{"id":48501,"date":"2017-02-16T19:29:31","date_gmt":"2017-02-16T18:29:31","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=48501"},"modified":"2023-01-09T11:41:35","modified_gmt":"2023-01-09T10:41:35","slug":"sicurezza-login-drupal","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/sicurezza-login-drupal\/48501\/","title":{"rendered":"La sicurezza del login di Drupal. Guida rapida"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-6a33c0d88e81e\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-6a33c0d88e81e\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/sicurezza-login-drupal\/48501\/#Sicurezza_del_login_di_Drupal_inizia_da_username_e_password\" >Sicurezza del login di Drupal: inizia da username e password<\/a><ul class='ez-toc-list-level-2' ><li class='ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/sicurezza-login-drupal\/48501\/#Sicurezza_del_login_di_Drupal_lautenticazione_a_due_fattori\" >Sicurezza del login di Drupal: l&#8217;autenticazione a due fattori<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/sicurezza-login-drupal\/48501\/#Sicurezza_del_login_di_Drupal_utilizza_i_moduli_di_sicurezza\" >Sicurezza del login di Drupal: utilizza i moduli di sicurezza<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/sicurezza-login-drupal\/48501\/#Sicurezza_del_login_di_Drupal_il_protocollo_HTTPS\" >Sicurezza del login di Drupal: il protocollo HTTPS<\/a><\/li><\/ul><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<p class=\"p1\">Come gli altri <b>CMS<\/b>, anche la sicurezza del login di <b>Drupal \u00e8 soggetta ad attacchi e tentativi di violazioni <\/b>abbastanza capillari che, di volta in volta, assumono connotazioni e bersagli differenti. Tra i pi\u00f9 diffusi e \u201cdemocratici\u201d ci sono certamente gli <b>attacchi brute-force che mirano a scovare le credenziali di accesso<\/b> con la finalit\u00e0 di arrecare un danno.<\/p>\n<p class=\"p1\">Si \u00e8 detto \u201cdemocratici\u201d in quanto <strong>questo tipo di violazioni possono interessare davvero tutti<\/strong>, dal piccolo blog personale a un sito strutturato e di pi\u00f9 grandi dimensioni. La <b>sicurezza del login di Drupal <\/b>\u00e8 quindi una priorit\u00e0 per chiunque si trovi ad utilizzare questo CMS opensource.<\/p>\n<p class=\"p1\">Cerchiamo, quindi, di capire in che modo <b>migliorare la sicurezza del login di Drupal <\/b>adottando una serie di accorgimenti \u201cstandard\u201d o facendo ricorso a \u201cstrumenti\u201d dedicati.<\/p>\n<h1 class=\"p1\"><span class=\"ez-toc-section\" id=\"Sicurezza_del_login_di_Drupal_inizia_da_username_e_password\"><\/span>Sicurezza del login di Drupal: inizia da username e password<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p class=\"p1\">Ogni volta che si parla della <b>sicurezza del login<\/b> si fa immediatamente riferimento <b>alla \u201cforza\u201d delle credenziali di accesso<\/b>.<\/p>\n<p class=\"p1\">Potrebbe, quindi, sembrare un consiglio banale quello di <b>scegliere una username e una password di difficile individuazione<\/b> ma in realt\u00e0 si tratta di uno step imprescindibile e forse neanche cos\u00ec scontato.<\/p>\n<p class=\"p1\">Per pigrizia o abitudine, infatti, molto spesso <b>gli utenti tendono a utilizzare un username e una password \u201csemplici\u201d<\/b>, vale a dire di comune utilizzo o contenenti delle informazioni facilmente rintracciabili come nomi propri, date di nascita, nomi di citt\u00e0 e cos\u00ec via.<\/p>\n<p class=\"p1\">Ancora abbastanza diffusa \u00e8 poi la tendenza a <b>riutilizzare le password<\/b>, a preferire quelle di facile memorizzazione (come la famigerata \u201c123456\u201d) o, addirittura, <b>ad impiegare quelle di default<\/b>, senza pensare che in questo modo si sta mettendo seriamente a rischio la <strong>sicurezza del proprio sito<\/strong>.<\/p>\n<figure id=\"attachment_48514\" aria-describedby=\"caption-attachment-48514\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48514 size-full\" title=\"sicurezza del login di drupale e username\/password\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/02\/password-123456.jpg\" alt=\"sicurezza del login di Drupal e credenziali di accesso\" width=\"780\" height=\"438\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/password-123456.