Alojamiento compartido: ¿cuya responsabilidad es lidiar con las vulnerabilidades conocidas?

Navega tus respuestas
0

He implementado una docena de sitios de Wordpress en los últimos 10 años en una variedad de hosts. Tengo un solo cliente en un host particular que nunca he usado antes cuyo sitio de Wordpress ha sido pirateado dos veces en el último año. La causa de la primera infracción no está clara debido a la falta de evidencia (movimiento lateral sospechoso de otro inquilino) pero parece que el atacante esta vez es externo y aprovechando la inyección de código a través de la cadena de agente de usuario (sí, en Wordpress).

  

GET / about-us / HTTP / 1.1 "200 23527" - ""} __ prueba | O: 21: \ "JDatabaseDriverMysqli \": 3: {s: 2: \ "fc \"; O: 17: \ "JSimplepieFactory \": 0: {} s: 21: \ "\ 0 \ 0 \ 0disconnectHandlers \"; a: 1: {i: 0; a: 2: {i: 0; O: 9: \ "SimplePie \ ": 5: {s: 8: \" sanitize \ "; O: 20: \" JDatabaseDriverMysql \ ": 0: {} s: 8: \" feed_url \ "; s: 3738: \" eval (base64_decode (' JGNoZWNrID0g ...

Después del primer incidente, reduje todo al inventario WP + akismet + cloudflare con un tema personalizado para eliminar la mayoría de las variables del lado de la aplicación. No hay otros complementos; todos los temas de stock eliminados.

Obviamente, este es un error de Wordpress / posible tema que debe solucionarse, pero más allá de la revisión de código y la aplicación de Cloudflare para tratar de eliminar a los agentes malos, debería esperar que el host sea más proactivo para filtrar las vulnerabilidades conocidas en el ¿Nivel de red o es únicamente el problema del inquilino?

¿O esto varía según el host? Basándome en su modelo de negocio, realmente, realmente, no obtengo buenas vibraciones de este en absoluto.

Suponer que abandonar el alojamiento compartido no es una opción.

    
pregunta Ivan 11.11.2016 - 19:39
fuente

3 respuestas

1

En la mayoría de alojamiento compartido:

  • es responsabilidad del anfitrión configurar su máquina para que un inquilino no pueda interferir con otro inquilino
  • es responsabilidad del anfitrión actualizar cualquier infraestructura compartida, como el sistema operativo, los enrutadores, etc. Si el alojamiento compartido tiene un servidor web o una base de datos compartidos, también es responsabilidad del anfitrión mantenerlos actualizados.
  • es responsabilidad del inquilino mantener sus aplicaciones web (por ejemplo, Wordpress) actualizadas.
  • generalmente es responsabilidad del inquilino implementar las reglas de WAF cuando sea necesario
  • por lo general, es responsabilidad del inquilino configurar sus permisos de archivo correctamente, por ejemplo, si configura los archivos PHP chmod 777 o si escribe datos confidenciales en un directorio compartido como / tmp, entonces solo está solicitando un ataque lateral. Algunos hosts mejor configurados configuran cada inquilino para que tenga su propio / tmp, pero no debe confiar en que este sea el predeterminado.
respondido por el Lie Ryan 13.01.2017 - 22:07
fuente
0

En tu publicación, preguntaste:

  

¿Debo esperar que el host sea más proactivo para filtrar las vulnerabilidades conocidas a nivel de red o es únicamente el problema del inquilino?

La respuesta:

  

Se requiere que el host, por ley , cumpla con los estándares de seguridad, especialmente cuando se trata de información personal. Para obtener más información, visite este sitio web . Sin embargo, esto no significa que pueda confiar en los hosts para corregir las vulnerabilidades de seguridad. Usted, como inquilino, es parcialmente responsable de garantizar que los visitantes estén seguros en su sitio por problemas de seguridad.

    
respondido por el ComputersAreCool 11.11.2016 - 19:57
fuente
0

Parece que si bien no existe un estándar para quién es responsable de la seguridad, parece que he tenido la suerte de elegir anfitriones hasta la fecha que muestren cierta preocupación por su propia infraestructura al mantener de forma proactiva cosas como las reglas básicas de seguridad de modulación. / p>

En este caso, he aprendido que este servidor web no ofrece nada por el estilo. No WAF, no mod_security, nada. También publicitan en gran medida a través de SEO spam y cuestan 2 veces la competencia, así que imagínate ...

    
respondido por el Ivan 14.11.2016 - 17:46
fuente

Lea otras preguntas en las etiquetas

¿Qué funciones debo enganchar para verificar si la aplicación contiene código malicioso o utiliza métodos en desuso? ¿Cuál es la diferencia entre la evaluación de vulnerabilidad y el hacking ético?