Secure File Transfer Protocol (SFTP) e Secure Shell (SSH) sono strumenti essenziali per gestire un sito WordPress da remoto. Permettono di eseguire attività amministrative, trasferire file e aggiornare il sito da qualsiasi luogo senza dover essere sul server fisico che lo ospita.

Tuttavia, questa comodità comporta lo svantaggio di potenziali minacce informatiche. Ad esempio, l’utilizzo di password deboli o la mancata regolamentazione dell’accesso a questi strumenti possono rendere il sito vulnerabile agli hacker e ad altri malintenzionati.

Per combattere queste minacce, è fondamentale implementare funzioni avanzate di sicurezza SFTP e SSH. Ecco perché Kinsta ha rilasciato ulteriori funzioni di sicurezza per aiutarvi a migliorare la sicurezza di WordPress. Queste funzioni includono:

  1. Accessi diversi a database e SFTP/SSH per i vari ambienti.
  2. Restrizioni di accesso agli indirizzi IP.
  3. Controlli migliorati sulle password SFTP/SSH.
  4. Scorciatoie per la connessione SFTP.
  5. Possibilità di disabilitare SFTP/SSH.
  6. Accesso con sola chiave SSH.

Esploriamo ognuna di queste funzioni, fornendo esempi pratici di come possono aiutarvi a gestire e proteggere meglio il vostro sito.

1. Accessi diversi a database e SFTP/SSH per i vari ambienti

Siamo sempre alla ricerca di modi per aiutarvi a evitare potenziali violazioni della sicurezza. Una delle best practice consiste nell’evitare di utilizzare credenziali di accesso identiche in più servizi e ambienti del sito web.

Ora, ogni ambiente del sito web ospitato da Kinsta ha un database unico e credenziali di accesso SFTP/SSH. Ciò significa che ogni ambiente di staging e l’ambiente live avranno dettagli di accesso separati.

Inoltre, la modifica della password di un ambiente non avrà effetto su un altro. Questo isolamento garantisce che qualsiasi modifica al controllo degli accessi sia limitata all’ambiente specifico, migliorando la sicurezza generale.

Questa funzione aiuta a prevenire l’accesso ai file e ai database del vostro sito. Ad esempio, se avete degli sviluppatori che lavorano sul sito, potreste preferire che abbiano accesso solo all’ambiente di staging, dove potrete vedere in anteprima il loro lavoro. Poi, quando il lavoro sarà approvato, lo eseguirete voi il push all’ambiente live, ai cui file e database loro non hanno accesso.

2. Restrizioni di accesso agli indirizzi IP

Un’altra interessante funzione di sicurezza che abbiamo introdotto di recente è la possibilità di limitare l’accesso per indirizzo IP. Questa funzione permette di creare una lista di indirizzi IP che possono accedere al vostro sito web tramite SFTP/SSH e alle dashboard del database phpMyAdmin.

Immaginate di gestire un sito WordPress con un team di sviluppatori che devono accedere all’SFTP del sito per aggiornamenti e manutenzione. Per questo ulteriore livello di sicurezza del sito, impostate una allowlist per garantire che solo gli sviluppatori o le persone con indirizzi IP approvati possano connettersi tramite SFTP.

Se uno sviluppatore cambia sede o se dovete concedere l’accesso temporaneo a un nuovo indirizzo IP, potete aggiornare la allowlist di conseguenza. In questo modo si garantisce che l’accesso rimanga limitato a fonti affidabili, proteggendo il vostro sito da tentativi di accesso non autorizzati.

Le allowlist IP sono gestite nella pagina Informazioni sul sito di MyKinsta, che si trova in Siti WordPress > nome del sito > Info.

Troverete un’icona di modifica nel pannello di accesso SFTP/SSH e Database a destra dell’etichetta Allowlist IP. Cliccate su questa icona per iniziare ad aggiungere o eliminare gli indirizzi IP autorizzati ad accedere al database phpMyAdmin o a connettersi per l’accesso alla shell o all’SFTP:

Facendo clic sull'icona di modifica è possibile gestire l' allowlist IP di SFTP/SSH e del database.
Facendo clic sull’icona di modifica è possibile gestire l’ allowlist IP di SFTP/SSH e del database.

Facendo clic sull’icona di modifica dell’elenco di indirizzi IP in uno dei due pannelli, si aprirà una finestra di dialogo per aggiornare l’allowlist IP come quella riportata di seguito:

Aggiungere un indirizzo IP a una allowlist in MyKinsta
Aggiungere un indirizzo IP a una allowlist in MyKinsta.

Potete creare una allowlist inserendo indirizzi validi (esempio: 45.229.77.9/32) nel campo Aggiungi indirizzi IP e cliccando sul pulsante Aggiungi. Potete anche aggiungere più indirizzi IP contemporaneamente separandoli con delle virgole.