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/password-123456-300x168.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/password-123456-768x431.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48514\" class=\"wp-caption-text\">Sicurezza del login di Drupal: il primo passo \u00e8 scegliere una combinazione username\/password forte e di difficile individuazione<\/figcaption><\/figure>\n<p class=\"p1\">Il primo e fondamentale avvertimento \u00e8 quindi quello di prestare grande attenzione alla scelta delle credenziali di accesso, specialmente se si \u00e8 amministratori.<\/p>\n<p class=\"p1\">Anche <b>per Drupal \u00e8 possibile migliorare la sicurezza delle credenziali di accesso<\/b>, evitando innanzitutto di usare \u201cadmin\u201d come username amministratore. Abbiamo gi\u00e0 illustrato la pericolosit\u00e0 di una scelta di questo tipo, dunque <b>\u00e8 fondamentale adottare un username nuovo per l\u2019amministratore<\/b>, aggiornandolo direttamente nella dashboard.<\/p>\n<p class=\"p1\">Discorso simile va fatto per le password la cui vulnerabilit\u00e0 potrebbe rappresentare un serio problema per la sicurezza dell\u2019intero sito.<\/p>\n<p class=\"p1\">Per <b>scegliere in maniera corretta una password<\/b>, cercando di limitarne al massimo la debolezza, ci sono una serie di \u201cbuone pratiche\u201d che \u00e8 consigliato seguire.<\/p>\n<p class=\"p1\">In primo luogo <b>la password deve essere abbastanza lunga e utilizzare tutti i caratteri a disposizione<\/b>, quindi lettere, numeri e caratteri speciali, oltre a maiuscole e minuscole. Per lunghezza si intende <b>una password di almeno 9 caratteri<\/b> (come minimo), mentre la complessit\u00e0 \u00e8 data appunto <b>dalla combinazione di caratteri diversi <\/b>che ne rendono molto pi\u00f9 difficile la decriptazione.<\/p>\n<p class=\"p1\"><b>Un valore aggiuntivo viene poi dato dalla \u201ccasualit\u00e0\u201d<\/b> e questo perch\u00e9 la maggior parte dei cracker conosce i patterns di costruzione di una password comunemente utilizzati e possono, quindi, facilmente identificarli.<\/p>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Sicurezza_del_login_di_Drupal_lautenticazione_a_due_fattori\"><\/span>Sicurezza del login di Drupal: l&#8217;autenticazione a due fattori<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\">Anche per la <b>sicurezza del login di Drupal<\/b>, uno dei \u201cmetodi\u201d pi\u00f9 efficaci e semplici \u00e8 <b>Two-Factor Authentication <\/b>(TFA), grazie al quale \u00e8 possibile <b>aggiungere un ulteriore fattore di autenticazione<\/b> per avere accesso al sito.<\/p>\n<p class=\"p1\">Grazie a questa \u201cpolicy\u201d, quindi, \u00e8 possibile <b>evitare accessi indesiderati al proprio sito<\/b> anche nel caso in cui le credenziali di accesso vi siano state sottratte, poich\u00e9 questo secondo fattore di autenticazione \u00e8 di difficile individuazione in quanto inviato via sms sul cellulare del destinatario.<\/p>\n<figure id=\"attachment_48516\" aria-describedby=\"caption-attachment-48516\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48516 size-full\" title=\"sicurezza del login di drupal modulo two factor authentication\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/02\/drupal-two-factor-authentication.jpg\" alt=\"sicurezza del login di drupal two factor authentication\" width=\"780\" height=\"424\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-two-factor-authentication.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-two-factor-authentication-300x163.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-two-factor-authentication-768x417.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48516\" class=\"wp-caption-text\">Sicurezza del login di Drupal: grazie al modulo Two-Factor Authentication \u00e8 possibile aggiungere un ulteriore fattore di autenticazione<\/figcaption><\/figure>\n<p class=\"p1\"><b>Per Drupal esistono una serie di moduli che consentono di abilitare questa funzione<\/b>; tra questo uno dei pi\u00f9 noti \u00e8 <a href=\"https:\/\/www.drupal.org\/project\/tfa\"><b>Two-Factor Authentication<\/b><\/a> che, in pratica, consente di avere accesso all\u2019area admin solo aggiungendo questo secondo fattore di autenticazione.