Sicurezza Plesk

Configurazione del firewall del sito web in Plesk - protezione contro SQL injection e XSS

Il sito Firewall Web Plesk protegge i siti web in modo specifico da attacchi informatici come SQL injection e cross-site scripting (XSS). In pochi passaggi, è possibile impostare in Plesk un'efficace barriera di sicurezza che riconosce e respinge sia le minacce automatiche che gli attacchi manuali.

Punti centrali

Iniezione SQLImpedisce la manipolazione del database attraverso query dannose.
Difesa XSSBlocca l'iniezione di JavaScript nei moduli e negli URL.
ModSecurityComponente centrale del WAF di Plesk per il rilevamento e la difesa dagli attacchi.
Regole del firewallPersonalizzabile per consentire solo le connessioni necessarie.
Aggiornamenti sulla sicurezzaL'installazione regolare di patch protegge dalle vulnerabilità note.

Accesso e primo accesso alla configurazione del firewall

Accedo al pannello Plesk, richiamo la sezione "Strumenti e impostazioni" dalla barra laterale e trovo la voce "Firewall". Se il firewall è ancora disattivato, lo attivo direttamente utilizzando il cursore. Da questo momento in poi, Plesk blocca ogni connessione in entrata non esplicitamente consentita. Questo riduce immediatamente il rischio di accesso indesiderato. Per gli scenari di hosting standardizzati, è consigliabile controllare prima di tutto le regole del firewall predefinite.

Plesk viene fornito con impostazioni predefinite ragionevoli per server web, e-mail, FTP e SSH. Tuttavia, io regolo manualmente le regole in modo che rimangano aperte solo le porte realmente necessarie, come la 443 per HTTPS o la 22 per SSH. Vale la pena di riflettere attentamente su quali servizi devono essere effettivamente accessibili al pubblico. I servizi superflui sono potenziali porte di accesso per gli aggressori, per questo mi attengo rigorosamente al principio della minimizzazione.

Regole proprie: Regolazione fine della sicurezza

Se voglio Collegamenti specifici Posso creare le mie regole del firewall. Faccio clic su "Aggiungi regola", inserisco un nome significativo, ad esempio "Admin SSH internal only" (solo SSH interno), specifico il protocollo (ad esempio TCP), la porta (ad esempio 22 per SSH) e l'indirizzo di origine consentito. In questo modo si garantisce che l'accesso sia consentito solo attraverso gli IP specificati.

Ripeto questo processo per altri servizi sensibili, come l'accesso remoto al database o endpoint API speciali. Queste regole aggiuntive riducono enormemente la superficie di attacco potenziale. Se gestisco molte macchine virtuali o se desidero proteggere diversi sottodomini, è opportuno applicare regole segmentate per sito web. Il firewall mi permette di assegnare regole specifiche a singoli clienti o progetti, in modo da avere una chiara separazione logica tra i diversi ambienti di hosting.

Soprattutto in una struttura complessa con diversi servizi, è utile organizzare le regole del firewall. Assegno loro nomi significativi e le numero, se necessario, per mantenere una visione d'insieme. Una buona documentazione di tutte le regole è essenziale, perché solo così posso verificare rapidamente perché un servizio è bloccato o consentito in caso di dubbio. Registro anche ogni modifica delle regole: in caso di problemi, posso facilmente scoprire se la causa è una regola nuova o modificata.

Gestione avanzata del firewall: monitoraggio e filtraggio proattivo

Un altro modo per aumentare la sicurezza è monitorare in modo proattivo il traffico. Lo faccio controllando i registri del server a intervalli regolari. Gli avvisi che indicano scansioni di porte o richieste sospette, ad esempio, mostrano quali schemi di attacco si stanno verificando ripetutamente. I bot possono spesso tentare di accedere a una determinata porta o URL centinaia di volte in pochi secondi. Il firewall di Plesk, insieme a ModSecurity, mi aiuta a riconoscere e respingere automaticamente tali attacchi.

Non solo configurando il firewall staticamente, ma anche monitorandolo attivamente, posso riconoscere tempestivamente tendenze o nuove tecniche di attacco. Ad esempio, può essere utile bloccare in modo permanente i blocchi di IP ricorrenti che inviano solo traffico dannoso. A tal fine, creo un elenco di IP o intervalli di IP sospetti per risparmiarmi il lavoro, poiché un attacco che è stato bloccato con successo una volta viene spesso tentato di nuovo dallo stesso intervallo di IP.

