PROTOCOLLO HTTPS

L'intero sito è da luglio 2017 accessibile solo tramite protocollo HTTPS con HTTP 2.0. In questo modo le informazioni scambiate tra il server di Universitor e il tuo browser sono incomprensibili se eventualmente intercettate. Il certificato SSL Alpha è sia lato hosting fornito da Globalsign sia lato CDN, fornito da Comodo.

CDN e WAF 1° livello

Abbiamo impostato un CDN (Content Delivery Network) che intercetta le visite (umane e bot) prima che arrivino al server di Universitor.it e le distribuisce su vari nodi nel mondo. Nel nostro caso, il CDN filtra le visite dei bot in automatico e scarica il server di lavoro inutile. Il CDN è anche dotato di un suo Web Application Firewall (WAF) che protegge il sito da attacchi SQL injection, Cross-site Scripting (XSS) e Cross-Site Forgery Requests (CSFR).

GeoIP Block: Blocco geografico visite 1° e 2° livello

Prima che la visita arrivi al server, dal CDN vengono bloccate tutte le visite provenienti dalle classi di IP associate a Bulgaria - Cina - Germania - Algeria - Moldavia - Russia - Turchia - Ucraina - Giappone - Brasile - Tunisia - Malesia. In questo modo è verificabile che sia un reale essere umano a chiamare il sito e non una rete di BOT. Tutti i tentativi di attacco tramite BOT che passano questo primo controllo lato CDN, vengono filtrati ulteriormente tramite database MAXMIND per consentire l'immediato blocco dell'intera classe di IP associata.

BLOCCO ORARIO

Dalle 01:30 alle 07:30, orario in cui solitamente non è presidiato il sito, l'accesso alla parte amministrativa è bloccato.

Two Factor Auth: autenticazione a due fattori

L'autenticazione al backend avviene con consueto nome utente e password ma anche con One Time Password, sincronizzata tra server e cellulare dell'amministratore. Del tutto identica al PIN delle banche, la password temporanea di 6 cifre è rigenerata automaticamente ogni 20 secondi. Pur disponendo della password e del nome utente, nel caso non si disponga del cellulare, non si può accedere al backend.

LOG IP ACCESSI

Tutti i tentativi falliti di login al frontend e al backend di amministrazione da parte degli utenti, vengono notificati immediatamente all'amministratore tramite mail in caso di errore. Ogni accesso corretto al backend di amministrazione viene comunque notificato all'amministratore tramite mail per tenere traccia di chi entra. Per evitare il bruteforce dopo 5 tentativi errati, l'ip viene messo in blacklist per 24 ore.

Backup di 1° e 2° livello

Per evitare perdite di dati, anche a seguito di intrusioni non autorizzate, è impostato lato hosting un sistema di backup automatico con long retention. Sono disponibili i backup giornalieri degli ultimi 10 giorni, settimanali delle ultime 4 settimane e mensili degli ultimi 3 mesi. E' possibile ripristinare l’intero contenuto del sito, una singola cartella, un singolo file oppure un database o una parte di esso. In più è presente un secondo livello di backup manuale che viene effettuato prima di ogni aggiornamento.

Aggiornamenti di sicurezza

Tutti i componenti vengono aggiornati dopo cinque giorni dalla data del rilascio della versione più recente. Il CMS Joomla! è aggiornato tre giorni dopo il rilascio della versione più recente. L'aggiornamento posticipato per consentire un'ampia diffusione a livello globale e la scoperta di eventuali bug non scoperti in fase di sviluppo del componente. I rilasci di hotfix di sicurezza vengono applicati immediatamente.

Project Honey Pot

Abbiamo aderito al Progetto HoneyPot che limita l'efficacia dei bot malevoli tramite una rete di computer in tutto il mondo