<\/p>\n<p class=\"p1\">Il modulo si presenta abbastanza completo e offre all\u2019utente una buona variet\u00e0 di scelta relativamente al secondo fattore di autenticazione (One Time Passwrods, codice via SMS, codici pre-generati etc.).<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Sicurezza_del_login_di_Drupal_utilizza_i_moduli_di_sicurezza\"><\/span>Sicurezza del login di Drupal: utilizza i moduli di sicurezza<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">Abbiamo gi\u00e0 accennato alla possibilit\u00e0 di poter utilizzare una serie di <b>moduli per incrementare i livelli di sicurezza del login di Drupal<\/b>.<\/p>\n<p class=\"p1\">Uno dei primi da segnalare \u00e8 certamente <a href=\"https:\/\/www.drupal.org\/project\/login_security\"><b>Login Security<\/b><\/a>, grazie al quale \u00e8 possibile ottenere una serie di interessanti funzionalit\u00e0 per <b>migliorare la protezione di tutte le operazioni di login<\/b>.<\/p>\n<p class=\"p1\">Il modulo include diverse opzioni tra le quali le pi\u00f9 interessanti sono quelle che consentono all\u2019amministratore di <b>limitare il numero di tentativi di accesso<\/b>, bloccando l\u2019utente dopo n-tentativi falliti.<\/p>\n<figure id=\"attachment_48517\" aria-describedby=\"caption-attachment-48517\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48517 size-full\" title=\"sicurezza del login di drupal e login security\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/02\/drupal-login-security.jpg\" alt=\"sicurezza del login di drupal e modulo login security\" width=\"780\" height=\"424\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-login-security.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-login-security-300x163.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-login-security-768x417.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48517\" class=\"wp-caption-text\">Sicurezza del login di Drupal: grazie al modulo Login Security \u00e8 possibile bloccare un utente dopo n-tentativi di accesso<\/figcaption><\/figure>\n<p class=\"p1\">Altrettanto utile \u00e8 la funzione che permette di <b>negare, permanentemente o temporaneamente, l\u2019accesso alla pagina di login a determinati IP<\/b> o quella che consente\u00a0all\u2019amministratore di essere costantemente aggiornato (grazie alle notifiche via mail) relativamente a tutto ci\u00f2 che avviene nel form di login (come furto di account e password o tentativi di login di tipo brute-force).<\/p>\n<p class=\"p1\">Un altro plugin che offre un valido supporto \u00e8 <a href=\"https:\/\/www.drupal.org\/project\/password_policy\"><b>Password Policy<\/b><\/a> che, come suggerisce gi\u00e0 il nome, <b>definisce una serie di policy di sicurezza che tutti gli utenti del sito devono rispettare in fase di registrazione o di cambio password<\/b>. Con Password Policy, in pratica, \u00e8 possibile forzare gli utenti a rispettare determinati parametri di sicurezza per la definizione delle password; si tratta di una funzione apprezzabile che aiuta a <b>prevenire gli attacchi brute-force <\/b>determinati dalla scelta di password non sufficientemente sicure.<\/p>\n<figure id=\"attachment_48518\" aria-describedby=\"caption-attachment-48518\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48518 size-full\" title=\"sicurezza del login di drupal e modulo password policy\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/02\/drupal-password-policy.jpg\" alt=\"sicurezza del login di drupal e password policy\" width=\"780\" height=\"424\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-password-policy.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-password-policy-300x163.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-password-policy-768x417.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48518\" class=\"wp-caption-text\">Sicurezza del login di Drupal: il modulo Password Policy fissa dei parametri di sicurezza per la composizione delle password di accesso<\/figcaption><\/figure>\n<p class=\"p1\">Da segnalare anche il <b>modulo <a href=\"https:\/\/www.drupal.org\/project\/restrict_by_ip\">Restrict Login<\/a><\/b> che permette di <b>prevenire gli accessi indesiderati fissando una serie di restrizioni <\/b>o relativamente a un IP o range di IP o relativamente al ruolo (Restrict IP by IP e Restrict role by IP).