C'è stato un tempo in cui persone e aziende hanno buttato giù i siti web con totale abbandono, sperando semplicemente che nessuno ne hackerasse i contenuti o installasse malware sul sito.
Quei giorni sono ormai lontani da noi, poiché il numero e la frequenza degli attacchi significano che esiste una minaccia costante e più un sito web ha successo, maggiore è il pericolo.
Quindi quali sono i modi in cui puoi proteggere il tuo sito web (tramite il tuo provider di web hosting) e come puoi ridurre la possibilità che il sito venga violato e alterato in modo nefasto?
Prima di arrivare a questo, però, dobbiamo comprendere il livello di sicurezza più basilare che è responsabile di molti siti compromessi, anche quelli ospitati su server sicuri.
- Abbiamo scelto i migliori servizi di web hosting proprio qui
- Queste sono le migliori società di web hosting gratuito in circolazione
- E quelli sono attualmente i migliori costruttori di siti web
La prima linea di difesa
Sebbene alcune aziende insistano sull'hosting dei propri siti Web, la maggior parte dei domini aziendali si trova su server sicuri contrattati a tale scopo.
Quando scegli l'hosting, puoi definire quale sistema operativo è in esecuzione su quel sistema (Windows Server, Linux o Unix) e che determina i protocolli di sicurezza richiesti.
La persona o le persone con la responsabilità di amministrare il sito hanno i diritti di amministratore per alterare le strutture dei file su di esso e nessun altro.
Dove questo può andare storto fin dall'inizio è se troppe persone conoscono i dettagli dell'account amministratore e la password non viene modificata regolarmente. E basta solo un keylogger per essere installato su una delle macchine usate per fare l'amministratore, e la password viene rivelata esattamente al tipo di persone che meno vorresti averla.
Ma ad essere onesti, quante persone lavorano in un ufficio dove le password vengono regolarmente ricordate con post-it? Alcune mani salirono lì, senza dubbio.
Proteggere queste password è la prima linea di difesa e, senza di essa, qualsiasi altra cosa tu faccia può essere facilmente annullata.
Quindi, ci sono due lezioni iniziali da apprendere sulla sicurezza del sito Web, vale a dire che:
- È valido solo quanto la rete in cui è stato costruito il sito web
- La sicurezza è raramente migliorata annotando le password e posizionandole in una posizione altamente visibile
Audit di sicurezza
L'esecuzione di un controllo di sicurezza su un sito è un esercizio relativamente semplice che può essere svolto dal personale IT utilizzando una selezione di strumenti software. In alternativa, puoi contattare una terza parte per eseguire la scansione per te e fornire un elenco di potenziali punti deboli da sostenere.
Se stai acquistando un servizio di web hosting, il provider potrebbe anche raggruppare uno strumento di sicurezza per assicurarsi che tu sia ragionevolmente protetto sin dall'inizio, ma di solito non su base continuativa.
Oltre a ciò, molti provider offrono anche un pacchetto di sicurezza del sito Web, in cui promettono una risposta rapida alle minacce e la mitigazione degli attacchi di negazione del servizio. A meno che tu non abbia solo un piccolo blog personale, questi sono un buon investimento.
Il prezzo di questi servizi non è molto se si considera quanto può essere costoso avere un sito offline per un determinato periodo di tempo, soprattutto per chi offre e-commerce.
Qualunque sia l'approccio adottato, è importante che le scansioni di sicurezza vengano eseguite regolarmente, per identificare possibili nuove minacce non appena emergono e affrontarle immediatamente.
Preoccupazioni comuni
Le forme di attacco più comuni che incontrano i siti web sono queste:
- Denial of Service distribuito (DDoS) - Molti computer remoti, solitamente infettati da un Trojan, agiscono all'unisono ripetutamente richiedendo pagine web al punto che i server non sono in grado di gestire la quantità di richieste.
- Infezione da malware - In qualche modo i file che contengono del codice nefasto vengono inseriti nel sito con l'intenzione di caricarlo a chiunque lo visiti.
- SQL Injection - Codice dannoso inserito in un modulo o in un input che viene quindi eseguito dal database SQL sul server. Questo codice potrebbe consentire l'accesso ai dati del cliente o aprire la macchina all'accesso esterno.
- Forza bruta - Spesso un difetto nel sistema operativo consente a un attacco ripetuto di causare un reset che apre brevemente una porta per un assalto secondario. Data la complessità dei sistemi operativi moderni, vengono individuate regolarmente nuove vulnerabilità.
- Cross Site Scripting - Un metodo di hacking in cui un browser può essere reindirizzato a un altro sito o sostituire il contenuto sul sito della vittima senza che il visitatore se ne accorga.
- L'hack "zero day" - Questi sono attacchi nuovi e difficili da fermare che utilizzano una debolezza che non è di dominio pubblico. Il tempo che intercorre tra la scoperta della vulnerabilità e l'applicazione della patch è fondamentale e potrebbe richiedere la disabilitazione temporanea di alcune funzionalità del server finché non viene trovata una correzione.
Debolezze di progettazione
Sebbene molti siti funzionino con le seguenti funzionalità attive, sono all'origine di molti problemi di sicurezza per numerosi motivi:
- Forme - Tutto ciò che elabora l'input sul server è un potenziale punto di ingresso per codice dannoso e può anche essere sfruttato per estrarre i dati dell'utente.
- Forum - Il posizionamento di script e il reindirizzamento degli utenti a siti Web che distribuiscono malware sono solo alcuni dei potenziali problemi con i forum generati dagli utenti.
- Accesso ai social media - Utilizzare il tuo account Facebook o Google per accedere a un sito è semplice e veloce, ma potrebbe anche essere un modo per hackerare questi account.
- E-commerce - Il crimine segue i soldi e gli hacker spenderanno molti più sforzi per hackerare un sito di e-commerce.
- Contenuto non regolamentato - Se ti procuri notizie e articoli da altri siti, dipendi dalle loro misure di sicurezza, qualunque esse siano.
Ovviamente, rimuovere tutte queste funzioni da un sito web lo renderebbe un luogo molto meno invitante per i visitatori. È necessario effettuare un giudizio su quali elementi si è pronti a utilizzare e su come si intende mitigare i possibili problemi di sicurezza ad essi associati.
Protezione adeguata
C'è solo un modo per garantire che il tuo sito web non venga mai violato, e questo è non averne uno. In definitiva, la sicurezza del sito web è un esercizio di mitigazione in cui fai abbastanza per rendere molto meno utile provare ad hackerare il tuo sito e assicurarti anche che sia più veloce il recupero da qualsiasi incidente.
L'esatto livello di sicurezza compiuto è una scelta con cui tutte le aziende devono confrontarsi, ma per coloro che sono coinvolti nella vendita online, l'impegno deve essere al 100% per garantire i dettagli personali e finanziari di coloro che commerciano con te.
A numerose aziende e organizzazioni sono stati rubati tutti i dati dei loro clienti e successivamente utilizzati per truffe di furto di identità, con conseguenze costose.
Qualunque sia il livello di protezione e monitoraggio scelto, deve essere adatto allo scopo. Infine, considera che avere una sicurezza migliore di quella necessaria ha un'implicazione sui costi minima, ma averne di meno potrebbe avere enormi ramificazioni legali e commerciali.
