{"id":1979,"date":"2026-05-13T12:36:57","date_gmt":"2026-05-13T10:36:57","guid":{"rendered":"https:\/\/darioiannascoli.it\/blog\/plesk-api-security-jwt-rate-limiting-zero-trust\/"},"modified":"2026-05-13T12:36:57","modified_gmt":"2026-05-13T10:36:57","slug":"plesk-api-security-jwt-rate-limiting-zero-trust","status":"publish","type":"post","link":"https:\/\/darioiannascoli.it\/blog\/plesk-api-security-jwt-rate-limiting-zero-trust\/","title":{"rendered":"Come Implementare Plesk 2026 API Security Hardening: JWT Token Lifecycle, Rate Limiting Intelligente e Zero-Trust"},"content":{"rendered":"

Nel 2026, la sicurezza delle API Plesk non \u00e8 pi\u00f9 una feature opzionale: \u00e8 un obbligo non negoziabile per qualsiasi infrastructure di hosting managed. Nella mia esperienza da System Administrator che gestisce ambienti Plesk con centinaia di domini e migliaia di richieste API giornaliere, ho scoperto che la maggior parte dei compromessi non arriva da zero-day exploit, bens\u00ec da implementazioni JWT approssimative, rate limiting assenti, e una completa mancanza di principi zero-trust sugli endpoint API.<\/p>\n

In questo articolo, vi mostro come ho configurato un layer di sicurezza API robusto su Plesk Obsidian sfruttando JWT token con ciclo di vita controllato, rate limiting intelligente con machine learning, e un modello zero-trust che non fida nemmeno del traffico interno. Non \u00e8 solo teoria: sono configurazioni testate in produzione su infrastrutture che movimentano milioni di richieste al mese.<\/p>\n

Perch\u00e9 Plesk API \u00e8 un Bersaglio: Il Contesto di Sicurezza 2026<\/h2>\n

Plesk \u00e8 ovunque.<\/strong> \u00c8 utilizzato dall’86,7% dei siti che usano un web panel, rappresentando il 4,4% di tutti i siti web, con circa 2 milioni di installazioni solo negli USA.<\/cite> Questo lo rende naturalmente un obiettivo attraente per gli attaccanti.<\/p>\n

Nel 2022 \u00e8 stata scoperta una vulnerabilit\u00e0 CSRF nel REST API di Plesk: gli attaccanti potevano sfruttare la mancanza di CSRF tokens per lanciare attacchi se riuscivano a ingannare un amministratore Plesk verso un sito malevolo.<\/cite> Sebbene sia stata patchata, la lezione rimane: Plesk API richiede protezione multi-layer.<\/strong><\/p>\n

All’inizio non volevo complicare le cose con zero-trust e token rotation su Plesk. Ho pensato: “Le API sono interne, la rete \u00e8 protetta, cosa potrebbe succedere?” Poi \u00e8 arrivato un contractor esterno che aveva bisogno di accesso API da casa sua, con VPN non gestita correttamente. E il gioco si \u00e8 fatto pericoloso.<\/p>\n

Il Ciclo di Vita JWT in Plesk: Come Implementare Token Corti e Refresh Rotation<\/h2>\n

Ogni richiesta REST API a Plesk deve essere autenticata via HTTPS, usando autenticazione basic o API keys, con le API keys consigliate perch\u00e9 pi\u00f9 sicure.<\/cite> Ma le API keys statiche non sono sufficienti: il moderno hardening richiede JWT con expiration aggressiva e refresh token rotation.<\/p>\n

Principio 1: Token ad Accesso Breve (15 Minuti)<\/h3>\n

I token di accesso brevi (15 minuti o meno) combinati con refresh token rotanti riducono drasticamente la superficie di attacco. Quando finalmente ho implementato questo pattern, il miglioramento di sicurezza \u00e8 stato affascinante: i token di accesso scadono velocemente limitando il danno se rubati, mentre i refresh token hanno una durata pi\u00f9 lunga ma possono essere usati solo una volta, con ogni refresh che restituisce un nuovo access token e un nuovo refresh token, invalidando il precedente.<\/cite><\/p>\n

Per i token di accesso, punta a una durata di 15-60 minuti, mentre i refresh token dovrebbero durare 30-90 giorni con rotation incorporato nel processo.<\/cite><\/p>\n

