Sito non sicuro o hackerato? Ecco le best practice della sicurezza online

Sito hackerato, attacco DDoS, attacco malware, sempre più spesso ci troviamo di fronte a casi di siti hackerati per i quali è stato eseguito male, o per niente, il lavoro di messa in sicurezza sito web. 

Le statistiche parlano chiaro: il numero di attacchi da parte dei cyber criminali è in forte  crescita, aumenta la percentuale di siti “bucati” (come si dice in gergo) anche di piccolissime imprese e l’entità di queste azioni è sempre più grave. 

Per questo, oggi più che mai, ottemperare almeno alle precauzioni minime di sicurezza web è un passaggio necessario per chiunque gestisca un sito, dai blog personali ai grandi e-commerce. Al contrario, le conseguenze di un sito non sicuro vanno dalla interruzione delle attività, alla messa in pericolo di dati aziendali e dei clienti, con una conseguente perdita economica e di reputazione che può incidere sulle sorti dell’impresa.

Ma quali sono le best practice di sicurezza sito web? Ecco un excursus rapido delle principali azioni da implementare per prevenire gli attacchi informatici.

WordPress è sicuramente uno dei CMS più utilizzati per la realizzazione di siti web anche per la sue garanzie di sicurezza. Il rovescio della medaglia, però, è che vista la sua popolarità, gli hacker conoscono bene l’ambiente e sanno sfruttarne le vulnerabilità.

Per questo è bene aggiornare con frequenza il CMS alle ultime versioni che, nella maggior parte dei casi, hanno già patch di sicurezza che correggono eventuali falle.

Nel caso specifico di WordPress, dalla versione 5.5 in poi è prevista la funzione degli aggiornamenti automatici. Se il tuo sito “gira” su una versione più obsoleta è necessario aggiornarla, in caso contrario puoi verificare che sia sempre tutto in regola dalla sezione “Wordpress Updates”.

Attenzione: l’aggiornamento all’ultima versione di WordPress può comportare la perdita di alcune funzionalità del sito, laddove non siano compatibili, per questo prima dell’aggiornamento è bene eseguire un backup.

Al CMS si lega la questione del tema e dei plugin. Nella maggior parte dei casi i siti sono realizzati partendo da un template grafico realizzato per il CMS (il tema) e aggiungendo all’installazione base delle estensioni che migliorano funzionalità specifiche (i plugin). 

Anche questi elementi possono essere la porta d’ingresso di un attacco malware, quindi è bene tenerli sotto controllo, eseguendo sempre gli aggiornamenti ed eliminando eventuali plugin o temi non utilizzati o inattivi che servono solo ad appesantire la struttura e renderla più fragile.

Può sembrare banale, ma una delle best practice di sicurezza online più facile da implementare e allo stesso tempo più trascurata è proprio la scelta e l’aggiornamento delle password. Questo non vale solo per chi gestisce siti web, ma anche per i social, per la webmail sicurezza e per ogni asset protetto da una barriera di accesso.

Per proteggere il tuo sito, utilizza password complesse e uniche, che combinano lettere maiuscole e minuscole, numeri e simboli. Non utilizzare mai la stessa password per più account e abbi l’accortezza di cambiarla regolarmente.

Utilizzare come nome utente “admin” e come password “password” renderà la vita fin troppo semplice agli hacker sito e complicherà la tua.

Un ulteriore livello di sicurezza legato al login è l’autenticazione a due fattori (2FA). In pratica, oltre a username e password, per accedere al CMS sarà necessario inserire un codice univoco inviato via SMS, email o tramite un app di autenticazione (come Google Authenticator). Questo codice cambierà di volta in volta, rendendo l’accesso molto più complesso per gli hacker.

Di base WordPress non permette l’autenticazione a due fattori, ma con un plugin di sicurezza (es. Wordfence) puoi aggirare il problema.

Oltre al CMS, al tema e ai plugin, l’attacco al tuo sito può arrivare dall’hosting, ossia il server che ospita l’installazione del tuo sito. 

