata:

1. Creare il backup.
2. Scaricare il backup sul proprio computer locale.
3. Salvare il backup anche in un luogo sicuro.
4. Rimuovere il file di backup dal server web quando non è più necessario lì.

Se devi conservare i backup sul server, dovrebbero preferibilmente trovarsi al di fuori della directory web pubblica e non essere direttamente raggiungibili tramite browser.

Proteggere particolarmente le esportazioni di database

I file con estensione .sql contengono spesso esportazioni complete di database. Nei sistemi CMS o di e-commerce, possono contenere contenuti delle pagine, informazioni sugli utenti, indirizzi e-mail, impostazioni o altri dati riservati.

Rimuovere le vecchie installazioni

Le vecchie versioni del sito web, le installazioni di test e le cartelle di sviluppo non solo occupano spazio, ma rappresentano anche rischi per la sicurezza. Versioni CMS, plugin o temi obsoleti possono contenere note vulnerabilità di sicurezza.

Controlla regolarmente cartelle come:

• old
• backup
• test
• dev
• staging
• wordpress-alt

Se queste installazioni non sono più necessarie, effettua un backup locale se necessario e rimuovile dal server.

Bloccare l'accesso tramite .htaccess?

In alcuni casi, l'accesso a determinati tipi di file può essere bloccato ulteriormente tramite .htaccess. Ciò può essere sensato, ma non sostituisce un deposito pulito dei file.

<FilesMatch "\.(sql|bak|old|zip|tar|gz|env)$">
    Require all denied
</FilesMatch>

Questa regola può bloccare l'accesso diretto a determinate estensioni di file. Tuttavia, tali file non dovrebbero nemmeno trovarsi permanentemente nella directory web pubblica.

Best Practices

• Deposita in public_html solo i file del sito web pubblicamente necessari.
• Rimuovi i vecchi file ZIP e di backup dopo il download.
• Non salvare permanentemente le esportazioni di database nella directory web.
• Non conservare i dati di accesso e i file di configurazione in modo che siano accessibili pubblicamente.
• Rimuovi le vecchie installazioni di test.
• Controlla regolarmente i file grandi e insoliti.
• Usa la protezione dell'accesso solo come complemento, non come sostituto di un deposito sicuro.