Che tu abbia un blog, un e-commerce o un sito web di una piccola azienda non puoi assolutamente permetterti il lusso di risparmiare sulla sicurezza.
Avere un sito sicuro è, infatti, la prerogativa che ci si deve porre sia in fase di sviluppo che in fase di messa online di un sito web.
Perchè un sito viene violato?
Ogni giorno vengono “bucati” una moltitudine di siti web per i motivi più disparati:
- phishing;
- spam;
- rivendita di dati riservati;
- furto di dati (dati sensibili, credenziali d’accesso, carte di credito, ecc.)
- diffusione di malware
Prendiamo, ad esempio, l’ultimo caso: un sito non aggiornato da tempo, ma anche un sito non aggiornato per tempo. Un malintenzionato scopre una vulnerabilità (utilizzando uno dei tanti strumenti gratuiti disponibili online) e la sfrutta per caricare un Malware. Dopodichè utilizzerà il programma malevolo per compiere, magari, alcune truffe ai danni di utenti ignari i quali, fidandosi del sito che “ospita” il virus, cadranno più facilmente nella trappola messa in atto.
L’unico responsabile sarà, quindi, il proprietario del sito il quale, oltre a dimostrare di essere estraneo ai fatti, dovrà fornire alla Polizia Postale gli eventuali log lasciati dal criminale informatico.
Come fare ad avere un sito sicuro?
Per avere un sito sicuro bastano pochi accorgimenti:
Mantenere il sito aggiornato
I problemi di vulnerabilità dei siti spessono sono causati dalla presenza di bug nel software con cui vengono costruiti. Se, ad esempio, viene utilizzato un CMS (Content Management System) come WordPress, Joomla, Drupal, ecc. occorre avere installata sempre l’ultima versione del CMS e delle relative estensioni (temi, plugin, componenti, moduli, ecc.). Nel caso delle estensioni è altresì importante installare solo quelle che vengono mantenute aggiornate frequentemente poichè un’estensione che non viene aggiornata da tempo è sinonimo di potenzionale vulnerabilità. Insomma, è un po come lasciare la chiave di casa sotto al tappeto.
Nel caso in cui un sito web venga creato utilizzando codice proprietario (senza l’utilizzo di CMS o framework) è bene seguire le linee guide di OWASP.
Utilizzare un certificato SSL
Per proteggere lo scambio dei dati su un sito web occorre installare ed attivare un certificato SSL (per intenderci, è quel lucchetto verde che appare insieme alla dicitura https), dove SSL è l’acronimo di Secure Socket Layer. In altre parole si occupa di cifrare il trasferimento dei dati che vanno da e verso un sito web in modo da garantirne l’integrità e la riservatezza evitando, quindi, che le informazioni possano essere carpite da malintenzionati soprattutto nel caso di informazioni sensibili come password o numeri di carte di credito.
Effettuare regolarmente backup del sito
Un criminale, una volta entrato in possesso di un sito, potrebbe non limitarsi soltanto a trafugare dati e tentare a sovrascrive o cancellare interi database o parte di essi per inserire contenuti creati ad hoc o semplicemente per confondere le proprie tracce. I contenuti importanti andrebbero, quindi, salvati con frequenza giornaliera o al massimo settimanale. Tali backup vanno mantenuti in un luogo sicuro, meglio se in copia offline.
Utilizzare password complesse
Suona ormai banale leggerlo o sentirselo dire, eppure è una delle cause più frequenti con cui avvengono le violazioni. Password come “123456”, “admin”, “password” restano ancora in cima alla classifica delle parole chiave più usate dagli utenti. Nel caso in cui vengano utilizzati dei CMS è bene, quindi, avere l’accortezza di non usare, come utenza amministrativa, il nome proposto dal sistema e di scegliere una password robusta evitando parole semplici e preferendo, invece, password prive di senso compiuto.