Quando il server è condiviso da più siti (il caso più comune), può accadere che se uno di questi viene infettato da un attacco malware, l’infezione si estende a tutti i siti ospitati su quel server.

Per questo scegliere un hosting scadente solo guardando al prezzo non è sempre una buona idea, meglio affidarsi ad un partner che investe seriamente sulla sicurezza web.

Proteggere un sito con un certificato SSL (Secure Sockets Layer) è ormai uno standard diffuso. Questo certificato viene utilizzato per proteggere le comunicazioni tra un sito web e i suoi utenti, crittografando i dati affinché non possano essere manipolati da terzi.

Quando il certificato SSL non è stato implementato o è scaduto può succedere che i browser (es. Google Chrome) blocchino l’accesso al sito da parte dei visitatori oppure che il “famoso” lucchetto posto in alto a sinistra del browser, accanto alla barra degli indirizzi, sia barrato o rosso a segnalare il “sito non sicuro”.

Questo è il segnale che bisogna intervenire subito aggiornando l’SSL, sia per evitare disservizi verso i tuoi utenti, sia per una questione di sicurezza online. 

Cliccando sul lucchetto puoi ottenere le informazioni relative all’aggiornamento o alla data di scadenza del certificato.

Altro elemento essenziale di sicurezza sito web sono le Web Application Firewall. Si tratta di una barriera che analizza il traffico di rete in entrata e in uscita, filtrando i pacchetti di dati in base a regole predefinite. 

In pratica, il firewall antimalware controlla e regola il flusso di traffico di rete, autorizzando solo il traffico che rispetta le regole di sicurezza e bloccando IP potenzialmente identificati come attacco malware o attacco DDoS prima che infettino il server, prevenendo anche lo SPAM aggressivo e i tentativi di phishing.

Ci sono diversi fornitori che offrono questo servizio, tra i migliori sicuramente sono quelli in abbonamento basati sul cloud.

Cliccando sul lucchetto puoi ottenere le informazioni relative all’aggiornamento o alla data di scadenza del certificato.

La prevenzione deve accompagnarsi necessariamente anche ad un monitoraggio costante delle funzionalità del sito.

Diversi sono i segnali che possono indicare un attacco e che richiedono l’intervento per rimuovere malware o DDoS, solo per fare alcuni esempi:

• Inserimento di contenuti e Link SPAM
  un esempio diffuso è il cosiddetto japanese keyword hack (o japanese hack) con cui gli hacker riempiono a tua insaputa diverse pagine del sito con testi, link e directory in lingua straniera (in genere cinese o giapponese).
• Modifiche alle impostazioni del sito
  come la comparsa di un nuovo utente non aggiunto da te
• Installazione di nuovi temi o plugin o modifica ai file di quelli installati.

L’obiettivo di sicurezza sito web dev’essere quello di individuare per tempo queste attività “sospette”, solo per usare un eufemismo, perché intervenire tardi per rimuovere malware di questo genere può essere disastroso.

Anche per effettuare un monitoring approfondito e in tempo reale esistono diversi strumenti di sicurezza web semplici da usare, dai plugin più popolari come All in One WP Security & Firewall, fino a strumenti utilizzabili online senza dover effettuare installazioni, come Sucuri SiteCheck. 

In definitiva, la sicurezza sito web è un tema quanto mai centrale e da prendere sul serio. I danni provocati da un attacco malware o da un attacco DDoS possono essere potenzialmente irreparabili.

Il punto di partenza per essere più protetti è affidare la realizzazione dell’e-commerce, della landing page o di un sito web in generale a sviluppatori professionisti che possono guidarti nella scelta degli strumenti giusti per prevenire, o nel caso rimediare, alla spiacevole esperienza del sito hackerato.

In Noviia Web Agency Roma abbiamo la competenza e l’esperienza per lasciare gli imprenditori tranquilli di concentrarsi sul loro core business e creare asset di marketing digitale sicuri e protetti.

Contatta Noviia Web Agency Roma.