A volte è consigliabile utilizzare una funzionalità di limitazione della velocità. Sebbene Plesk non disponga di una soluzione integrata per i limiti di velocità delle richieste, in combinazione con altri strumenti o regole speciali di ModSecurity, è possibile impedire a determinati indirizzi IP di inviare un numero eccessivo di richieste in un breve periodo di tempo. Tali misure sono un'aggiunta efficace alle classiche regole del firewall e aiutano a ridurre al minimo gli approcci DDoS (Distributed Denial of Service).

Configurare ModSecurity: Impostare correttamente il web application firewall

Apro la voce di menu "Web Application Firewall (ModSecurity)" in Plesk. Qui seleziono innanzitutto il set di regole: OWASP Core Rule Set è gratuito e copre in modo affidabile le minacce più comuni. In "modalità dedicata", posso personalizzare le regole attive. Presto particolare attenzione alle regole contro l'iniezione di SQL e il cross-site scripting.

Ho impostato la modalità su Forzatura (enforcing) in modo che non venga solo registrato, ma anche bloccato attivamente. Il WAF di ModSecurity reagisce immediatamente agli schemi di attacco tipici, come le richieste manipolate, la lunghezza insolita dei parametri o i caratteri speciali sospetti. Ulteriori informazioni sulla configurazione ottimale di Plesk sono disponibili in questo documento Istruzioni per il firewall per Plesk.

Se si desidera una configurazione ancora più personalizzata, si può anche iniziare con la cosiddetta "modalità di simulazione" (solo rilevamento) e osservare prima quali richieste vengono riconosciute come sospette dalle regole. Dopo una certa fase di test, il sistema viene quindi impostato su una rigorosa "modalità di applicazione". In questo modo si riducono le configurazioni errate e si tiene sempre presente la funzionalità della propria applicazione web. A volte, infatti, può accadere che applicazioni o plugin legittimi utilizzino schemi che assomigliano a una regola WAF, il che porta a falsi allarmi. Con la fase intermedia in modalità di simulazione, riconosco per tempo questi casi.

Riconoscere e prevenire l'iniezione SQL

L'iniezione SQL è una delle vulnerabilità di sicurezza più pericolose delle moderne applicazioni web. Gli aggressori utilizzano campi modulo o parametri URL preparati per cercare di ottenere l'accesso diretto al contenuto del database. Il web firewall riconosce i comandi tipici come "SELECT * FROM" o "UNION ALL" e blocca la richiesta a livello di applicazione.

Plesk fornisce una protezione indipendente grazie al WAF attivato e agli aggiornamenti regolarmente integrati. Controllo regolarmente che tutte le regole di ModSecurity siano attivate e aggiornate. Le regole che controllano le interazioni del database con i parametri POST/GET sono particolarmente importanti. I criteri applicabili, come il whitelisting delle query SQL, riducono ulteriormente il rischio.

Una buona panoramica di come vengono chiuse le vulnerabilità di sicurezza di Plesk è disponibile nell'articolo Le lacune di sicurezza di Plesk sono state colmate. Ho imparato che anche il firewall più sicuro è efficace solo se le applicazioni web stesse sono programmate in modo affidabile. Le backdoor o i plugin insicuri possono essere resi più difficili, ma non possono essere completamente compensati se il codice presenta gravi vulnerabilità.

Difesa efficace contro gli attacchi XSS

Gli XSS (cross-site scripting) non solo danneggiano il sito web, ma espongono direttamente gli utenti. I moduli, i campi per i commenti o le maschere di inserimento del profilo sono particolarmente colpiti. Il Firewall Plesk riconosce combinazioni di caratteri pericolose come "" o chiamate GET guidate da eventi, grazie a ModSecurity. Aggiungo anche le mie regole se alcuni campi di input sono particolarmente sensibili.

Assicuro che le convalide lato server abbiano effetto su tutti gli input - le misure lato client non sono sufficienti. Il WAF può essere modificato in modo che i valori dei parametri o i metodi inattesi siano esplicitamente vietati. Regolari scansioni di sicurezza esterne aiutano a rivelare vulnerabilità non rilevate in precedenza.

Soprattutto nelle applicazioni web più estese, come quelle con funzioni di community, gli XSS possono essere facilmente introdotti attraverso le funzioni di commento. Per questo motivo utilizzo una combinazione di escape lato server, filtraggio dei caratteri potenzialmente pericolosi e restrizione dei tag HTML consentiti (se richiesti). Un esempio è la restrizione dei commenti degli utenti al testo normale, in modo da non consentire l'uso di HTML o JavaScript. Anche una regola WAF può bloccare tali iniezioni.

