Sicurezza sul tuo sito web, facciamo chiarezza!

Quando si parla di sicurezza di un sito web tocchiamo un tema sempre molto delicato e controverso.

La sicurezza del sito web è un fattore critico per la protezione dei dati sensibili degli utenti e dei proprietari del sito. Seguire alcune semplici misure può proteggere il sito dalle minacce comuni. Con questo articolo cercherò di fare un po' di chiarezza nel tentativo di fornire una infarinatura generale e di sfatare alcuni miti e convinzioni comuni.

Molti infatti credono fermamente che per mantenere in sicurezza un progetto web basti installare un plugin di sicurezza tra quelli presenti nel repository di WordPress. Purtroppo i fatti sul campo ci dicono e confermano che non è così.

Un passo indietro

Prima di proseguire il nostro discorso è opportuno fare un piccolo passo indietro affinché possiamo fissare alcuni concetti fondamentali che ci aiutano ad inquadrare il contesto in cui ci troviamo quando mettiamo online un progetto web.

Ogni progetto web deve tenere in considerazione questi 4 punti fondamentali che ci proiettano in un grosso problema legato alla sicurezza e alla fragilità del web.

1. Importanza della sicurezza per i siti web: I siti web sono uno dei punti principali di accesso per i criminali informatici che cercano di accedere ai dati sensibili degli utenti. Pertanto, la sicurezza dei siti web è di importanza critica per garantire la protezione dei dati degli utenti e prevenire violazioni della privacy.
2. Statistiche sulle violazioni della sicurezza: Secondo uno studio del 2020, il 43% dei siti web sono stati violati almeno una volta. Inoltre, il 60% delle piccole imprese che hanno subito un attacco informatico non sono in grado di riprendere le loro attività.
3. Esempi di attacchi: Gli attacchi informatici più comuni ai siti web includono injection SQL, attacchi XSS (Cross-Site Scripting), attacchi di phishing e attacchi DDoS (Distributed Denial of Service).
4. Soluzioni per la sicurezza dei siti web: Per garantire la sicurezza dei siti web, è importante implementare una combinazione di soluzioni tecnologiche e di sicurezza, tra cui firewall, crittografia, autenticazione a più fattori e monitoraggio continuo delle minacce.

Perché un plugin da solo non risolve il problema?

Mi dispiace deluderti, ma quello che può fare un plugin di sicurezza è qualcosa di molto limitato. Spesso lo fa male, utilizzando risorse preziose del tuo server e di conseguenza portando anche dei cali di prestazione durante la fruizione dei contenuti del tuo sito web.

Quante volte capita di vedere progetti web bucati nonostante abbiano almeno un plugin di sicurezza installato? Ti assicuro che se ne vedono tanti, e già solo questo basterebbe per dimostrare che un plugin di sicurezza da solo non basta per rendere un sito web sicuro.

Quello che in genere la maggior parte di questi plugin di sicurezza fa, può essere svolto a monte a livello di hosting. Pensaci bene, che senso ha utilizzare un plugin che attiva una funzione di firewall se invece tale funzione può essere svolta a monte da un firewall vero e proprio che interviene magari prima del livello applicativo?

Ma allora che cosa posso fare?

Ci sono diversi accorgimenti che puoi fare per limitare alcuni comportamenti scorretti da parte di chi cerca di intrufolarsi nel tuo sito web e per avere una rapida risoluzione in caso di sito violato.

• Mantenere il software del sito web aggiornato

Mantenere il software del sito web, compresi i plugin e il CMS, è importante per garantire che siano protetti contro le vulnerabilità note. Gli sviluppatori rilasciano costantemente aggiornamenti per correggere queste vulnerabilità e proteggere il sito web. Assicurarsi di installare gli aggiornamenti appena diventano disponibili soprattutto quando questi correggano vulnerabilità note, per garantire la massima protezione possibile.

