Sai dove abita il tuo sito web?

Postato da: Davide Vacca
Categoria: Acque infestate
Imprenditore al laptop nel suo ufficio guarda il sito aziendale, sullo sfondo un data center lontano e sfocato: la sicurezza hosting che non si vede.

In questi giorni ho aperto la console di IronWeb. È il server dove ospitiamo i siti di Kaos Informatica e di alcuni nostri clienti. Volevo solo fare una verifica veloce: controllare che una patch critica fosse stata applicata. Lo era. Un comando, una conferma, cinque minuti. Ho richiuso il portatile.

Poi mi sono fermato. Perché la domanda interessante non era se io avevo fatto quel controllo. Era un’altra, e riguarda la sicurezza hosting di migliaia di aziende italiane: quante PMI sanno davvero dove abita il loro sito web, e chi se ne prende cura?

Cosa è successo a fine aprile

Il 28 aprile cPanel, il pannello di gestione dei server di hosting più diffuso al mondo, ha rilasciato una patch d’urgenza. La falla si chiama CVE-2026-41940 (CVE = Common Vulnerabilities and Exposures, l’identificatore standard delle vulnerabilità di sicurezza), e ha un punteggio di gravità di 9,8 su 10. Tradotto: permetteva di prendere il controllo amministrativo di un server di hosting senza fornire alcuna credenziale. Bastavano poche richieste costruite nel modo giusto, e si entrava come padroni di casa.

Il dettaglio che ha tolto il sonno ai sistemisti di mezzo mondo non è la falla in sé. È la sua storia. Le indagini hanno mostrato che veniva sfruttata di nascosto da fine febbraio, due mesi buoni prima che la patch esistesse. E nelle ore successive all’annuncio sono comparsi i primi codici di attacco pubblici, con decine di migliaia di indirizzi coinvolti in scansioni di massa contro ogni cPanel raggiungibile da Internet. I server colpiti si contavano a migliaia.

Cosa c’entra tutto questo con una piccola azienda di Avigliana o di Rivoli? C’entra, perché il sito della tua azienda, le caselle email legate al tuo dominio, l’eventuale negozio online, vivono quasi sempre su un server gestito da qualcun altro. Se quel qualcuno non ha applicato la patch in tempo, un attaccante non deve forzare niente: entra come amministratore e fa quello che vuole. Defacement del sito, furto del database dei clienti (con obbligo di notifica al Garante entro 72 ore, lo dice il GDPR), email aziendali dirottate per truffe con cambio di IBAN sulle fatture, file cifrati da un ransomware. Negli attacchi reali della scorsa settimana i ricercatori hanno trovato un ransomware che cifrava tutto e aggiungeva ai file l’estensione .sorry. Una firma quasi beffarda.

La sicurezza hosting non è un prodotto, è un’attenzione quotidiana

Il sito di un’azienda non sta nella sede dell’azienda. Sta su un server in un data center, gestito da chi hai pagato: direttamente, oppure tramite la web agency che ti ha rifatto il sito qualche anno fa e che a sua volta si appoggia a un fornitore che non hai mai visto. Quel fornitore, ogni giorno, dovrebbe fare due cose semplici e una più difficile.

Le due semplici: aggiornare il pannello di gestione appena escono le patch di sicurezza, e tenere d’occhio chi prova a entrare. Sembrano ovvie. Proprio perché sembrano ovvie, in tanti danno per scontato che vengano fatte. Spesso non è così, e il 28 aprile lo ha dimostrato.

La cosa più difficile riguarda il cuore della sicurezza hosting su un server condiviso: fare in modo che, se un sito viene compromesso attraverso una sua debolezza (un plugin di WordPress non aggiornato, una password fragile, una libreria con un buco noto), il danno non si propaghi a tutti gli altri siti ospitati sulla stessa macchina. Su IronWeb questo lo otteniamo con CloudLinux. Provo a spiegarlo senza gergo: immagina il server come una palazzina, e ogni sito ospitato come un appartamento. Sugli hosting economici quegli appartamenti spesso comunicano tra loro, e chi entra in uno può girare per tutto il palazzo. CloudLinux costruisce muri e porte vere tra un appartamento e l’altro: se anche un sito viene bucato, l’attaccante resta chiuso lì dentro, senza raggiungere i vicini. Non è una protezione assoluta, quella non esiste, ma è un livello di isolamento che la maggior parte degli hosting a basso costo semplicemente non offre.

Sommaci una politica di aggiornamento rapido, un monitoraggio attivo e backup automatici conservati su un sistema separato dal server principale. È questo insieme di scelte che, il 28 aprile, mi ha permesso di richiudere il portatile dopo cinque minuti invece di passare la notte a rimediare a un’intrusione.

Allora, sai dove abita il tuo sito? La sicurezza hosting parte da qui

La domanda non è retorica. Provala sul serio.

Sai chi è il fornitore che ospita il sito della tua azienda? Sai quanto in fretta applica le patch critiche quando esce una falla come quella di aprile? Sai se separa i siti dei suoi clienti, così che la compromissione di uno non infetti gli altri? Sai se hai una copia del tuo sito conservata da qualche parte che non sia il server del fornitore stesso?

Se a una di queste domande la risposta è “non lo so”, o “lo chiedo a quelli che mi hanno fatto il sito”, hai già scoperto qualcosa di utile sulla tua sicurezza hosting. Non è un rimprovero: è normale, nessuno ci aveva mai detto di chiedercelo. Il punto che possiamo portarci a casa è semplice. Il sito della tua azienda abita a casa di qualcun altro, e da quel qualcun altro dipende una fetta della tua sicurezza, perché davanti ai tuoi clienti e davanti al Garante la responsabilità resta comunque tua.

Noi su IronWeb teniamo insieme cPanel aggiornato, l’isolamento di CloudLinux e backup separati proprio per questo. Se vuoi sapere come funziona, o se hai il dubbio che l’hosting che usi oggi non sia all’altezza, scrivici: ne parliamo volentieri.


🧩 Kaos Informatica ti può aiutare

Se vuoi, Kaos Informatica può aiutare la tua azienda a:

✅Verificare lo stato di sicurezza del tuo sito (VA)

✅Verificare la configurazione del tuo DNS pubblico

✅Diminuire sensibilmente il livello di rischio della tua azienda.

Contattaci e parliamone insieme

📧 info@kaosinformatica.it
🌐 www.kaosinformatica.it