Questo dominio è preso di mira dagli hacker
Questo sito, nel corso degli anni, è stato compromesso ben tre volte. Non lo dico come vanto, né come tragedia informatica, ma come dato di fatto di un esperimento che, volente o nolente, va avanti da tempo. Nel dettaglio, la prima volta si è trattato di un defacing, la seconda di una infezione malware, la terza di una compromissione con redirect automatico della home page.
Ora, una premessa è d’obbligo: questo è sempre stato un sito personale, non un progetto “mission critical”. L’ho usato negli anni come sandbox, come ambiente di test, come parcheggio temporaneo per file che mi serviva avere online, e anche come spazio di scrittura relativamente libero. In altre parole: la sicurezza non è mai stata l’obiettivo principale.
Ogni volta la soluzione è stata la stessa e anche piuttosto noiosa:
- ripristino da backup automatico online;
- nei casi peggiori, recupero da backup locale.
Niente panico, niente notti insonni, niente dati persi.
Il motivo per cui questo dominio venga preso di mira più spesso di altri non è del tutto chiaro. Forse c’entra il nome, che a livello internazionale ha una sua riconoscibilità e anche un certo valore (se mai decidessi di venderlo). Forse c’entrano gli argomenti trattati, talvolta confinanti con temi che attirano attenzioni poco…razionali. Fatto sta che, col tempo, il sito è diventato una sorta di palestra involontaria per bot e script automatici che ogni tanto provano a vedere se c’è una porta rimasta socchiusa.
Ma come avvengono davvero questi “attacchi”?
Se vi aspettate la figura dell’hacker incappucciato che digita furiosamente al buio, mi spiace deludervi. La realtà è molto meno cinematografica e molto più automatizzata. Nella stragrande maggioranza dei casi non ci sono persone in tempo reale, ma bot: software automatici, scritti da qualcuno, che scandagliano la rete in cerca di siti vulnerabili. Quando va a buon fine, qualcuno poi “firma” il risultato, come si vedeva chiaramente nel primo episodio di defacing.
Il meccanismo è sempre lo stesso:
- scansione massiva di siti WordPress;
- verifica della presenza di:
- plugin non aggiornati,
- temi vulnerabili,
- versioni obsolete del core,
- moduli con bug già noti e documentati.
Trovata la falla, il bot:
- carica file malevoli,
- modifica porzioni di codice,
- inietta script, o interviene direttamente sul database.
Le conseguenze tipiche sono:
- pagine che reindirizzano altrove,
- codice infetto,
- file “estranei” nelle directory,
- alterazioni silenziose dei contenuti.
Perché raccontarlo, allora?
Perché, al netto dei fastidi, questa situazione ha anche un lato utile. Infatti, mi costringe a:
- rimanere allenato,
- osservare l’evoluzione degli attacchi automatici,
- capire fino a che punto riesco a intercettarli o limitarli e, soprattutto, a ricordarmi di fare backup locali più frequenti (magari automatizzandoli sul serio, prima o poi).
Insomma: non è un case study di cybersecurity a livello aziendale, ma è un promemoria pratico di come funziona davvero una parte della rete – senza cappucci delle felpe, senza misteri, e con molti più script che cervelli umani. Per chi non è del settore, il messaggio finale è semplice: un sito che va giù non è automaticamente un disastro. Dipende che sito è, a cosa serve e quanto sei disposto a perderci dietro tempo ed energie. Nel mio caso, trattandosi di uno spazio personale, lascio volutamente che il sistema venga “stressato”: se cade, lo rimetto in piedi. Fine.
Questo non significa ignorare la sicurezza, ma contestualizzarla. La sicurezza assoluta non esiste; esiste un compromesso tra rischio, costo e utilità. Qui il rischio è accettabile, il costo è basso e il valore didattico – per me – è alto. Se un giorno il sito dovesse rimanere offline per qualche ora o anche per qualche giorno, non succede nulla di grave. Non ci sono transazioni, non ci sono servizi critici, non c’è nulla che non possa essere ripristinato da un backup. In compenso, ogni tentativo di compromissione è un promemoria pratico di come funziona davvero il web: fatto di automazioni, di scansioni continue e di sistemi che vengono testati senza sosta, che tu lo voglia oppure no. Ed è anche per questo che, almeno qui, ogni tanto lascio fare. Perché da queste parti, se qualcosa si rompe, si impara. E poi si ripara.
