Prima pagina » Tecnologia » Sicurezza online: come proteggere il tuo sito web

Sicurezza online: come proteggere il tuo sito web

Parliamo di sicurezza dei siti Web con un esperto del settore. Come proteggersi dagli attacchi e le precauzioni da prendere per difendersi al meglio

Come proteggere un sito web dalle violazioni

La sicurezza dei siti web è un tema sempre più centrale. Al giorno d’oggi, anche grazie alla facilità con cui è ormai possibile realizzarli, si contano quasi 2 miliardi di siti attivi in tutto il mondo.

In questo panorama, si sono intensificati gli attacchi da parte di veri o presunti hacker, ingolositi dalla possibilità di intercettare dati e denaro, sfruttando eventuali vulnerabilità nel codice sorgente.

A tutto questo, dobbiamo aggiungere che con le recenti modifiche al GDPR (Regolamento UE 2016/679 e smi), i titolari dei siti web sono direttamente responsabili in caso violazioni che comportano un furto di dati.

La necessità di proteggere il proprio sito è quindi diventata una priorità, al pari della produzione di contenuti. Questo vale per tutti, compresi i titolari di piccoli siti o blog personali.

Non conta che si possegga un sito aziendale o un piccolo blog personale: si è comunque responsabili dei dati (a meno che non si sia delegato l’incarico formalmente) e si risponde davanti alla Legge con possibili sanzioni economiche e, in particolari casi, anche penali.

Come proteggere il proprio sito web

Fortunatamente è possibile adottare delle contromisure per proteggersi dai tentativi di violazione. Ne abbiamo parlato con Riccardo Binaco, titolare di Digital Web Italia, agenzia di Roma specializzata nella realizzazione di siti web.

Ecco quindi quali sono le accortezze da mettere in campo per proteggersi dagli attacchi al proprio sito.

La Vulnerabilità dei CMS

Iniziamo con la premessa che ormai, quasi tutti i siti web esistenti vengono realizzati con i CMS, ovvero dei sistemi di gestione dei contenuti con cui è possibile creare un sito con conoscenze tecniche minime.

I CMS più famosi sono WordPress, Joomla, Drupal e Shopify, software open source accessibili gratuitamente a tutti. Ma spesso e volentieri anche le agenzie che realizzano siti internet, anche se non utilizzano nessuno di questi, hanno sviluppato un proprio CMS.

Tutti i CMS, essendo comunque (semplicisticamente parlando) realizzati con codici di programmazione, possono contenere una o più vulnerabilità che vengono di volta in volta “riparate” grazie alla folta community di sviluppatori che lavora su questi progetti.

Infine, i CMS utilizzano componenti aggiuntivi di vario genere, come ad esempio i plugin, per espandere le proprie funzionalità. Va da se che ogni componente aggiunto, costituisce a sua volta un ulteriore punto di accesso potenziale per gli hacker.

In questo scenario, vediamo come difenderci, mettendo in sicurezza i nostri siti.

1 Mantieni aggiornati software e plug-in

Ogni giorno innumerevoli siti vengono compromessi a causa dei loro software obsoleti e ogni giorno girano in rete software malevoli in cerca di un porticina da cui entrare.

Gli aggiornamenti dei software quindi sono vitali per la salute e la sicurezza del sito. Contrariamente il sito non è sicuro.

Gli aggiornamenti infatti spesso contengono miglioramenti della sicurezza e correzione delle vulnerabilità.

Più a lungo si aspetta a installare gli aggiornamenti, meno sicuro sarà il sito. Questi aggiornamenti dovrebbero diventare la priorità assoluta ed entrare a far parte della routine quotidiana, al pari della produzione di contenuti.

2 Adotta il protocollo HTTPS e un certificato SSL

Per proteggere il tuo sito web, serve che le trasmissioni di dati tra browser e server web, avvengano in un ambiente sicuro, specialmente se gli utenti possono inviare informazioni personali o effettuare pagamenti online.

