fbpx

Gli attacchi informatici rivolti a siti web potrebbero, ad una prima analisi, sembrare una cosa di poco conto; ovviamente non è così, e sarebbe opportuno che ci abituassimo fin da subito a considerarli alla stessa stregua di malware, virus, trojan e ransomware. Le violazioni che si possono effettuare su un sito web, del resto, sono numerose, e rientrano in casistiche il più delle volte dipendenti da architetture specifiche, e pertanto un po’ complesse da analizzare. Ricevere un attacco informatico su un sito, di fatto, significa rischiare di perdere dati, posizionamenti raggiunti su Google o contatti coi clienti: motivo per cui, in definitiva, è importante mantenere la soglia di attenzione abbastanza alta.

Le regole per mantenere un sito al sicuro e ridurre le possibilità di problemi in futuro sono, di base, le seguenti, ed è importante sapere quali sono e che cosa, nello specifico, riescono ad evitare.

sicurezza-sito-web

1 – Fare uso di SSL

Come sottolineato nel nostro precedente articolo su HTTPS per Google, la prima cosa da fare è quella di dotare il proprio sito di connessione protetta con SSL; al di là del livello di protezione offerto da questo protocollo, infatti, è sostanzialmente obbligatorio per ogni sito farne uso, e molti browser come Chrome potrebbero rifiutare la connessione con siti che ne siano sprovvisti, facendosi così perdere visite. Google stesso, di fatto, considera HTTPS un fattore di ranking importante per la SEO di un sito, motivo ulteriore per farne uso. Come tipo di certificato, poi, anche un comunissimo Let’s Encrypt può fare al caso nostro. Un certificato protegge da intrusioni di ogni genere, e ci tutela da eventuale spionaggio delle attività compiute sul sito.

2 – Tenere il sito aggiornato

Ogni sito, in genere, possiede moduli, temi e componenti che si possono (e si devono) aggiornare; in questo scenario, soprattutto nel caso di CMS, è buona norma verificare se non ci siano aggiornamenti da fare, e prendere la buona abitudine di farli periodicamente (es. 1 volta a settimana). Se non abbiamo tempo e modo per farlo, possiamo assegnare l’incarico a qualcuno specializzato, interno o esterno alla nostra azienda, che sia anche in grado di ripristinarlo in caso di errori. Tale accortezza impedirà di sfruttare i bug del sito a vantaggio di chi provasse a violarlo in futuro, fermo restando che molte aziende potrebbero voler ricorrere ad una politica di Security Assessment per tutelare i propri dati al meglio, anche in prospettiva.

3 – Utilizzare password sicure

Le password per accedere al backend amministrativo sono, in genere, fondamentali per effettuare modifiche al sito a qualsiasi livello consentito da CMS; il CMS stesso, del resto, imposta vari ruoli per i diversi utenti, ad esempio se siano amministratori, editori, autori del sito e via dicendo. La cosa importante, in questi casi, è che tutti gli utenti (e soprattutto gli amministratori) usino password che non siano le stesse di altri portali, abbiano l’accortezza di salvarle in un portachiavi sicuro (come quello integrato in Firefox, ad esempio) e facciano in modo che le stesse contengano sempre almeno una maiuscola ed un carattere non alfabetico. Molte violazioni informatiche, infatti, si basano sulla conoscenza delle password del sito.

aggiornamento-cms

4 – Gestisci in modo adeguato i ruoli degli utenti nel sito

Se ad un certo punto un utente deve essere abilitato per accedere al tuo sito, sarebbe bene non fornire l’accesso di amministratore se non realmente necessario; in molti casi, infatti, i problemi di sicurezza derivano da una sostanziale leggerezza nel gestire gli account. Bisognerebbe entrare nell’ottica che ogni utente che creiamo può essere una potenziale “chiave” di accesso al nostro sito, anche da parte di malintenzionati, e che in generale sarebbe opportuno cambiare le password di tutti gli utenti, periodicamente (ad es. ogni 3 mesi).

5 – Non mostrare troppi messaggi di errore

Ogni sito potrebbe avere dei bug, e questo ovviamente può succedere; ma spesso un’indicazione troppo precisa sugli stessi potrebbe essere sfruttata a vantaggio di un malintenzionato informatico. Motivo per cui, semplicemente, è fondamentale separare la versione staging del sito da quella in produzione, e fare in modo che i dettagli degli errori (preziosi per i programmatori, ovviamente) non siano visibili dall’esterno. Questo aiuterà almeno un altro po’ a limitare i problemi di sicurezza informatica.

6 – Non fornire dettagli inutili sul CMS che stai usando

Molti webmaster, spesso con velleità SEO, impostano ad esempio il file robots.txt del proprio sito per impedire a Google determinate scansioni, con il risultato di esporre in modo chiaro (il file in questione è pubblico) che quel sito sta usando WordPress, ad esempio. Tali fingerprint (“impronte digitali”) che si lasciano, spesso involontariamente, all’interno del sito, sono innumerevoli; un ulteriore esempio sono i meta-tag generator che identificano varie versioni dei siti web che possono anche, di fatto, essere utilizzati in modo malevolo: se conosco la versione di un CMS posso tentare attacchi informatici specifici per quella versione.

In conclusione, quindi, le attività per rendere sicuro un sito passano per un po’ di attenzione e buon senso, e per la conoscenza approfondita delle tecnologie e le dinamiche che muovono i nostri siti.

RICHIEDI UNA CONSULENZA GRATUITA
Parla con i nostri esperti

Nome e Cognome*
Indirizzo Email Aziendale*
Numero Telefonico*
CONSULENZA
SUPPORTO H24
RISPARMIO
SLA 99.99%