Ulteriori livelli di protezione: Indurimento degli URL e password sicure

Per aumentare ulteriormente la protezione, vale la pena di considerare ulteriori metodi di hardening. L'hardening degli URL significa, ad esempio, che determinati percorsi di amministrazione o pagine di login sono accessibili solo attraverso determinati intervalli IP. In questo modo è più difficile per gli aggressori sferrare attacchi brute force o indovinare login casuali. Ad esempio, posso spostare l'area di amministrazione della mia applicazione web in un sottodominio separato e condividerlo solo con l'IP del mio ufficio.

Un altro punto critico sono le password. Anche il miglior firewall è poco utile se nella pagina di accesso vengono utilizzate password banali. Per questo motivo configuro in Plesk requisiti rigorosi di forza delle password e utilizzo l'autenticazione a due fattori (2FA) dove possibile. In questo modo si prevengono gli attacchi automatici che provano regolarmente milioni di combinazioni di password degli utenti. Una solida politica sulle password integra quindi le regole del firewall e offre un'ulteriore linea di protezione.

Misure di sicurezza per una protezione a lungo termine

Apro solo le porte essenziali, documento correttamente tutte le modifiche al firewall e utilizzo l'autenticazione a due fattori per accedere al pannello Plesk. Inoltre, salvo un Backup completoper tornare rapidamente online in caso di emergenza. Analizzando costantemente i log, riconosco modelli di accesso insoliti, come richieste ripetute alle aree di amministrazione o indirizzi IP sospetti.

In questa tabella ho riassunto le migliori pratiche più importanti:

Raccomandazione	Descrizione
Riduzione al minimo dei porti	Lasciare aperte solo le porte necessarie (ad es. 443, 22).
Accesso a due fattori	Protezione del login con l'app Authenticator
Aggiornamenti e patch	Aggiornamenti di sicurezza installati regolarmente
Monitoraggio	Monitorare i file di log e il comportamento del traffico
Strategia di backup	Regolari backup completi dei dati

Molti di questi punti dovrebbero essere obbligatori se si vuole che un sito web funzioni in modo stabile a lungo termine. Gli aggiornamenti e le patch, in particolare, sono spesso trascurati, anche se possono eliminare le vulnerabilità critiche nei sistemi di gestione dei contenuti (CMS) più diffusi. Un firewall è in grado di riconoscere i modelli di attacco, ma se un componente non patchato consente un facile accesso, la protezione complessiva è a rischio. Per questo motivo consiglio di verificare mensilmente o anche più frequentemente la presenza di importanti aggiornamenti di sicurezza per il sistema operativo, Plesk stesso o i plugin installati.

Ridurre al minimo gli errori ed evitare i fallimenti

Verifico l'efficacia di ogni nuova regola prima di applicarla in modo produttivo. Un insieme di regole inavvertitamente troppo restrittive può bloccarmi. Se ciò accade, utilizzo la "modalità panico" per bloccare tutti gli accessi esterni: rimane possibile solo l'accesso fisico tramite KVM o VNC.

Se non funziona nulla, ripristino il firewall su "Default" tramite il backend di Plesk, in modo da poter correggere eventuali impostazioni errate. I provider di hosting, in particolare, offrono spesso una console web per le connessioni di emergenza: anche questo aiuta nei momenti critici.

Per ridurre ulteriormente le fonti di errore, è consigliabile utilizzare un ambiente di prova prima di applicare definitivamente una regola. In questo modo posso verificare se la mia applicazione web funziona normalmente mentre il firewall sta già bloccando tutti i potenziali attacchi. Dopo un test riuscito, trasferisco la configurazione all'ambiente live. In questo modo, evito i tempi di inattività e il fastidio degli utenti o dei clienti che reagiscono in modo sensibile a qualsiasi interruzione.

Ottimizzare il firewall di Plesk per l'hosting singolo e multiplo

Che si tratti di un sito web o di molti, personalizzo le impostazioni del firewall separatamente per ogni struttura di hosting. Regole rigorose sono particolarmente importanti per gli hosting condivisi con più account utente. Segmento i sottosistemi, imposto l'accesso alle interfacce di amministrazione come phpMyAdmin a IP specifici e isolo efficacemente i domini gli uni dagli altri.

L'inclusione di meccanismi di protezione all'avanguardia come Cloudflare a livello di DNS o CDN offre una protezione aggiuntiva. Come Integrare Cloudflare con Plesk è mostrato nell'articolo collegato.

Soprattutto in un ambiente multi-hosting, può accadere che un dominio sia vulnerabile e metta a dura prova l'intero sistema a causa di attacchi regolari. In questo caso, è utile introdurre regole di sicurezza più severe per il dominio in questione, attivare moduli WAF aggiuntivi o impostare un proprio blocco IP. In questo modo, le prestazioni degli altri domini rimangono sostanzialmente inalterate e non devo adottare contromisure elaborate per tutti i clienti.