• Utilizzare una password forte e unica

Un altro importante passo per la sicurezza del sito web è utilizzare password forti e uniche per tutti gli account legati al sito. Una password debole, come "password123", può essere facilmente decifrata da un malintenzionato. Utilizzare una combinazione di lettere, numeri e simboli per creare una password unica che sia difficile da indovinare è un passaggio fondamentale per cercare di rendere la vita più dura a chi vuole ottenere l'accesso al tuo account.

• Utilizzare un certificato SSL

Un certificato SSL garantisce che le informazioni scambiate tra il sito web e gli utenti siano crittografate e protette da terze parti. Questo è particolarmente importante per i siti che raccolgono informazioni sensibili, come i dati bancari o transazioni di pagamenti online. Un certificato SSL è facilmente riconoscibile dall'icona del lucchetto verde nella barra degli indirizzi del browser e dall'utilizzo di "https" invece di "http".

• Utilizzare un firewall

Un firewall è una barriere software che protegge il sito web da attacchi esterni. Può impedire ai malintenzionati di accedere al sito o di rubare informazioni sensibili. È possibile configurare un firewall sia sul server (soluzione preferibile) che sul sito stesso per garantire una protezione completa.

• Eseguire regolarmente backup

Effettuare regolarmente i backup del sito web è importante per proteggere i dati e recuperare rapidamente il sito in caso di attacco o crash del server. I backup dovrebbero essere eseguiti regolarmente e conservati in un luogo sicuro fuori dal sito. Ci sono diversi hosting che includono piani di backup avanzati e offrono anche backup ridondati in caso di disaster recovery.

• Hosting

La scelta dell'Hosting gioca un ruolo fondamentale affinché ci siano tutti i requisiti per fare in modo da essere con le spalle coperte in caso di attacchi specifici come DDoS o Brute Force. Su SupportHost hai queste protezioni su tutti gli account.

Tutto chiaro, ma concretamente cosa posso fare per migliorare la sicurezza del mio sito web?

Ecco ora una piccola lista consigli pratici che ti aiuteranno a mantenere più sicuro il tuo sito web:

• Il primo consiglio che è la base per ogni recupero eventuale è, come abbiamo anticipato precedentemente, avere una strategia di backup, magari multipli ed incrementali dislocati su ambienti separati (Questo non c'entra direttamente con la sicurezza del sito, ma servirà come base per i punti successivi).
• Tieni un ambiente di staging: questo è infatti molto utile per verificare la tenuta del sito dopo aver fatto tutti gli aggiornamenti, ma è utile anche per testare periodicamente il funzionamento dei backup: un backup che non si ripristina non serve a nulla!
• Tenere costantemente aggiornati i componenti software del sito web come Core di WordPress, Tema e Plugins, soprattutto facendo particolare attenzione ai changelogs degli aggiornamenti: un aggiornamento per l'introduzione di un nuovo blocco da utilizzare nelle pagine del tuo tema ha una precedenza nettamente inferiore rispetto a quella di una vulnerabilità di un plugin che espone il sito ad un attacco xss. Quindi occhio ai changelogs e imparia a valutare la priorità degli aggiornamenti, effettuandoli se possibile sempre dopo aver eseguito un backup manuale.
• Se non utilizzi xmlrcp.php è buona norma tenerlo disattivato: da qui spesso cercano di intrufolarsi inviando richieste POST nel tentativo di conquistare accessi indesiderati.
• Disattiva, se il tuo hosting non lo fa automaticamente, il listing dei files nelle cartelle del server.
• Impedisci l'esecuzione di PHP nelle cartelle di uploads e media di WordPress.
• Valuta l'utilizzo di hosting che abbiano un occhio particolare ad aspetti di sicurezza offrendo protezione da attacchi DDoS, o che magari offrano una protezione della pagina di login dai bot che effettuano ogni giorno migliaia di attacchi a forza bruta ed un piano ulteriore di backup.
• Disattiva l'enumerazione degli utenti, e renderai più complicato all'attaccante trovare la login di accesso al sito web che è la metà del lavoro considerando che l'altra metà del lavoro è cercare di beccare la password di accesso per quell'account.
• Sembrerà assurdo, eppure ancora oggi succede: evita di usare password banali per il tuo account come "cucciolo80" o "amore-eterno" optando per una stringa complessa che non abbia un senso compiuto composta da lettere, numeri e caratteri speciali.
• Fai periodicamente una scansione con un buon antivirus ai dispositivi che usi per navigare sul web e tieni aggiornato il sistema e l'antivirus.
• Evita di utilizzare Plugins o Temi cosiddetti "nulled" che includono al loro interno una miriade di backdoor pronte ad fornire a malintenzionati le chiavi del tuo sito web. Il risparmio di una licenza non è nulla rispetto alla spesa di penalizzazione e di rimozione e pulizia dai malware che avrai sul tuo spazio hosting.

