Quante volte hai letto “sito non sicuro” sulla barra di navigazione del browser? Oppure quante volte hai letto su una normativa privacy di un negozio online “il sito trasferisce i dati in maniera sicura”? Ormai la parola “sicurezza” nell’ambito web è diventata una pedina fondamentale, soprattutto con l’avvento della Legge sul GDPR. Nonostante sia obbligatorio ormai, oltre che fondamentale, molte persone che si approcciano allo sviluppo di un’idea o di una professione sul web trascurano questo aspetto o non sanno esattamente come fare un sito sicuro. Rischiano così non solo di avere un danno al sito con conseguente dispendio di tempo e di soldi per ripristinare, ma in caso di furto di dati degli utenti anche in qualche sanzione.
Leggi anche GDPR: la legge riguarda anche i freelance?
La sicurezza di un sito web è uno step da considerare, insieme al Design del sito e al suo sviluppo. Per non parlare del posizionamento sui motori di ricerca: ormai Google è in grado di etichettare come “non sicuro” qualsiasi sito web che non abbia il certificato SSL. La penalizzazione del sito è la sua naturale conseguenza. E tu dirai: “Ma come fare un sito sicuro, come verificare tutto? Gli hacker sono dei geni dell’informatica!”. Beh, è vero che alla sicurezza informatica non c’è limite perché le tecnologie si rinnovano continuamente, però applicando alcune semplici azioni potrai rendere molto difficile il lavoro agli hacker e fare desistere la maggior parte di loro.
Come fare un sito sicuro: a che tipo di attacco può essere sottoposto il tuo sito web?
Come primo passo, voglio spiegarti alcuni termini sulle tipologie di attacco che si verificano maggiormente su un sito. Il sito può essere attaccato con:
- DoS : è un attacco nel quale il server sul quale risiede il tuo sito viene sottoposto a un invio costante e dispendioso di dati con lo scopo di saturarne le risorse e renderlo inutilizzabile agli utenti o agli amministratori. Di solito gli aggressori si servono di botnet, ovvero di dispositivi dei quali è stato preso possesso all’insaputa del proprietario tramite malware. Lo scopo è quello di utilizzarli come risorsa di attacco verso il sito da colpire.
- XSS Cross site Scripting: è un tipo di attacco molto diffuso, soprattutto negli ultimi tempi. Ci sono vari sottotipi di questa categoria, ma in generale il procedimento è simile. Si tratta di lanciare del codice malevolo (in genere Javascript) da un input utente o da un link cliccato da un email, al fine di eseguire uno script che carpisce dati sensibili da cookie o altri dati conservati lato client. Oppure viene usato per alterare la visualizzazione del sito.
- SQL Injection(Attacco al database): consiste nell’attaccare il database, in genere con codice SQL (il linguaggio più diffuso tra i sistemi database) tramite i form presenti sul sito che interagiscono col database stesso. Il fine? Eseguire istruzioni in grado di carpire informazioni dal database o addirittura di cancellarlo.
Come fare un sito sicuro: i controlli per verificarne lo stato di sicurezza
Quando vuoi verificare se il tuo sito è sicuro ci sono una serie di servizi online alcuni anche gratuiti che permettono di fare un check delle vulnerabilità. Il servizio non fa altro che simulare un attacco al fine di verificare i punti deboli del sito. Non sto qui ad elencare tutti i servizi perché il web ne è pieno. Basta che tu cerchi “website security check” e Google ti visualizza una serie di siti dove inserire il link del tuo sito e fare il controllo. Tuttavia mi sento di consigliarne due su tutti che sono molto affidabili e gratis:
- Sitecheck: Questo servizio fa un check di malware e codice malevolo all’interno del sito. Ovviamente premetto che questi sono servizi che comunicano la presenza o meno di malware o codice anomalo.
- Scanmyserver: Questo è un altro buon servizio che previa registrazione gratis fa la verifica del sito e manda un report via email. Per un solo sito è gratuito mentre se si ha necessità di verifica multisite, c’è il pagamento di una piccola somma.
Tuttavia, in caso di rilevamento di sito hackerato, a meno che tu non sia uno sviluppatore o un esperto di reti, è consigliabile rivolgersi ad un professionista. Comunicando l’esito del servizio, il professionista (anche freelance) in questione può risolvere le vulnerabilità e intraprendere anche delle azioni di prevenzione. I servizi online molte volte offrono anche di risolvere le problematiche, ovviamente dietro il pagamento di una quota.
Come fare un sito sicuro: 7 strumenti e azioni “salva vita”
Come ti ho appena spiegato, il controllo tramite tool di verifica della sicurezza del sito è importante, ma la cosa più efficace per avere il tuo sito protetto e al sicuro il più possibile è attuare una serie di buone pratiche o applicazione di strumenti atti sia a rendere il sito sicuro e a essere in grado di ripristinarlo in caso di attacco. Di seguito ti elenco le azioni fondamentali in ordine di complessità. Iniziamo dalle più immediate fino ad alcune azioni che richiedono qualche nozione di informatica in più:
- Utilizzare password complesse: questa credo sia l’azione più facile da fare e comunque ricopre un ruolo fondamentale. Alcuni hacker lanciano dei software o script che eseguono a ripetizione il check della password con una lista di password contenute in un file. Quindi se la password è molto complessa, l’algoritmo può richiedere un lasso di tempo veramente grande che potrebbe portarlo a stoppare lo script oppure non riuscire a scovarla perché la sua lista non la contiene
- Non utilizzare nomi standard per gli utenti admin: sia che abbiate una applicazione fatta da zero sia che usiate un framework o CMS molte volte viene creato un utente amministratore con nomi standard, come admin o administrator. Uno dei primi controlli che il malintenzionato farà sarà proprio cercare tra questi nomi.
- Abbassare il livello di accesso del primo utente del database: quando viene impostato il sito, quasi sempre viene creato l’admin e ovviamente va nella prima posizione del database. È buona prassi quella di creare un ulteriore utente amministratore e poi abbassare il livello del primo utente ad uno con permessi minimi. Questo perché a volte l‘hacker fa una ricerca nel db per trovare utente e password del record con id 1 del database. Passare del tempo per entrare nel db, accedervi ma poi scoprire che con quell’utente non può fare nulla lo farà desistere.
- Utilizzare certificati SSL: ormai è diventato quasi obbligatorio viste le ultime leggi sulla protezione dei dati e la modifica dell’algoritmo di Google. Il certificato SSL permette lo scambio dei dati nelle pagine tramite sistema crittografato. Utilizza il protocollo https.
- Tenere i sistemi aggiornati: assicurati di avere sempre l’ultima versione del linguaggio di programmazione, il framework, il CMS, le librerie che utilizzi. La maggior parte degli aggiornamenti riguardano implementazione a falle di sicurezza, quindi è veramente importante.
- Creare il backup del sito: questa, anche se non è proprio un’azione di messa in sicurezza, è comunque un azione che ti salva dai danni economici e di visibilità. Esegui sempre un backup sia del sito che del database. In caso di violazione o di inutilizzabilità del sito, puoi sempre ripristinare la situazione. La frequenza decidila tu, a seconda di quanto spesso aggiorni il sito.
- Se sei un programmatore è indispensabile evitare, come già spiegato prima, la XSS e la Sql Injection: se stai creando un sito da zero documentati sugli strumenti disponibili nel linguaggio di programmazione usato che eseguono queste prassi Se usi dei framework o CMS assicurati che siano implementate le funzioni relative.
0 commenti