Hosting condiviso - la cui responsabilità riguarda le vulnerabilità note?

0

Ho distribuito alcune decine di siti Wordpress negli ultimi 10 anni su una varietà di host. Ho un singolo client su un particolare host che non ho mai usato prima il cui sito Wordpress è stato violato due volte nell'ultimo anno. La causa della prima violazione non è chiara a causa della mancanza di prove (sospetto movimento laterale da un altro inquilino) ma sembra che l'attaccante questa volta sia esterno e sfruttando l'iniezione di codice tramite la stringa dell'agente utente (sì, su Wordpress).

GET /about-us/ HTTP/1.1" 200 23527 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"%bl0ck_qu0te%%bl0ck_qu0te%%bl0ck_qu0te%disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:3738:\"eval(base64_decode('JGNoZWNrID0g...

Dopo il primo incidente, ho ridotto tutto a WP + akismet + cloudflare con un tema personalizzato per eliminare la maggior parte delle variabili lato app. Nessun altro plugin; tutti i temi stock cancellati.

Ovviamente questo è un bug di tema di Wordpress / che deve essere affrontato ma oltre la revisione del codice e lo slapping di Cloudflare su di esso per cercare di eliminare i cattivi agenti, dovrei aspettarmi che l'host sia più proattivo nel filtrare le vulnerabilità note al livello di rete o è solo il problema del conduttore?

O questo varia dall'host? Basandomi sul loro modello di business, davvero, davvero, non ottengo mai vibrazioni positive da questo.

Assumere l'abbandono dell'hosting condiviso non è un'opzione.

    
posta Ivan 11.11.2016 - 19:39
fonte

3 risposte

1

Sulla maggior parte dell'hosting condiviso:

  • è responsabilità dell'host configurare la propria macchina in modo che un titolare non possa interferire con un altro titolare
  • è responsabilità dell'host aggiornare qualsiasi infrastruttura condivisa, come il sistema operativo, i router, ecc. Se l'hosting condiviso ha un server web o un database condiviso, è anche responsabilità dell'host tenerli aggiornati.
  • è responsabilità del conduttore mantenere aggiornate le proprie applicazioni Web (ad esempio Wordpress).
  • generalmente è responsabilità dell'inquilino implementare le regole WAF quando necessario
  • di solito è responsabilità del locatario impostare correttamente i permessi dei file, ad esempio se si impostano i file PHP chmod 777 o se si scrivono dati sensibili nella directory condivisa come / tmp, allora si richiede solo un attacco laterale. Alcuni host meglio configurati configurano ciascun titolare per avere il proprio / tmp, ma non si deve fare affidamento sul fatto che questo sia l'impostazione predefinita.
risposta data 13.01.2017 - 22:07
fonte
0

Nel tuo post, hai chiesto:

Should I expect the host to be more proactive in filtering out known vulnerabilities at the network level or is that solely the tenant's problem?

La risposta:

The host is required, by law, to meet standards of security, especially when personal information is involved. For more information, visit this website. However, this does not mean you can rely on hosts to fix security vulnerabilities. You, as a tenant, are partially responsible for ensuring visitors are safe in your site from security issues.

    
risposta data 11.11.2016 - 19:57
fonte
0

Sembra che mentre non esiste uno standard per chi è responsabile della sicurezza, sembra che io abbia avuto la fortuna di scegliere host che mostrano una certa preoccupazione per la propria infrastruttura mantenendo in modo proattivo le regole di mod_security di base.

In questo caso, ho imparato da allora che questo host web non offre nulla del genere. Nessun WAF, nessuna mod_security, niente. Inoltre fanno pubblicità pesantemente attraverso lo spam SEO e costano 2x la concorrenza, quindi vai a capire ...

    
risposta data 14.11.2016 - 17:46
fonte

Leggi altre domande sui tag