security.txt è uno standard molto diffuso per la segnalazione delle vulnerabilità della sicurezza ai proprietari di servizi. L’obiettivo principale di security.txt è aiutare sia i clienti sia i ricercatori nell’ambito della sicurezza a comunicare facilmente in caso di rilevamento di una vulnerabilità in un tuo dominio Plesk.

A partire dalla versione 18.0.62, Plesk Obsidian è pienamente compatibile con questo standard:

  • Il file security.txt viene generato per tutti i domini ospitati su un server Plesk.
  • Plesk conserverà costantemente il file security.txt dopo la creazione e l’abilitazione della funzionalità.
  • Plesk prende in considerazione il file personalizzato security.txt di un dominio e non applica mai al dominio le norme di sicurezza dal file del server.
  • Plesk aggiorna automaticamente la data di scadenza del file.

Per rendere il tuo server Plesk conforme a security.txt:

  1. Accedi a Plesk.

  2. Installa l’estensione «Native security.txt compliance».

  3. Una volta installata l’estensione, fai clic su Apri.

  4. Seleziona la casella di controllo «Enable compliance with the «security.txt» standard in Plesk» (Abilita la conformità allo standard «security.txt» in Plesk).

    image security txt extension

  5. (Facoltativo) Per modificare il file predefinito security.txt generato da Plesk, seleziona la casella di controllo «Use the custom security.txt text» (Usa il testo di security.txt personalizzato) e indica ciò che è necessario modificare nel campo «Security.txt text» (Testo di security.txt). Puoi anche modificare il file dalla linea di comando.

  6. Salva le modifiche facendo clic su:

  • Salva per salvare la configurazione e applicare le modifiche manualmente in un secondo momento. Puoi farlo ad esempio per fornire ai clienti più tempo per riconfigurare i loro domini in base alle modifiche per evitare potenziali problemi. È possibile riconfigurare il server manualmente eseguendo il comando CLI plesk repair web.
  • Salva e riconfigura se desideri applicare immediatamente le modifiche e riconfigurare il server Plesk.

Ora il tuo server Plesk è conforme a security.txt.

Utilizzo dell’utilità della riga di comando

È possibile utilizzare l’utilità della riga di comando plesk ext security-txt-plesk per aggiornare la configurazione di security.txt. L’utilità accetta i seguenti comandi:

  • --help - Stampa tutti i comandi security-txt-plesk disponibili.

  • --status - Indica se il server Plesk utilizza i criteri security.txt. Se hai abilitato il criterio security.txt predefinito, verrà restituito value: on. Se hai abilitato un criterio security.txt personalizzato o hai utilizzato un percorso file personalizzato, verrà restituito value: custom.

  • --enable - Imposta tutti i domini sul server Plesk in modo che utilizzino i criteri predefiniti security.txt. Disabiliterà eventuali percorsi di file personalizzati e l’opzione «Usa il testo personalizzato di security.txt» nel menu delle estensioni.

  • --disable - Imposta tutti i domini sul server Plesk in modo che ignorino tutti i criteri security.txt.

  • -path - Imposta un nuovo percorso per il file security.txt. Per impostare un nuovo percorso per un file security.txt, è necessario prima avere un file security.txt nella nuova posizione.
    Nota:

    Affinché questo comando funzioni, è necessario innanzitutto abilitare l’opzione «Usa il testo personalizzato di security.txt» nel menu dell’estensione «Conformità nativa a security.txt». Quindi, è necessario includere il comando --reconfigure-all. Ad esempio, per utilizzare una directory security personalizzata per il file security.txt, creare il nuovo file e la nuova directory, quindi utilizzare il seguente comando: plesk ext security-txt-plesk -path /security/security.txt --reconfigure-all.

  • --reconfigure-all - Aggiorna tutti i domini sul server Plesk per utilizzare la nuova configurazione security.txt.