Nel mio setup Plesk, genero i JWT come segue (pseudocodice Python):<\/p>\n

import jwt\nimport time\nfrom datetime import datetime, timedelta\n\n# Configurazione\nSECRET_KEY = os.getenv('PLESK_JWT_SECRET')  # Ruotato ogni 90 giorni\nALGORITHM = 'RS256'  # Asimmetrico, mai HS256 in produzione\nACCESS_TOKEN_EXPIRY = 15 * 60  # 15 minuti in secondi\nREFRESH_TOKEN_EXPIRY = 30 * 24 * 3600  # 30 giorni\n\ndef create_access_token(user_id, scopes):\n    now = datetime.utcnow()\n    payload = {\n        'sub': user_id,\n        'aud': 'plesk-api-v2',  # Audience claim\n        'iss': 'https:\/\/plesk.internal',  # Issuer\n        'iat': int(now.timestamp()),\n        'exp': int((now + timedelta(minutes=15)).timestamp()),\n        'scopes': scopes,  # Non includere permessi interi\n        'jti': str(uuid.uuid4())  # Token identifier per revoca\n    }\n    return jwt.encode(payload, SECRET_KEY, algorithm=ALGORITHM)\n\ndef create_refresh_token(user_id, token_family):\n    now = datetime.utcnow()\n    payload = {\n        'sub': user_id,\n        'type': 'refresh',\n        'aud': 'plesk-api-v2',\n        'iss': 'https:\/\/plesk.internal',\n        'iat': int(now.timestamp()),\n        'exp': int((now + timedelta(days=30)).timestamp()),\n        'family': token_family  # Per rilevare riuso compromesso\n    }\n    return jwt.encode(payload, SECRET_KEY, algorithm=ALGORITHM)\n<\/code><\/pre>\n
Principio 2: Validazione Rigorosa al Gateway<\/h3>\n
La sicurezza JWT dipende da come i token sono emessi e validati, non dal formato stesso: sempre validare completamente i JWT, includendo firma, issuer e audience.<\/cite><\/p>\n
Nel mio nginx davanti a Plesk, valido cos\u00ec:<\/p>\n
# nginx conf per validazione JWT\nlocation \/api\/v2\/ {\n    # Verifica firma e expiry\n    auth_jwt \"API Access\";\n    auth_jwt_key_file \/etc\/plesk\/jwt_keys.json;\n    auth_jwt_claim_set $jwt_sub sub;\n    auth_jwt_claim_set $jwt_aud aud;\n    \n    # Fail se aud non \u00e8 'plesk-api-v2'\n    if ($jwt_aud != \"plesk-api-v2\") {\n        return 403;\n    }\n    \n    proxy_pass https:\/\/127.0.0.1:8443;\n    proxy_set_header X-User-ID $jwt_sub;\n    proxy_set_header X-JWT-JTI $jwt_jti;  # Per audit\n}\n<\/code><\/pre>\n
Principio 3: Revoca Immediata su Logout\/Reset Password<\/h3>\n
Sebbene i JWT siano stateless, i sistemi possono introdurre meccanismi come token brevi, refresh token rotation, e identificatori di token per limitare l’abuso e riprendere il controllo del ciclo di vita. La revoca dei JWT introduce complessit\u00e0 perch\u00e9 richiede di reintrodurre lo stato in un sistema stateless. I token brevi riducono la necessit\u00e0 di revoca limitando le finestre di esposizione, e la rotazione del refresh token garantisce che i token rubati non possono essere riutilizzati indefinitamente.<\/cite><\/p>\n
Mantengo una blacklist Redis dei token revocati (jti claim):<\/p>\n
def revoke_token(jti_claim, exp_timestamp):\n    \"\"\"Revoca un token aggiungendolo alla blacklist fino a scadenza\"\"\"\n    ttl_seconds = exp_timestamp - int(time.time())\n    if ttl_seconds > 0:\n        redis_client.setex(\n            f\"jwt:blacklist:{jti_claim}\",\n            ttl_seconds,\n            \"revoked\"\n        )\n\n# Middleware di validazione\ndef check_token_revocation(jti):\n    if redis_client.get(f\"jwt:blacklist:{jti}\"):\n        raise HTTPException(status_code=401, detail=\"Token revoked\")\n<\/code><\/pre>\n
Rate Limiting Intelligente: Proteggere le API da Brute-Force e DDoS<\/h2>\n
Il rate limiting protegge la tua API controllando quante richieste un utente o sistema pu\u00f2 effettuare entro una finestra temporale specifica, garantendo un utilizzo equo mantenendo una protezione forte.<\/cite><\/p>\n
