Hai creato la pagina web della tua azienda e hai implementato tutti gli strumenti necessari per portarla al successo ma ti sei dimenticato di trattare un aspetto fondamentale: la sicurezza del tuo sito web.

Ogni anno decine, centinaia di siti sono vettori di attacchi hacker di ogni genere, causando migliaia di danni ai sistemi informatici aziendali di tutto il mondo. Un visitatore che arriva sul tuo sito, non adeguatamente protetto e viene infettato da un virus, può danneggiare la reputazione della tua azienda. Difficilmente lo stesso visitatore tornerà a farti visita.

Niente panico!

Fortunatamente puoi prevenire questi problemi adottando un sistema di protezione dei siti web, in grado di proteggere te e i tuoi visitors.

Cosa significa proteggere il sito web?

Proteggere una pagina web significa tenere lontani, in primis, tutti gli hacker e i virus che lo vogliono infettare. Un buon sistema di protezione delle pagine internet impedisce a qualsiasi malintenzionato di servirsi della tua reputazione per ingannare i visitatori che transitano sul tuo sito web.

L’insieme delle pratiche che migliorano la sicurezza dei siti web viene definita website security.

Ma parlando di cose serie,

Quali sono i pericoli che minacciano il mio sito web?

Approfondiamo le tipologie di attacco hacker alle pagine web , illustrando qualche metodo pratico fai da te per migliorare la sicurezza del proprio sito, e scoprendo i principali vantaggi di una website security perfezionata.

DDoS o Distributed Denial of Service

Questo genere di attacco hacker minaccia i tuoi server.

Immagina un esercito di computer zombie che “storditi” a loro volta da un virus attaccano contemporaneamente il tuo sito internet, bombardandolo di richieste. Le richieste di accesso si accumulano continuamente fino a quando il sistema, ormai saturo crolla.

Cross Site Scripting (o XSS in termini tecnici)

A solo sentire il nome di questo attacco ci tremano le gambe. L’XSS è uno degli attacchi più pericolosi e temuti dai proprietari di siti internet e consiste nell’inserire sulla pagina web vulnerabile dei pezzetti di codice malevolo, difficili da identificare persino per i servizi di sicurezza informatici più evoluti e in grado di deformare (anche graficamente) il sito web. Quando l’utente visita la pagina e intacca i pezzi di pagina web modificati malevolmente, l’hacker riuscirà a ottenere dati personali da rivendere sul Deep web.

Esistono degli attacchi XSS in grado di reindirizzare il visitatore del sito su un’altra pagina infetta.

La gravità legata a questo genere di attacco è che spesso le pagine colpite non se ne rendono conto se non sono adeguatamente protette da partner esperti in cyber security e l’utente finale viene colpito, senza pietà.

Utilizzare la crittografia per rendere più sicura la connessione

Un sito web è, in estrema sintesi, un insieme di dati conservati su un server per i quali è necessario adottare misure di sicurezza per website security. Ogni utente, per poter visualizzare correttamente un sito web, dovrà scaricare una certa quantità di dati temporanei. Allo stesso modo, l’utente stesso comunicherà – sempre attraverso pacchetti di dati – la sua presenza sul sito, lasciando traccia del suo passaggio. Tutti gli scambi di informazione, se non crittografati, possono facilmente essere intercettati ed utilizzati senza autorizzazione: questo pericolo deve assolutamente essere evitato, soprattutto nel momento in cui l’utente è invitato a rilasciare dati sensibili, magari per un pagamento.

Come si può evitare, allora, che i dati vengano rubati con facilità? Semplice: con la crittografia. Avrai notato, qualche volta, un lucchetto al di fianco della barra degli indirizzi: questo simbolo sta ad indicare che la connessione dati è crittografata e, per questo, è indecifrabile da terzi. I cosiddetti “certificati di sicurezza” SSL o TLS permettono a qualunque sito di offrire una connessione criptata sicura a tutti i propri clienti. Al momento, per gli e-commerce e per tutti i siti web che prevedono pagamenti online, il possesso di un certificato di sicurezza SSL è obbligatorio per legge.

Controllare il ruolo di contributors e utenti

Ogni CMS (content management system, ossia il software che permette di gestire i contenuti) prevede la possibilità di creare profili utente diversi, differenziati in base alle autorizzazioni concesse ad ogni singolo utente. Ad esempio, un “amministratore” avrà la possibilità di gestire tutti i contenuti presenti sul sito, eliminandoli, modificandoli o aggiungendone di nuovi, mentre un “sottoscrittore” (utente semplice) sarà in possesso di un profilo la cui unica autorizzazione sarà quella relativa alla pubblicazione di nuovi commenti, senza moderazione preventiva da parte del webmaster.

I profili utente sono tanti e vari e, in molti dei più diffusi CMS come WordPress, le autorizzazioni sono interamente personalizzabili. Proprio a causa delle grandi possibilità di personalizzazione delle autorizzazioni, controllare i vari profili può diventare difficile: uno dei metodi migliori per evitare problemi è impostare un unico profilo “sottoscrittore” come profilo base d’accesso, eliminando la possibilità di caricare file sul sito web anche nei commenti, e valutare in seguito caso per caso quali ulteriori autorizzazioni potranno essere assegnate. In questo modo, si potrà evitare di rendere il proprio sito un nido di malware, aumentando nel contempo la fiducia della propria utenza.

Utilizzo dei plugin di sicurezza

Il mercato dei plugin di sicurezza è in continua espansione: ne esistono ormai migliaia, con diverse funzionalità progettate a seconda delle diverse esigenze. Esistono molte soluzioni a costo zero che garantiscono un buon livello di protezione, offrendo filtri anti spam e un controllo base sui tentativi d’intromissione esterna. Ovviamente, questi plugin gratuiti non possono garantire una completa sicurezza, ma sono una valida soluzione per iniziare ad approcciarsi alla website security e capirne i meccanismi. Per una protezione completa, duratura ed affidabile, meglio rivolgersi a professionisti della website security, come Onorato Informatica: puoi richiedere una consulenza personalizzata compilando il nostro form di contatto!