Sicurezza siti web

La sicurezza di un sito internet

La sicurezza di un sito internet.
Sicurezza siti web Designed by Freepik

Quando si affronta l’argomento  della realizzazione siti web, raramente si parla di sicurezza. Non si fa mai un accenno a implementare sistemi di sicurezza a protezione del sito del cliente.

Computeria invece da un’importanza talmente rilevante nella sicurezza dei siti che nella trascrizione del preventivo tiene conto anche di come mettere al sicuro il web site del cliente.

Quando vengono realizzati siti, le internet agency scelgono un CMS (Content management system In informatica un content management system, in acronimo CMS, sistema di gestione dei contenuti in italiano, è uno strumento software, installato su un server web, il cui compito è facilitare la gestione dei contenuti di siti web, svincolando il webmaster da conoscenze tecniche specifiche di programmazione Web: fonte wikipedia) per creare il sito. Uno dei motivi per cui noi scegliamo dei Content Management System è per la sicurezza del sito stesso.

Gli sviluppatori di queste piattaforme tendono a migliorare sempre le funzionalità del CMS e soprattutto correggono i bug che possono minare la sicurezza. Inoltre, quando in una piattaforma web si installano dei componenti aggiuntivi (per WordPress si chiamano plugin), gli stessi sviluppatori, correggono i bug che interessano i componenti aggiuntivi mettendo a disposizione della community questi aggiornamenti.

I siti internet nel passato

Fino a pochi anni fa i siti erano poco più di una brochure elettronica. Erano costituiti da poche pagine statiche le quali presentavano l’azienda, i servizi e prodotti che offrivano, l’indirizzo fisico dell’attività e poco altro.

I siti web oggi

Oggi invece, i siti sono diventati molto più complessi perché devono fare molto più cose rispetto a prima. Sono diventati delle vere e proprie applicazioni web (o web application). I clienti hanno tante esigenze e vogliono tante funzionalità. Inevitabilmente le piattaforme web sono diventate meno sicure. In più c’è da dire che spesso, un sito viene hackerato per incuria di chi lo gestisce.

Come opera Computeria riguardo la sicurezza:

Quando il sito del cliente va online, gli consegniamo un vademecum sui comportamenti da avere nella gestione del sito:

Le password:

  • Utilizzo di password complesse;
  • Utilizzo di password senza senso compiuto;
  • Utilizzo di password composte da caratteri maiuscoli e minuscoli;
  • Utilizzo di password che contengono segni di punteggiatura;
  • Utilizzare sempre password diverse;
  • Evitare password composte da date di nascita proprie, di figli o mogli;
  • Evitare la classica password “qwerty”;
  • Evitare la classica password “password”;
  • Evitare di scrivere username e password sul computer (molti le salvano sul desktop)
  • Evitare di lasciare username e password in giro per l’ufficio scritte su biglietti di carta;
  • Cambio della password almeno ogni sei mesi;
  • Evitare di usare come username le seguenti parole: Admin – Administrator – Amministratore, ecc.
    Sicurezza di un sito web
    Mettere al sicuro il tuo sito – Designed by Freepik

Se proprio non si riesce a ricordare la password un metodo infallibile è il seguente: formare la password da due parti. La prima parte deve essere mnemonica e non deve essere trascritta da nessuna parte, composta da un insieme di caratteri senza senso ma che venga ricordata con facilità.

La seconda parte può anche essere trascritta su carta (possibilmente no). Se viene scoperta la seconda parte, il maleintenzionato non conoscendo la prima parte, non potrebbe mai ricostruire la password completa.

Esempio: la prima parte, quella mnemonica potrebbe essere (76);** e la seconda parte 2017plAQ quindi la password completa sarebbe (76);**2017plAQ. Oggettivamente difficile da scoprire anche con un attacco cosiddetto “brute force”

Un altro aspetto da tenere in considerazione è che quando l’amministratore del sito deve creare un nuovo utente per amministrare la piattaforma o per aggiornare i contnuti del sito stesso, possibilmente non dargli mai i permessi di amministratore. Sempre per motivi di sicurezza, non renderlo “amministratore”.