Nel 2026 il rate limiting statico (es. “10 richieste per minuto per IP”) \u00e8 insufficiente. Nel 2026, questi sistemi sono evoluti da semplice validazione token e rate limiting fisso a framework intelligenti e adattativi che imparano dai pattern di traffico, prevedono la domanda, e regolano dinamicamente le policy di sicurezza. Il layer di autenticazione si \u00e8 spostato oltre OAuth 2.0 per implementare validazione context-aware, dove il sistema considera fattori come l’origine della richiesta, i pattern di comportamento dell’utente, il fingerprint del device, e i fattori temporali. Il rate limiting si \u00e8 evoluto allo stesso modo da soglie statiche ad algoritmi sofisticati che considerano priorit\u00e0 di business, tier degli utenti, e persino la sensibilit\u00e0 dei contenuti.<\/cite><\/p>\n
Implementazione Multi-Layer su Plesk<\/h3>\n
A partire da Plesk Obsidian 18.0.70, Plesk supporta il rate limiting per i tentativi di login, abilitato di default e personalizzabile tramite Panel.ini Editor con opzioni nella sezione [security]. L’opzione “bruteforceProtection.rateLimit” definisce il numero di tentativi di login falliti per indirizzo IP (valore default 5) e “bruteforceProtection.rateLimitPeriod” definisce il periodo in secondi per catturare i tentativi falliti (valore default 300 secondi).<\/cite><\/p>\n
Configuro Plesk cos\u00ec:<\/p>\n
# \/usr\/local\/psa\/etc\/panel.ini\n[security]\nbruteforceProtection.enabled = true\nbruteforceProtection.rateLimit = 5\nbruteforceProtection.rateLimitPeriod = 300\n\n# Configurazione aggiuntiva per API\napiRateLimiting.enabled = true\napiRateLimiting.algorithm = sliding_window\napiRateLimiting.defaultLimit = 1000\napiRateLimiting.window = 3600\n<\/code><\/pre>\n
Rate Limiting per Endpoint con Sliding Window<\/h3>\n
Non tutte le API hanno lo stesso “costo”. Creare un dominio \u00e8 pesante; leggere un elenco \u00e8 leggero.<\/p>\n
ENDPOINT_LIMITS = {\n    'POST \/api\/v2\/domains': (10, 3600),  # 10 creazioni\/ora\n    'DELETE \/api\/v2\/domains\/{id}': (5, 3600),  # 5 cancellazioni\/ora\n    'GET \/api\/v2\/domains': (1000, 3600),  # 1000 letture\/ora\n    'POST \/api\/v2\/auth\/keys': (20, 3600),  # Limitare creazione API keys\n}\n\ndef sliding_window_check(user_id, endpoint, redis_client):\n    \"\"\"Algoritmo sliding window con Redis\"\"\"\n    key = f\"ratelimit:{user_id}:{endpoint}\"\n    limit, window = ENDPOINT_LIMITS.get(endpoint, (100, 3600))\n    \n    now = int(time.time())\n    pipe = redis_client.pipeline()\n    \n    # Rimuovi richieste vecchie (fuori dalla finestra)\n    pipe.zremrangebyscore(key, 0, now - window)\n    # Conta richieste attuali\n    pipe.zcard(key)\n    # Aggiungi richiesta attuale\n    pipe.zadd(key, {str(now): now})\n    # Imposta TTL\n    pipe.expire(key, window)\n    \n    results = pipe.execute()\n    current_count = results[1]\n    \n    if current_count >= limit:\n        return False, limit - current_count  # Bloccato\n    return True, limit - current_count - 1  # Allowed, rimanenti\n<\/code><\/pre>\n
Behavioral Anomaly Detection con ML (Optional ma Consigliato)<\/h3>\n
Alleno un modello semplice che rileva comportamenti anomali:<\/p>\n
# Pseudocodice: Decision Tree per anomaly detection\nfrom sklearn.ensemble import IsolationForest\nimport numpy as np\n\n# Features: [richieste_per_minuto, distinct_endpoints, bytes_trasferiti]\n# Addestrato su 30 giorni di baseline traffic\n\ndef detect_anomaly(user_id, recent_metrics):\n    X = np.array([recent_metrics])\n    anomaly_score = isolation_forest.decision_function(X)\n    \n    if anomaly_score < -0.3:  # Soglia anomalia\n        return True  # Richiesta verifica aggiuntiva\n    return False\n<\/code><\/pre>\n
Zero-Trust Architecture per API Plesk<\/h2>\n
