“Il mio sito è stato hackerato“, di solito scritto in maiuscolo e seguito da un numero variabile di punti esclamativi, è il tipo di oggetto del messaggio che compare all’improvviso su un forum o che si può ricevere via mail da un vecchio cliente che non si faceva più sentire da tempo. Se il tuo sito o spazio Web vengono compromessi, le conseguenze possono essere molteplici: spesso molto gravi, talvolta meno. Anche nello scenario migliore, puoi rischiare di perdere il lavoro svolto se non possiedi una copia recente di backup, il tuo provider hosting potrebbe sospendere il tuo account e potresti dover pagare i costi di bonifica o chiedere l’intervento di un professionista. In questo articolo di parleremo come costruire un sito Web sicuro, partendo da facili (ed efficaci) consigli fai da te.

Costruire un sito Web sicuro prima che sia troppo tardi: metti al riparo la tua autorevolezza e i tuoi dati sensibili

La sicurezza di un sito Web, del tuo sito Web, è come hai ben capito una priorità assoluta. Non solo per i fastidi e i costi che derivano da un eventuale attacco hacker. Anche per le conseguenze indirette e spesso incalcolabili circa la lesione dell’immagine e dell’autorevolezza che la realtà del sito rappresenta e per le eventuali perdite di dati sensibili, informazioni e documenti importanti, eventuali beni digitali (software, file, etc…) custoditi sul tuo spazio Web. Spesso, basta pensarci prima e mettere in atto almeno qualche semplice precauzione.

Senza entrare nei dettagli tecnici, illustreremo una serie di comportamenti e buone pratiche, da mettere in atto, appunto, prima che sia troppo tardi. Prima di tutto è bene sapere che non esiste una soluzione definitiva per il problema: ogni tecnologia, evolvendosi, allo stesso tempo corregge e svela errori della tecnologia precedente. Per prima cosa, quindi, cercheremo di guardare più da vicino il fenomeno.

 

Costruire un sito Web sicuro al riparo da hacker e robot: cosa devi sapere prima di agire

Oggigiorno, la modalità di attacco più diffusa è quella affidata ai robot: programmi realizzati in modo da cercare nel Web i siti che presentano determinate e conosciute vulnerabilità, spesso con l’intento di acquisire l’accesso a tutte le risorse del server che possono essere svelate. Sebbene dietro questi programmi vi siano persone e organizzazioni, possiamo distinguerli da un altro genere di nemici: i cracker (solitamente chiamati hacker) che studiano invece obiettivi specifici e agiscono in modo più mirato. Vi possono essere molte ragioni dietro tanto impegno nel compromettere il tuo sito Web, solitamente dettate da motivazioni economiche, politiche o persino ludiche e educative.

 

#1 Impara i punti deboli del tuo sito

Prima di tutto occorre capire dove possono risiedere i punti deboli che espongono il sito a questi rischi:

• Un form non protetto
• Una gallery
• Un modulo o plugin attivato sul sito
• Un incauto stile di formattazione inserito nel HTML da editor

Sono tutte cose che possono nascondere insidie in grado di compromettere la sicurezza del sito. Se il tuo sito è realizzato in un qualche linguaggio di programmazione (sia esso PHP, Python, Ruby on Rails, etc…), è possibile che vi siano dei bug o delle configurazioni tali da poter essere sfruttate e dare accesso a informazioni importanti o al controllo del software stesso. È quindi importante seguire la documentazione del proprio software per le giuste configurazioni di sicurezza.

 

#2 Attenzione all’hosting: non scegliere il più economico in assoluto

Un altro punto debole può risiedere invece sul tuo hosting. È facile diventare bersagli incolpevoli se ad esempio il cracker ha il controllo della macchina che ospita, oltre al tuo, altri siti Web, fra i quali ve ne è almeno uno compromesso. Questo scenario può realizzarsi soprattutto nel caso degli economici shared hosting, ovvero spazi hosting condivisi che hanno costi più bassi rispetto alle soluzioni in house o VPS, le quali richiedono tuttavia ulteriori accorgimenti, come vedremo in seguito.

 

#3 Non sottovalutare l’errore umano

Infine, non va sottovalutato l’errore umano: c’è un vecchio motto hacker che recita più o meno “Se non riesci a rubare una password, chiedila”. Ricade nel caso di quella che viene chiamata Ingegneria Sociale. Fai sempre attenzione al mittente e al contenuto di e-mail inaspettate che ti arrivano da sconosciuti (e talvolta anche da rispettabili e inconsapevoli conoscenti), siano esse gentili o ricattatorie. Non cliccare ingenuamente sui link e gli allegati. Non farti prendere dal panico: se hai pagato il tuo fornitore di servizi Web, nessuno può sospenderti il dominio o chiudere la casella di posta. Usa sempre password robuste e diverse per tutti gli account che utilizzi.