Quando una allowlist è attiva per SFTP/SSH o per il database, viene mostrato il numero di IP consentiti:

Il campo allowlist IP indica il numero di IP consentiti
Il campo allowlist IP indica il numero di IP consentiti.

Potete sempre rimuovere gli indirizzi dalla allowlist IP cliccando sull’icona del cestino accanto alle singole voci o utilizzando le caselle per selezionare le voci nell’elenco e poi cliccando sul pulsante rosso Rimuovi indirizzo/i IP.

Il vantaggio di questa funzione è che gli hacker e i malintenzionati che non sono presenti nella lista non potranno nemmeno tentare di accedere.

3. Controlli password SFTP/SSH migliorati

La possibilità di differenziare l’accesso per tutti gli ambienti e di limitare gli accessi in base all’indirizzo IP sono miglioramenti utili per la sicurezza, ma potreste aver bisogno di qualcosa di più. Ad esempio, ci sono scenari in cui dovrete fornire un accesso temporaneo a uno sviluppatore o a un servizio di terze parti. Potreste non ricordarvi di rimuovere la persona dall’elenco degli IP approvati una volta terminato il suo compito. È qui che entrano in gioco i controlli avanzati delle password SFTP.

Per impostazione predefinita, le password create in MyKinsta per l’accesso SFTP/SSH non scadono automaticamente. Grazie ai nostri recenti miglioramenti della sicurezza, ora potete cliccare sull’icona di modifica (matita) accanto all’etichetta Scadenza password per scegliere un’opzione di scadenza automatica:

Scegliere una scadenza per le password SFTP/SSH
Scegliere una scadenza per le password SFTP/SSH.

Quando attivate la scadenza automatica, il sistema di Kinsta genererà una nuova password al termine del periodo scelto. Potete accedere alla nuova password rivelandola o copiandola nel pannello SFTP/SSH.

Inoltre, ora abbiamo password più complesse. Le password predefinite o generate sono ora più complesse, rendendole più difficili da indovinare o da decifrare. Le password complesse includono di solito lettere maiuscole e minuscole, numeri e caratteri speciali, il che le rende molto più resistenti agli attacchi brute force.

4. Scorciatoie per la connessione SFTP

Immaginate di gestire più ambienti WordPress all’interno di Kinsta, come quelli di staging e di produzione. Ogni ambiente richiede impostazioni SFTP uniche per l’accesso. In assenza di scorciatoie di connessione, è necessario inserire e verificare manualmente queste impostazioni nel client SFTP ogni volta che vi connettete.

Con le nuove scorciatoie di connessione SFTP, potete semplicemente scaricare i file di configurazione per ogni ambiente e importarli nel vostro client SFTP. Questo assicura che tutte le impostazioni siano corrette e riduce significativamente il tempo e l’impegno necessari per stabilire connessioni sicure.

Nella pagina Informazioni sul sito di MyKinsta, alla voce Siti WordPress > nome del sito > Info, cliccate sull’icona di download accanto all’etichetta File di configurazione del client FTP per scaricare questi documenti in un archivio ZIP. All’interno dell’archivio troverete file come questi:

Contenuto di un file ZIP di configurazione del client
Contenuto di un file ZIP di configurazione del client.

I formati di file sopra indicati possono essere utilizzati per diversi software client; il nome suggerisce già il client perfetto. Ad esempio:

5. Possibilità di disabilitare SFTP/SSH

Avete appena completato un importante aggiornamento del vostro sito WordPress. Come al solito, potreste utilizzare SFTP e SSH per apportare queste modifiche. Una volta terminato l’aggiornamento, potete disabilitare l’accesso a SFTP e SSH fino alla prossima volta che ne avrete bisogno. In questo modo, anche se qualcuno tentasse di connettersi utilizzando credenziali rubate, non potrebbe accedere perché i servizi non sono attivi.

Molti dei nostri utenti hanno richiesto questa funzione in passato e siamo felici di averla implementata, riducendo al minimo la superficie di attacco dei siti web.

Nella pagina Informazioni sul sito di MyKinsta, se SFTP/SSH è attualmente abilitato, vedrete un pulsante Disabilita nell’angolo in alto a destra del pannello. Cliccate sul pulsante e vi verrà chiesto di confermare l’azione:

All'utente viene chiesto di confermare la disabilitazione dell'accesso SFTP/SSH a un ambiente WordPress
All’utente viene chiesto di confermare la disabilitazione dell’accesso SFTP/SSH a un ambiente WordPress.

Quando SFTP/SSH è disabilitato per un ambiente web, i dettagli della configurazione non sono rilevanti, quindi l’intero pannello SFTP/SSH è grigio e un pulsante Abilita sostituisce il pulsante Disabilita:

Quando SFTP/SSH è disabilitato, il pulsante Abilita permette di invertire questo stato
Quando SFTP/SSH è disabilitato, il pulsante Abilita permette di invertire questo stato.

