Quando si parla di sicurezza di un sito web tocchiamo un tema sempre molto delicato e controverso.
La sicurezza del sito web è un fattore critico per la protezione dei dati sensibili degli utenti e dei proprietari del sito. Seguire alcune semplici misure può proteggere il sito dalle minacce comuni. Con questo articolo cercherò di fare un po' di chiarezza nel tentativo di fornire una infarinatura generale e di sfatare alcuni miti e convinzioni comuni.
Molti infatti credono fermamente che per mantenere in sicurezza un progetto web basti installare un plugin di sicurezza tra quelli presenti nel repository di WordPress. Purtroppo i fatti sul campo ci dicono e confermano che non è così.
Prima di proseguire il nostro discorso è opportuno fare un piccolo passo indietro affinché possiamo fissare alcuni concetti fondamentali che ci aiutano ad inquadrare il contesto in cui ci troviamo quando mettiamo online un progetto web.
Ogni progetto web deve tenere in considerazione questi 4 punti fondamentali che ci proiettano in un grosso problema legato alla sicurezza e alla fragilità del web.
Mi dispiace deluderti, ma quello che può fare un plugin di sicurezza è qualcosa di molto limitato. Spesso lo fa male, utilizzando risorse preziose del tuo server e di conseguenza portando anche dei cali di prestazione durante la fruizione dei contenuti del tuo sito web.
Quante volte capita di vedere progetti web bucati nonostante abbiano almeno un plugin di sicurezza installato? Ti assicuro che se ne vedono tanti, e già solo questo basterebbe per dimostrare che un plugin di sicurezza da solo non basta per rendere un sito web sicuro.
Quello che in genere la maggior parte di questi plugin di sicurezza fa, può essere svolto a monte a livello di hosting. Pensaci bene, che senso ha utilizzare un plugin che attiva una funzione di firewall se invece tale funzione può essere svolta a monte da un firewall vero e proprio che interviene magari prima del livello applicativo?
Ci sono diversi accorgimenti che puoi fare per limitare alcuni comportamenti scorretti da parte di chi cerca di intrufolarsi nel tuo sito web e per avere una rapida risoluzione in caso di sito violato.
Mantenere il software del sito web, compresi i plugin e il CMS, è importante per garantire che siano protetti contro le vulnerabilità note. Gli sviluppatori rilasciano costantemente aggiornamenti per correggere queste vulnerabilità e proteggere il sito web. Assicurarsi di installare gli aggiornamenti appena diventano disponibili soprattutto quando questi correggano vulnerabilità note, per garantire la massima protezione possibile.
Un altro importante passo per la sicurezza del sito web è utilizzare password forti e uniche per tutti gli account legati al sito. Una password debole, come "password123", può essere facilmente decifrata da un malintenzionato. Utilizzare una combinazione di lettere, numeri e simboli per creare una password unica che sia difficile da indovinare è un passaggio fondamentale per cercare di rendere la vita più dura a chi vuole ottenere l'accesso al tuo account.
Un certificato SSL garantisce che le informazioni scambiate tra il sito web e gli utenti siano crittografate e protette da terze parti. Questo è particolarmente importante per i siti che raccolgono informazioni sensibili, come i dati bancari o transazioni di pagamenti online. Un certificato SSL è facilmente riconoscibile dall'icona del lucchetto verde nella barra degli indirizzi del browser e dall'utilizzo di "https" invece di "http".
Un firewall è una barriere software che protegge il sito web da attacchi esterni. Può impedire ai malintenzionati di accedere al sito o di rubare informazioni sensibili. È possibile configurare un firewall sia sul server (soluzione preferibile) che sul sito stesso per garantire una protezione completa.
Effettuare regolarmente i backup del sito web è importante per proteggere i dati e recuperare rapidamente il sito in caso di attacco o crash del server. I backup dovrebbero essere eseguiti regolarmente e conservati in un luogo sicuro fuori dal sito. Ci sono diversi hosting che includono piani di backup avanzati e offrono anche backup ridondati in caso di disaster recovery.
La scelta dell'Hosting gioca un ruolo fondamentale affinché ci siano tutti i requisiti per fare in modo da essere con le spalle coperte in caso di attacchi specifici come DDoS o Brute Force. Su SupportHost hai queste protezioni su tutti gli account.
Ecco ora una piccola lista consigli pratici che ti aiuteranno a mantenere più sicuro il tuo sito web:
Questo piccolo e semplicissimo plugin potrebbe davvero salvare il tuo sito web. Sto parlando di KolorWeb Access Admin Notification: extreme rescue for unauthorized admin logins
Questo plugin nasce da un problema pratico che ho quotidianamente:
Ogni giorno ricevo tante email di tentativi di accesso ai siti che gestisco. Allora mi sono chiesto: “E se all’improvviso un tentativo tra i milioni di quelli eseguiti dovesse andare a buon fine, come potrei saperlo se non quando è già troppo tardi?”
Ho pensato quindi che l’unico modo per saperlo fosse tracciare gli accessi degli account amministratore dei siti che gestisco.
Insomma, una soluzione che potrebbe salvare la vita al tuo sito perché ti permette di prendere coscienza che sul sito c’è qualche backdoor che permette accessi non autorizzati.
Questo plugin infatti invia una notifica email per ogni accesso effettuato dagli amministratori del sito web. Quando viene eseguito un accesso da parte di un amministratore del sito, l’orario di accesso viene memorizzato e viene inviata una mail di notifica contenente i dettagli dell’account che si è connesso. Se l’accesso non è autorizzato, cliccando sui link presenti nella mail è possibile disconnettere l’account da tutti i dispositivi oppure disconnettere l’account da tutti i dispositivi che hanno effettuato l’accesso e contemporaneamente reimpostare la password di accesso per quell’account. In questo secondo caso viene inviata una nuova notifica contenente la nuova password.
Chiaramente anche questo plugin non ti permetterà di avere un sito web sicuro, ma di intervenire in maniera repentina in caso sia necessario, consentendoti di mettere eventualmente il sito in manutenzione e fare una analisi della situazione nonché di ripulire l'installazione WordPress prima che i malintenzionati di turno continuino ad operare indisturbati con le loro attività fraudolente.
Non ti spaventare! Se non sei un addetto ai lavori, molte delle cose che hai letto fino a qui, che sono tra l'altro solo una piccola infarinatura di tutto quello che c'è dietro la manutenzione di un sito web, possono sembrare aramaico antico. Se è così, il consiglio che posso darti è di affidare la gestione di questi aspetti ad un professionista che possa garantirti un grado di affidabilità sicuramente maggiore nella gestione di questi aspetti molto delicati e soprattutto ricordarti sempre che prevenire è di gran lunga meglio che curare e che nessun sito web potrà essere mai sicuro al 100% finché è accessibile in rete.
In conclusione, la sicurezza dei siti web è un argomento di importanza cruciale in un mondo sempre più digitale. Adottare misure preventive come quelle descritte in questo articolo aiuterà a proteggere il sito web e i dati sensibili degli utenti da eventuali minacce online.
Se non sai da dove iniziare, affidati ad un professionista che saprà aiutarti a gestire al meglio ogni aspetto del tuo progetto web.
Ogni giorno risolvo problematiche più o meno importanti e aiuto imprenditori e aziende a rendere il loro lavoro più leggero, creando applicazioni web che funzionano. Sono in grado di sviluppare Plugins per WordPress e Temi custom basati su layout forniti dai clienti o pensati da zero in relazione al progetto da realizzare.