Leggi anche Come fare un sito sicuro, 7 azioni salva vita

Costruire un sito Web sicuro: ecco i 3 consigli fai da te da applicare subito

Tenuto a mente che il pericolo può arrivare da diversi fronti, vediamo cosa è possibile fare per difendersi o per limitare al più possibile i danni.

 

#1 Fai il backup. Adesso.

Il primo strumento a disposizione è uno strumento di difesa passiva, il cui mantra recita: backup, backup, backup. È sempre importante salvare periodicamente una copia dei tuoi file e/o del database in un luogo sicuro, dove per “luogo sicuro” si intende uno spazio esterno al tuo spazio Web. Può essere su cloud o su dispositivo locale (Hard Drive, chiavette USB, PC, etc…). Meglio ancora avere una copia sia online che offline. Per ottimizzare le risorse, decidi la frequenza di backup in base alla tue esigenze: esistono diversi strumenti che possono automatizzare le operazioni più importanti, garantendoti ad esempio backup giornalieri.  Molti provider hosting forniscono un servizio di backup, ma diffida dei backup salvati sullo stesso spazio del tuo sito Web.

 

#2 Affianca più strumenti per contrastare lo spam

Lo spam sembra solo un fastidio, ma può costituire anche un rischio: link malevoli potrebbero nascondere tentativi di attacco “XSS”.  Esistono ormai affidabili sistemi di verifica contro i robot, come Captcha o reCaptcha, basati sul decifrare immagini o caratteri alfanumerici o svolgere semplici operazioni, ma hanno tuttavia problemi di accessibilità e usabilità e non sono molto amati dagli utenti. Il consiglio è di affiancare più strumenti: esistono metodi basati su “honeypot”, che funzionano come esca o trappola per riconoscere e bloccare lo spam, così come sono utili i database che raccolgono indirizzi Web malevoli, sistemi a doppia autenticazione e il blocco di specifici indirizzi IP tramite configurazione dell’hosting.

 

Leggi anche Captcha, il filtro che protegge il tuo sito dallo spam

 

Sempre a proposito di hosting, è importante che anche il software del tuo spazio server sia sempre aggiornato e ben difeso con strumenti antivirus e antispam. Quindi se disponi di soluzioni VPS e dedicate, è comunque bene affidarti a un amministratore di sistema (se il servizio non è già fornito dal provider) per garantire un ambiente sicuro dove ospitare il tuo sito Web.

 

#3 Non sottovalutare mai gli aggiornamenti: possono salvare il tuo sito!

Il protocollo HTTPS (con SSL) è importante, ma non sarà sufficiente a rendere sicuro il tuo sito. HTTPS si preoccupa principalmente della sicurezza della connessione tra il sito (e/o gli elementi del sito) e l’agente, ovvero il visitatore o utente, affinché le informazioni scambiate tra l’utente e il sito non vengano sottratte da malintenzionati. Non ti aiuterà invece per eventuali perdite di dati dovute a un software vecchio e non aggiornato. Il tuo professionista di fiducia, anche freelance, può anche aiutarti a configurare il software del sito per evitare attacchi “HTTP HOST Header”.

Troppo spesso sottovalutato e troppo spesso considerato un costo da tagliare, è il continuo e periodico aggiornamento del software. Purtroppo molti clienti hanno difficoltà a rendersi conto del valore di un lavoro che è difficile loro mostrare. Non esiste una tecnologia “sicura una volta per tutte”. L’aggiornamento del codice o del database:

• risolve malfunzionamenti
• aggiunge funzionalità
• risolve eventuali problemi di sicurezza: una vulnerabilità non esiste solo finché non viene scoperta.

I siti Web realizzati con tecnologie moderne sono molto più sicuri dei siti sviluppati ormai molti anni fa e abbandonati a loro stessi (e sul Web sono ancora molti), ma saranno meno sicuri dei siti di domani. Non ci sono scuse per risparmiare sulla sicurezza: i costi per proteggere il sito da eventuali rischi sono di gran lunga più contenuti rispetto ai danni che potrebbero conseguire da incuria e mancata manutenzione.

 

Guest post a cura di Alberto Cascione