Aggiornamenti sito:

Computeria consiglia di aggiornare sempre la piattaforma web. Cosi come esistono gli aggiornamenti per il sistema operativo o di un applicativo, anche per i siti web esistono gli aggiornamenti. I quali correggono e risolvono molti problemi di sicurezza che una piattaforma CMS è afflitta. Tali attività naturalmente le possiamo fare noi.

Uno dei vantaggi di utilizzare un CMS è proprio la possibilità di avere sempre aggiornamenti che risolvono problemi di funzionalità e soprattutto risolvono i bug di sicurezza e rendono i siti più sicuri.

Lo stesso dicasi per il motore grafico del sito e per i plugin stessi. Bisogna installare sempre plugin che hanno già tante installazioni attive, verificare che il supporto tecnico del plugin sia sempre operativo e che rendano disponibili gli aggiornamenti.

Dove possibile, evitare di installare componenti aggiuntivi che spesso sono inutili e che possono mettere a repentaglio le funzionalità del sito, la sicurezza e la velocita del sito stesso.

Controllare la sicurezza di un sito internet
Verificare sicurezza siti internet – Designed by Freepik

Copie di backup

Tra le attività che consigliamo fortemente è quella di effettuare una copia di backup del sito e quindi la copia di sicurezza di tutte le cartelle, files e immagini che costituiscono l’applicazione. Ovviamente oltre a fare il backup del sito, va effettuata anche il backup del database su cui si appoggia il sito stesso.

Se inavvertitamente viene cancellato il database o peggio hackerato, senza esso, il sito non funzionerebbe più. Ci sono servizi a pagamento o compresi nel prezzo del provider i quali offrono servizi automatici di backup del sito e del database.

E’ possibile anche effettuare automaticamente tali copie su servizi di cloud come Dropbox e OneDrive di Microsoft. Io consiglio oltre a questi servizi di avere sempre una copia fisica sul computer del sito e del database. (possibilmente la stessa copia andrebbe custodita su di una unità di backup scollegata dal computer stesso).

Sicurezza attiva

Ci sono software online, software da implementare sul sito stesso che effettuano la verifica sulla sicurezza.

Non per ultimo, esistono software che proteggono e rendono il sito web sicuro. Gli stessi software hanno integrato firewall che proteggono il sito. Policy di sicurezza che sono in grado di capire se un hacker sta attaccando una determinata pagina, e da che indirizzo IP proviene l’attacco.

Possibilità di disabilitare automaticamente il login se un maleintenzionato tenta più volte di effettuare il login. Alcuni software di sicurezza  hanno implementato uno scanner che in tempo reale, scandendo il sito, capiscono e segnalano se un maleintenzionato sta iniettando codice dannoso o peggio ha inserito malware danneggiando il sito.

Naturalmente questi software di sicurezza poi comunicano tramite email i report di quello che succede sul sito. Ci sono soluzioni per tutto, sia gratis che a pagamento che solo una web agency valida è in grado di implementare.

Quindi ricapitolando le policy per rendere sicuro il sito web:

  • Gestione delle password;
  • Gestione dell’username;
  • Gestione dei permessi sul profilo utente;
  • Aggiornamento della piattaforma CMS, dei vari plugin e del motore grafico;
  • Utilizzo di strumenti attivi che effettuano test di vulnerabilità;
  • Utilizzo di strumenti che proteggono il sito;
  • Backup completi dell’applicazione web (magari ogni 15-30 giorni) ma dipende dai contenuti con quale frequenza cambiano;
  • Backup del database.

Un ulteriore servizio che offriamo è quello di formare il cliente o dei suoi addetti alla manutenzione del sito stesso, istruendolo sui vari aspetti riguardanti la sicurezza e come renderlo sicuro. Seguendo tutte insieme queste policy, nessuna esclusa, difficilmente un sito potrà essere hackerato e se anche lo fosse, con la copia di sicurezza fatta, nel giro di qualche ora il sito verrebbe ripristinato.

Tutte queste attività inerenti la sicurezza del sito, le possiamo svolgere noi di Computeria. Per chiedere ulteriori informazioni, basta compilare il seguente modulo di contatto.