Analisi del protocollo a lungo termine e risposta agli incidenti

Oltre alla protezione acuta in caso di attacchi, la documentazione completa sta assumendo un ruolo sempre più importante. Consiglio di non limitarsi a consultare sporadicamente i file di log, ma di utilizzare soluzioni di monitoraggio o strumenti di analisi professionali. Questo mi permette di avere una visione d'insieme di quando e quanto spesso sono stati tentati determinati attacchi e di compilare statistiche affidabili che mi aiutino a prendere decisioni.

In caso di incidente, ad esempio quando un dominio è stato compromesso, analizzo i registri per ricostruire il vettore di attacco nel modo più accurato possibile. Questo mi permette di vedere quale regola ha avuto effetto o perché è fallita. Sulla base di queste informazioni, adatto il set di regole e minimizzo così il rischio che si ripeta un attacco identico. Si tratta di un processo continuo: in base all'evoluzione della situazione delle minacce, modifico costantemente le impostazioni del firewall e del WAF.

Un'utile aggiunta è un server syslog centrale al quale vengono segnalati tutti gli eventi rilevanti. Se ci sono schemi evidenti, invio automaticamente avvisi tramite e-mail o sistema di messaggistica. In questo modo, posso mantenere una visione d'insieme e reagire prontamente senza dover controllare manualmente i log quando si verificano i problemi.

Maggiore sicurezza per i punti di attacco più comuni

Alcuni servizi come la posta elettronica (SMTP, IMAP), FTP o SSH sono classici punti di ingresso per gli attacchi automatici. Per questo motivo mi concentro in particolare su queste porte e regolo il più rigorosamente possibile gli intervalli IP da cui possono provenire le richieste. Per quanto riguarda SSH, ho trovato utile modificare la porta 22 predefinita e impostarla su una porta diversa. Anche se questo da solo non aumenta la sicurezza di base, molti attacchi automatici mirano esplicitamente alla porta 22 e vengono quindi sventati in una fase iniziale.

Se il servizio server, ad esempio FTP, non è più aggiornato a causa dei requisiti di crittografia, sarebbe meglio utilizzare SFTP. In questo modo posso chiudere completamente la vecchia porta. In questo modo i punti di attacco sono ridotti al minimo e si riduce il rischio di compromissione. Il firewall di Plesk mi permette di riconoscere facilmente quale porta è attiva e quali misure vengono applicate non appena arriva una richiesta sospetta.

Configurazione sicura con il firewall Plesk e la configurazione mirata

Con il firewall dell'applicazione web Con Plesk e la manutenzione costante delle regole, posso proteggere in modo affidabile i miei siti web da attacchi come SQL injection o cross-site scripting. La combinazione di protezione firewall di base, personalizzazione di ModSecurity e aggiornamenti di sicurezza più recenti rende Plesk uno strumento sicuro per l'hosting quotidiano.

Per me è importante controllare regolarmente il sistema, aggiungere regole e documentare le voci del firewall. In questo modo si garantisce il mantenimento dell'effetto protettivo a lungo termine, indipendentemente dal fatto che si tratti di un piccolo blog o di una piattaforma aziendale molto frequentata. Con un approccio strutturato, una messa a punto sensata e sistemi di monitoraggio lungimiranti, posso aumentare la sicurezza a lungo termine ed evitare spiacevoli incidenti. In definitiva, è necessario un approccio olistico che tenga d'occhio sia la tecnologia che l'organizzazione: Plesk fornisce la giusta base per questo.

Articoli attuali

Generale

Server dedicati: quando vale davvero la pena investire in prestazioni e sicurezza esclusive

In un panorama digitale caratterizzato da tempi rapidissimi e concorrenza spietata, le prestazioni della vostra presenza online determinano il successo o il fallimento. Tempi di caricamento lenti, lacune di sicurezza o

18 dicembre 2025 Nessun commento

Moderno centro dati con rack server per un hosting SEO veloce

SEO

Fattori tecnici SEO nell'hosting: utilizzare correttamente DNS, TLS, latenza e HTTP/3

Scopri come l'hosting tecnico SEO con DNS, TLS, latenza, HTTP/2 e HTTP/3 migliora in modo sostenibile i tuoi tempi di caricamento, i Core Web Vitals e i ranking.

12 dicembre 2025 Nessun commento

Rack server con rappresentazione astratta delle sessioni del file system, Redis e database

Banche dati

Ottimizzare la gestione delle sessioni nell'hosting: file system, Redis o database?

Impara come ottimizzare la gestione delle sessioni nell'hosting: confronto tra file system, Redis o database, inclusi consigli pratici per l'hosting delle sessioni php e l'ottimizzazione delle prestazioni.

12 dicembre 2025 Nessun commento