Questo è particolarmente utile se utilizzate questi protocolli solo occasionalmente per la manutenzione o gli aggiornamenti.

6. Possibilità di utilizzare SFTP/SSH solo con una chiave SSH

Per impostazione predefinita, le password e le coppie di chiavi SSH possono autenticare l’accesso SFTP/SSH agli ambienti WordPress di Kinsta. Tuttavia, molti dei nostri clienti hanno espresso dubbi sulla sicurezza dell’accesso basato su password e preferiscono la solidità dell’autenticazione con chiave SSH.

Grazie ai nostri recenti miglioramenti della sicurezza, ora potete disattivare l’autenticazione tramite password e affidarvi esclusivamente alle chiavi SSH.

Perché usare le chiavi SSH? Le chiavi SSH sono coppie di chiavi crittografiche utilizzate per autenticare un utente. Le chiavi SSH sono praticamente impossibili da decifrare, a differenza delle password che possono essere indovinate o decifrate. Questo le rende un metodo di autenticazione molto più sicuro.

Potete anche aggiungere un livello di sicurezza impostando una passphrase per la vostra chiave SSH. In questo modo, anche se qualcuno riesce ad accedere alla chiave privata, avrà comunque bisogno della passphrase per utilizzarla, garantendo così un’ulteriore protezione.

Cliccate sull’icona di modifica (matita) accanto all’etichetta Metodi di autenticazione per disattivare o riattivare l’autenticazione tramite password. Vedrete questo messaggio:

Scegliere se consentire l'autenticazione SFTP/SSH tramite password
Scegliere se consentire l’autenticazione SFTP/SSH tramite password.

L’autenticazione tramite chiave è sempre disponibile finché SFTP/SSH è abilitato. Potete selezionare o deselezionare l’opzione Password e poi cliccare sul pulsante Salva modifiche.

Qual è l’obiettivo finale di questi miglioramenti della sicurezza?

In Kinsta siamo molto attenti alla sicurezza. L’obiettivo finale di questi miglioramenti della sicurezza è quello di fornire un quadro di sicurezza completo e solido per il vostro sito WordPress.

Implementando queste funzioni avanzate di SSH e SFTP, vogliamo raggiungere diversi obiettivi chiave:

  1. Ridurre le vulnerabilità: ognuno di questi miglioramenti affronta vulnerabilità specifiche associate all’accesso remoto, alla gestione delle password e ai tentativi di accesso non autorizzati. Rafforzando queste aree, riduciamo in modo significativo i potenziali vettori di attacco che i malintenzionati potrebbero sfruttare.
  2. Miglioramento della protezione: queste funzionalità lavorano insieme per creare più livelli di sicurezza. Dall’uso di password complesse e a scadenza automatica all’implementazione di restrizioni di accesso agli indirizzi IP e all’autenticazione SSH basata su chiavi, ogni livello aggiunge una barriera contro gli accessi non autorizzati.
  3. Migliorare la gestione: la sicurezza non deve andare a scapito dell’usabilità. Caratteristiche come le scorciatoie per le connessioni SFTP e la possibilità di gestire i metodi di autenticazione attraverso MyKinsta rendono più facile per gli amministratori del sito implementare e mantenere solide pratiche di sicurezza senza sacrificare la comodità.
  4. Garantire la flessibilità: fornendo opzioni come la disabilitazione dell’accesso SFTP/SSH e la configurazione di credenziali separate per gli ambienti di staging e live, offriamo una flessibilità che soddisfa le varie esigenze operative mantenendo elevati gli standard di sicurezza.
  5. Creare fiducia: sapere che il vostro sito WordPress è protetto da queste misure di sicurezza avanzate vi permette di concentrarvi sulla creazione e sulla manutenzione del vostro sito senza preoccuparvi costantemente di potenziali minacce alla sicurezza.

Riepilogo

Queste funzioni di sicurezza avanzate offrono una solida protezione per il vostro sito WordPress, assicurandovi la massima tranquillità e permettendovi di concentrarvi su ciò che conta davvero: costruire e mantenere il vostro sito.

Oltre a questi nuovi miglioramenti, utilizziamo strumenti come Google Cloud e Cloudflare per il firewalling, la protezione DDoS e l’SSL gratuito.

Auditor indipendenti hanno inoltre confermato la conformità agli standard di sicurezza SOC (System and Organization Controls). Potete richiedere l’accesso al rapporto SOC 2 Type II di Kinsta dalla nostra pagina Trust report.

Iniziate a lavorare con il nostro ambiente sicuro cercando il piano di web hosting più adatto a voi.

Joel Olawanle Kinsta

Joel is a Frontend developer working at Kinsta as a Technical Editor. He is a passionate teacher with love for open source and has written over 300 technical articles majorly around JavaScript and it's frameworks.