<\/p>\n<p class=\"p1\">Un ultimo modulo per difendersi dai <b>tentativi di login non autorizzati<\/b> basati su script \u00e8 <a href=\"https:\/\/www.drupal.org\/project\/captcha\"><b>Captcha<\/b><\/a> grazie al quale \u00e8 possibile <b>aggiungere i captcha ai form di autenticazione<\/b> riuscendo a bloccare tutti i tentativi di login automatizzati.<\/p>\n<figure id=\"attachment_48519\" aria-describedby=\"caption-attachment-48519\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48519 size-full\" title=\"sicurezza del login di drupal e modulo captcha\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/02\/drupal-captcha.jpg\" alt=\"sicurezza del login di drupal e captacha\" width=\"780\" height=\"416\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-captcha.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-captcha-300x160.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/drupal-captcha-768x410.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48519\" class=\"wp-caption-text\">Sicurezza del login di Drupal: il modulo Captcha consente di aggiungere i captcha ai moduli di login prevenendo cos\u00ec i tentativi di accesso automatizzati<\/figcaption><\/figure>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Sicurezza_del_login_di_Drupal_il_protocollo_HTTPS\"><\/span>Sicurezza del login di Drupal: il protocollo HTTPS<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">Un altro modo per rendere molto pi\u00f9 sicuro il processo di autenticazione \u00e8 <b>abilitare HTTPS per il blocco di login<\/b>.<\/p>\n<p class=\"p1\">Il protocollo HTTPS, infatti, <b>permette di criptare tutte le richieste HTTP <\/b>rendendo la comunicazione e il trasferimento delle informazioni tra browser e server molto pi\u00f9 sicura.<\/p>\n<p class=\"p1\">Generalmente <b>viene utilizzato per proteggere dati sensibili <\/b>come numeri di carte di credito, contenuti confidenziali, informazioni personali e <b>credenziali di accesso<\/b> (username e password); <strong>utilizzando il protocollo HTTPS per la pagina di login<\/strong> \u00e8 quindi possibile cifrare le informazioni che vi \u201ctransitano\u201d cos\u00ec da renderne molto pi\u00f9 difficile l\u2019identificazione e l\u2019eventuale sottrazione.<\/p>\n<p class=\"p1\">Chiaramente per fare ci\u00f2 <b>avrete bisogno di un certificato SSL<\/b> (Secure Socket Layer) che ha proprio la funzione di <b>criptare le informazioni prima che queste vengano trasferite<\/b> rendendone possibile la \u201clettura\u201d solo ai server su cui il certificato \u00e8 abilitato.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Come gli altri CMS, anche la sicurezza del login di Drupal \u00e8 soggetta ad attacchi e tentativi di violazioni abbastanza capillari che, di volta in volta, assumono connotazioni e bersagli differenti. Tra i pi\u00f9 diffusi e \u201cdemocratici\u201d ci sono certamente gli attacchi brute-force che mirano a scovare le credenziali di accesso con la finalit\u00e0 di [&hellip;]<\/p>\n","protected":false},"author":15,"featured_media":48513,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"pmpro_default_level":"","_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[387,2123,1893],"tags":[],"class_list":["post-48501","post","type-post","status-publish","format-standard","has-post-thumbnail","category-guide-sicurezza","category-sistemi","category-cms","pmpro-has-access"],"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/02\/sicurezza-login-drupal-evidenza.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/48501","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=48501"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/48501\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/48513"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=48501"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=48501"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=48501"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}