Questa sicurezza si raggiunge adottando il protocollo https, che impedisce l’intercettazione dei dati in transito, in combinazione con l’utilizzo di un certificato SSL che si occupa di criptarli.

Ma non solo. Grazie alla certificazione SSL, browser e server riescono a comunicare tra loro in maniera univoca e sicura.

3 La password di accesso al sito

Ancora oggi, benché l’argomento sicurezza in rete sia di dominio comune, tantissime persone scelgono password che possono ricordare facilmente. Quindi password non complesse, facilmente ottenibili dai malintenzionati.

Invece si dovrebbe sempre creare una password complessa, difficile da ricordare, composta da lettere maiuscole e minuscole, numeri e caratteri alfanumerici.

Dopodiché non è consigliabile memorizzarla nel proprio browser. Utilizzate piuttosto un sistema di gestione delle password, disponibile negli abbonamenti dei migliori software antivirus. Se non volete adottare questa soluzione potreste anche segnarvela a parte (arrivo a dire anche su un pezzo di carta, ma mai sul browser).

Per proteggere il proprio accesso al sito, secondo me la cosa migliore che si può fare è aggiungere all’adozione di una password complessa, anche l’implementazione della funzione 2FA (two factor authentication).

Si tratta di creare un passaggio in più da fare in sede di accesso al backend, durante il quale su un dispositivo in nostro possesso viene creato un token di sicurezza da copiare nel campo apposito della schermata di login.

A oggi è facilissimo implementarla grazie ad App specifiche come ad esempio Google Authenticator.

4 L’importanza dell’Hosting

L’Hosting non è altro che il server che ospita l’installazione del sito. Essendo una parte fondamentale di ogni progetto web, meglio sceglierne uno che garantisca la sicurezza.

Affinché un hosting possa essere considerato sicuro, dovrebbe poter fornire protezione ai siti web, attraverso un buon firewall, il protocollo HTTPS, il certificato SSL e un sistema di trasmissione dei files via SFTP.

A questo si dovrebbe aggiungere anche uno scanner per individuare eventuali minacce costituite dai rootkit (software malevoli realizzati per ottenere l’accesso a un computer o a un server) e il servizio di backup, utile per ripristinare in pochi minuti il sito in caso di violazione e recuperare tutti i dati.

5 Modifica le impostazioni predefinite del CMS

Gli attacchi più comuni contro i siti web sono interamente automatizzati. Ciò in cui sperano gli autori degli attacchi, è che gli utenti abbiano lasciato le impostazioni predefinite del CMS utilizzato, perché ne conoscono già i punti deboli

Quindi, dopo aver scelto il CMS, bisognerebbe modificare immediatamente queste impostazioni, personalizzandole.

Di solito quelle da modificare sono relative al nome utente dell’amministratore (es. admin o administrator), alla url di accesso al backend del sito, alla possibilità di commentare inserendo codice malevolo, all’enumerazione degli utenti, al prefisso delle tabelle SQL e altro ancora.

Ultimo step, per i più esperti, impedire la possibilità di esecuzione dei files più importanti del CMS, impostandoli in “sola lettura”. Sono quei files attraverso i quali un eventuale attacco può causare danni irreparabili.

Conclusioni

Oggi è molto facile aprire un sito web, ma diventa molto complicato proteggersi dai tentativi di violazione della sicurezza. Per questo è importante mantenere i software con cui si realizza il sito sempre aggiornati e scegliere un web server che offra garanzie di protezione di livello elevato.

Meglio sarebbe affidarsi a una agenzia che sappia come mantenere sicuro un sito e che possa ripristinarlo in tempi rapidi. Se il proprio progetto non monetizza e quindi non si a la possibilità di farsi affiancare da un professionista, il consiglio è quello di studiare a fondo come funziona il proprio CMS e di aggiornarsi periodicamente sulle ultime tecniche e gli strumenti utilizzabili per la protezione.