Grazie al cielo oramai non ricevo tantissimo spam nella mia casella di posta elettronica, si e no una cinquantina di messaggi alla settimana (c’erano tempi in cui ne ricevevo un centinaio al giorno o forse più), così ho preso l’abitudine di spulciare tra quelle email per assicurarmi che qualcosa di legittimo non sia stato filtrato per sbaglio. L’altro giorno ho notato un messaggio di un certo Asim Delalić, che affermava di aver trovato una vulnerabilità nel mio blog. La prima cosa che mi è venuta in mente è stata “come mai qualcuno si prenderebbe la briga di esaminare le vulnerabilità di un blogghettino di periferia, dove non ci sono dati sensibili o soldi da rubare?” Però quello che ha colto la mia attenzione è che Asim aveva allegato alla sua email uno screenshot del mio file wp-config.php (si, era proprio il mio). L’altro dettaglio è che non chiedeva un riscatto e non usava un linguaggio minaccioso, mentre spiegava in maniera un po’ vaga com’era riuscito ad accedere a quel file. Così, più per curiosità che per altro, gli ho risposto per saperne di più, e per offrirgli una birra virtuale, nel caso si trattasse davvero di un buon samaritano. Nella sua risposta, mi ha illustrato per filo e per segno cosa aveva scoperto.
Per fortuna non era nulla di grave: avevo dimenticato di proteggere da occhi indiscreti il contenuto della cartella .git nella root del sito. Ma visto che non contiene dati sensibili, e che anzi il repository è disponibile pubblicamente sul mio account Github, non mi ero mai preoccupato di bloccarne l’accesso ai curiosi. Gli ho offerto una ricompensa per il tempo che aveva speso in quest’opera pia proprio con il mio blog, ma è svanito nel nulla e non mi ha più risposto. Così ho deciso di ringraziarlo pubblicamente su queste pagine, approfittandone per lanciare un messaggio ai miei vicini di casa virtuali: ricordati sempre di prendere sempre le opportune precauzioni per tenere al sicuro i dati che hai in rete. Cambia le password dei social almeno una volta all’anno, e prima di cliccare su qualsiasi link, assicurati che sia una cosa legittima, specialmente se ti chiedono soldi o vogliono stuzzicare la tua curiosità in qualche modo. E se usi Git per gestire il codice del tuo blog, assicurati che quelle directory siano ben protette. Ad esempio, questo è quello che io ho aggiunto al mio file .htaccess nella cartella principale del sito:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
# Prevent author scanning
RewriteCond %{QUERY_STRING} ^author=(\d+) [NC]
RewriteRule .* - [L,F]
# Filter 'cron' URLs
RewriteCond %{QUERY_STRING} doing_wp_cron
RewriteRule (.*) - [R=410,L]
# Prevent access to Git files
RedirectMatch 403 \.git
</IfModule>
# Custom error documents
ErrorDocument 403 <gone>
ErrorDocument 410 "Chi siete? Da dove venite? Cosa portate? Si, ma quanti siete? Un fiorino!"
Commenti
Invece dell’ultima frase, potresti dare spazio alla tua fantasia e mettere qualche “avvertimento” in siculo… 😂
Risposte al commento di Trap
Non ci avevo pensato… miii, baciamo le mani!