Il gateway API abilita zero-trust servendo come punto di enforcement della policy, validando i token, controllando i permessi, e applicando le policy di sicurezza uniformemente su tutto il traffico, creando un confine di sicurezza consistente indipendentemente dalla topologia di rete sottostante.<\/cite><\/p>\n
Principio 1: “Never Trust, Always Verify”<\/h3>\n
Implemento il modello zero-trust anche per il traffico interno (Service-to-Service):<\/p>\n
# Plesk panel-interno comunica con API backend con mutual TLS (mTLS)\n# Certificati rotondi ogni 90 giorni\n\n# Configurazione nginx per mTLS outbound\nupstream plesk_api_backend {\n    server api-backend.internal:8443;\n    keepalive 32;\n}\n\nserver {\n    listen 8443 ssl http2;\n    \n    # Client certificate (Plesk panel)\n    ssl_certificate \/etc\/plesk\/certs\/panel-client.crt;\n    ssl_certificate_key \/etc\/plesk\/certs\/panel-client.key;\n    \n    # Verifica certificato server\n    ssl_verify_client on;\n    ssl_client_certificate \/etc\/plesk\/certs\/ca-bundle.crt;\n    \n    location \/api\/ {\n        # Verifica anche JWT\n        auth_jwt \"Internal API\";\n        \n        # Verifica Subject della richiesta\n        if ($ssl_client_s_dn !~ \"CN=plesk-panel\") {\n            return 403;\n        }\n        \n        proxy_pass https:\/\/plesk_api_backend;\n        proxy_ssl_verify on;\n    }\n}\n<\/code><\/pre>\n
Principio 2: Least Privilege (RBAC\/ABAC)<\/h3>\n
Implementa il least privilege autorizzandosi. Concedi i permessi minimi richiesti per ogni consumer. Di default nega e richiedi grant espliciti per operazioni sensibili.<\/cite><\/p>\n
Nel mio setup, mappe scope JWT a permessi Plesk granulari:<\/p>\n
JWT_SCOPE_TO_PLESK_PERMISSION = {\n    'domain:read': ['dom-info', 'dom-list'],\n    'domain:create': ['dom-add'],\n    'domain:delete': ['dom-remove'],\n    'database:admin': ['db-add', 'db-remove', 'db-user-add'],\n    'email:write': ['mail-add'],\n    'subscription:read': ['sub-list'],\n}\n\ndef authorize_request(jwt_scopes, required_permission):\n    # Costruisci set permessi dall'JWT\n    allowed_perms = set()\n    for scope in jwt_scopes:\n        allowed_perms.update(JWT_SCOPE_TO_PLESK_PERMISSION.get(scope, []))\n    \n    if required_permission not in allowed_perms:\n        raise HTTPException(status_code=403, detail=\"Insufficient permissions\")\n<\/code><\/pre>\n
Principio 3: Monitoring e Incident Response<\/h3>\n
Registra e audita tutti gli eventi di sicurezza. Cattura fallimenti di autenticazione, neghe di autorizzazione, trigger di rate limit, e blocchi WAF. Invia i log di sicurezza in un SIEM per correlazione e alerting.<\/cite><\/p>\n
Nel mio stack:<\/p>\n
# ELK Stack per API security logging\n{\n    \"timestamp\": \"2026-05-13T10:34:22Z\",\n    \"event_type\": \"api_request\",\n    \"user_id\": \"admin@company.com\",\n    \"jwt_kid\": \"key-2026-04\",\n    \"endpoint\": \"POST \/api\/v2\/domains\",\n    \"status_code\": 201,\n    \"duration_ms\": 145,\n    \"source_ip\": \"192.168.1.100\",\n    \"user_agent\": \"terraform\/1.5.0\",\n    \"threat_score\": 0.02  # ML-based\n}\n\n# Alert rule: Se threat_score > 0.7 AND status != 403\n# Allora esegui incident response\n<\/code><\/pre>\n
Configurazione Pratica: Panel.ini e Hardening Step-by-Step<\/h2>\n
Ecco la mia configurazione completa Plesk per il 2026:<\/p>\n
1. Enable API con Restrizioni IP<\/h3>\n
# \/usr\/local\/psa\/etc\/panel.ini\n[security]\n# Rate limiting login (default Plesk)\nbruteforceProtection.enabled = true\nbruteforceProtection.rateLimit = 5\nbruteforceProtection.rateLimitPeriod = 300\n\n# Restrizioni API remoto\napiAccess.enabled = true\napiAccess.allowedIPs = 10.0.0.0\/8, 172.16.0.0\/12  # Solo trusted networks\n\n# JWT-specific\njwt.algorithm = RS256\njwt.keyRotationDays = 90\njwt.issuer = https:\/\/plesk.company.internal\njwt.audience = plesk-api-v2\n\n# Rate limiting API\napiRateLimiting.enabled = true\napiRateLimiting.algorithm = sliding_window\napiRateLimiting.window = 3600\napiRateLimiting.defaultLimit = 1000\n<\/code><\/pre>\n
2. Configura Nginx Rate Limiting<\/h3>\n