Ecco un piccolo regalo per te!

Questo piccolo e semplicissimo plugin potrebbe davvero salvare il tuo sito web. Sto parlando di KolorWeb Access Admin Notification: extreme rescue for unauthorized admin logins

Questo plugin nasce da un problema pratico che ho quotidianamente:

Ogni giorno ricevo tante email di tentativi di accesso ai siti che gestisco. Allora mi sono chiesto: “E se all’improvviso un tentativo tra i milioni di quelli eseguiti dovesse andare a buon fine, come potrei saperlo se non quando è già troppo tardi?”

Ho pensato quindi che l’unico modo per saperlo fosse tracciare gli accessi degli account amministratore dei siti che gestisco.

Insomma, una soluzione che potrebbe salvare la vita al tuo sito perché ti permette di prendere coscienza che sul sito c’è qualche backdoor che permette accessi non autorizzati.

Questo plugin infatti invia una notifica email per ogni accesso effettuato dagli amministratori del sito web. Quando viene eseguito un accesso da parte di un amministratore del sito, l’orario di accesso viene memorizzato e viene inviata una mail di notifica contenente i dettagli dell’account che si è connesso. Se l’accesso non è autorizzato, cliccando sui link presenti nella mail è possibile disconnettere l’account da tutti i dispositivi oppure disconnettere l’account da tutti i dispositivi che hanno effettuato l’accesso e contemporaneamente reimpostare la password di accesso per quell’account. In questo secondo caso viene inviata una nuova notifica contenente la nuova password.

Chiaramente anche questo plugin non ti permetterà di avere un sito web sicuro, ma di intervenire in maniera repentina in caso sia necessario, consentendoti di mettere eventualmente il sito in manutenzione e fare una analisi della situazione nonché di ripulire l'installazione WordPress prima che i malintenzionati di turno continuino ad operare indisturbati con le loro attività fraudolente.

Siamo giunti al termine ma non sai da dove iniziare?

Non ti spaventare! Se non sei un addetto ai lavori, molte delle cose che hai letto fino a qui, che sono tra l'altro solo una piccola infarinatura di tutto quello che c'è dietro la manutenzione di un sito web, possono sembrare aramaico antico. Se è così, il consiglio che posso darti è di affidare la gestione di questi aspetti ad un professionista che possa garantirti un grado di affidabilità sicuramente maggiore nella gestione di questi aspetti molto delicati e soprattutto ricordarti sempre che prevenire è di gran lunga meglio che curare e che nessun sito web potrà essere mai sicuro al 100% finché è accessibile in rete.

In conclusione, la sicurezza dei siti web è un argomento di importanza cruciale in un mondo sempre più digitale. Adottare misure preventive come quelle descritte in questo articolo aiuterà a proteggere il sito web e i dati sensibili degli utenti da eventuali minacce online.

Se non sai da dove iniziare, affidati ad un professionista che saprà aiutarti a gestire al meglio ogni aspetto del tuo progetto web.

Ogni giorno risolvo problematiche più o meno importanti e aiuto imprenditori e aziende a rendere il loro lavoro più leggero, creando applicazioni web che funzionano. Sono in grado di sviluppare Plugins per WordPress e Temi custom basati su layout forniti dai clienti o pensati da zero in relazione al progetto da realizzare.