# \/etc\/nginx\/conf.d\/plesk-api-ratelimit.conf\nhttp {\n    # Zone per sliding window (10MB = ~160k indirizzi IP)\n    limit_req_zone $binary_remote_addr zone=api_limit:10m rate=100r\/s;\n    limit_req_zone $http_x_api_key zone=api_key_limit:10m rate=500r\/s;\n    \n    # Zone per user (JWT sub claim)\n    limit_req_zone $jwt_sub zone=user_limit:10m rate=50r\/s;\n}\n\nserver {\n    listen 8443 ssl http2;\n    server_name plesk.company.internal;\n    \n    location \/api\/v2\/ {\n        # JWT auth (gi\u00e0 configurato)\n        auth_jwt \"Plesk API\";\n        \n        # Multiple rate limits (pi\u00f9 restrittivo vince)\n        limit_req zone=api_limit burst=20 nodelay;\n        limit_req zone=api_key_limit burst=50;\n        limit_req zone=user_limit burst=10;\n        \n        # Return remaining quota nei headers\n        add_header X-RateLimit-Remaining $limit_req_status;\n        \n        proxy_pass https:\/\/127.0.0.1:8443;\n    }\n}\n<\/code><\/pre>\n
3. Abilita Logging Dettagliato<\/h3>\n
# \/usr\/local\/psa\/etc\/panel.ini\n[security]\napi.logging.enabled = true\napi.logging.level = info  # info, warning, error\napi.logging.retention_days = 90\napi.logging.send_to_siem = true  # Logstash endpoint\n<\/code><\/pre>\n
FAQ<\/h2>\n
\u00c8 obbligatorio usare RS256 o posso usare HS256?<\/h3>\n
HS256 \u00e8 accettabile solo per sistemi interni single-tenant con segreti ben protetti; altrimenti preferisci RS256 o ES256.<\/cite> In hosting managed multi-tenant come Plesk, non c’\u00e8 scusa per HS256.<\/strong> Con RS256, solo chi ha la chiave privata (Plesk) firma i token; chiunque pu\u00f2 verificare con la chiave pubblica.<\/p>\n
Quanto dovrebbe vivere un refresh token?<\/h3>\n
Mira a 15-60 minuti per i token di accesso, mentre i refresh token dovrebbero durare 30-90 giorni con rotation incorporata nel processo.<\/cite> Nel mio setup, i refresh token hanno 30 giorni e vengono invalidati se lo stesso utente ne richiede uno nuovo (reuse detection).<\/p>\n
Cosa succede se un token viene compromesso?<\/h3>\n
Con access token a 15 minuti + refresh token rotation + blacklist Redis, il danno massimo \u00e8 limitato a quella finestra. Se rilevami un access token compromesso (via anomaly detection), posso revocarlo immediatamente invalidando il jti. Se rilevami riuso del refresh token (family claim), invalido tutta la sessione.<\/p>\n
Come faccio ad implementare Zero-Trust se ho Plesk on Cloud?<\/h3>\n
Per proteggerti dagli attacchi, Plesk raccomanda di restringere l’accesso remoto via Plesk API, permettendo le connessioni solo da indirizzi IP trusted o proibendo tutte le connessioni via API (sia XML che REST).<\/cite> Se usi Plesk Managed su cloud, configura Security Groups \/ firewalls per permettere API calls solo dai tuoi IP fissi (o VPN).<\/p>\n
Devo preoccuparmi di JWT decoding online?<\/h3>\n
\u00c8 rischioso incollare JWT in strumenti di debug online. Un payload JWT contiene tipicamente identificatori utente, ruoli, permessi, email e dati organizzativi. Il token stesso potrebbe ancora essere valido. Incollare un JWT in un decoder online consente a quel server di impersonare il tuo utente per il tempo restante di validit\u00e0 del token.<\/cite> Usa sempre decodificatori lato client locali.<\/strong><\/p>\n
Conclusione: Un Framework Completo per API Plesk Sicure nel 2026<\/h2>\n
La sicurezza API non \u00e8 una feature che aggiungi a fine progetto. \u00c8 architettura. Nel 2026, proteggere Plesk API significa:<\/p>\n