Realizzazione siti internet e Sviluppo Software MilanoRealizzazione siti internet e Sviluppo Software MilanoRealizzazione siti internet e Sviluppo Software MilanoRealizzazione siti internet e Sviluppo Software Milano
  • HOME
  • CHI SONO
  • SERVIZI
    • REALIZZAZIONE SITI INTERNET
    • PREVENTIVO SITO WEB
    • CONSULENZA WORDPRESS
    • SVILUPPO SOFTWARE
    • SVILUPPO SOFTWARE IN PYTHON
    • SOLUZIONI TECNOLOGICHE
    • CONSULENZA E FORMAZIONE
  • PORTFOLIO
    • SITI INTERNET REALIZZATI
    • SOFTWARE SVILUPPATI
  • CONTATTI
  • BLOG
✕

Sicurezza di un Sito Web: strumenti e consigli.

Sicurezza di un Sito Web: strumenti e consigli.
Condividi se ti piace...

Sicurezza di un Sito Web: strumenti e consigli.Possedere e gestire un sito web contempla una serie di attività come la gestione di un blog, l’utilizzo ottimizzato delle pratiche SEO, la gestione della popolarità tramite condivisione sui social network, e chi più ne ha più ne metta. Ma gli aspetti gestionali non si limitano solo a queste pratiche. Un aspetto molto importante che spesso viene trascurato è quello della sicurezza di un sito web.

Ogni giorno la maggior parte dei siti internet sono costantemente sotto attacco, senza che noi ce ne accorgiamo: si tratta di attacchi standard di una nicchia di utenti del web che provano a capire se il nostro sito presenta delle falle da sfruttare per poter prenderne possesso.

PERCHÈ DOVREBBERO ATTACCARE PROPRIO ME?

Questa è la classica domanda che mi viene posta quando parlo di sicurezza di un sito web. Per rispondere c’è bisogno di capire chi sono i soggetti che attaccano un sito internet.

Spesso pensiamo ad un hacker, pensiamo ad anonymous. No non si tratta di loro. Per definizione un hacker è colui che risolve problemi in modo creativo e che è dotato di uno spiccato pensiero laterale. Un hacker è colui che smonta un dispositivo per capire com’è fatto (per poi rimontarlo) o un esperto informatico che cerca di capire quali sono le falle di un sistema o di un software per porre rimedio o per trovarne il modo di fronteggiare eventuali attacchi malevoli. Ci sono anche gli hacker etici, coloro che violano determinati siti o sistemi perché seguono un ideale.

Poi ci sono quelli cattivi: i cracker. Sono loro che attaccano noi che non abbiamo fatto niente di male. Per quale motivo? Alcuni dei principali motivi possono essere i seguenti:

  • prendere possesso dello spazio fisico che ospita il nostro sito (ftp, a volte anche database) per piazzare delle pagine fraudolente e rubare dati sensibili (numeri di carte di credito ad esempio);
  • esercitarsi nelle pratiche di cracking (cosa che fanno i novizi);
  • creare dei reindirizzamenti a pagine web ben definite;
  • fare concorrenza ai propri competitors;
  • e così via…

Alla luce di ciò è quindi chiara la risposta alla nostra domanda iniziale, e diventa più evidente il fatto che bisogna non sottovalutare la sicurezza di un sito web.

LE RICADUTE CHE HA UN SITO WEB MANOMESSO

Un sito manomesso ha ovviamente ricadute negative. In primo luogo va ripulito perché:

  • non è più navigabile
  • può causarci diverse seccature, soprattutto se contiene pagine fraudolente (con conseguente segnalazione da parte della polizia postale)
  • viene penalizzato da Google e addirittura cancellato dai suoi indici
  • ci costerà tempo e denaro ripulirlo e rimetterlo online
  • e soprattutto ci farà sentire impotenti e ansiosi perché: non avremo più il nostro sito internet!

 

SICUREZZA DI UN SITO WEB: PREVENIRE GLI ATTACCHI

Come diceva un famoso slogan, prevenire è meglio che curare. La sicurezza di un sito web non è mai certa al 100%, ma è sempre meglio individuare e prevenire quelle criticità che sono evidenti (come da best practice del project management: l’analisi dei rischi).

Le best practice da seguire per la sicurezza di un sito web sono di vario tipo: alcune sono semplici e attuabili anche dai meno esperti e che in questo articolo per semplicità di trattazione chiamerò best practices gestionali; altre invece richiedono conoscenze informatiche: queste le chiamerò best practice informatiche.

Ma esiste una terza e unica best practice, accessibile e attuabile da tutti: avere pazienza, dedizione e costanza.

Di solito questa pratica non viene mai seguita, sebbene sia la più semplice ed accessibile. Negli ultimi mesi, infatti, ho eseguito la pulizia di circa dieci siti web e analizzato alcune falle di siti web sotto attacco che non erano ben gestiti a livello di sicurezza: e si tratta di clienti che non hanno avuto la pazienza e la costanza di monitorare il proprio sito.

Ma veniamo alle best practice per la sicurezza di un sito web, che descriverò di seguito, senza entrare nei dettagli, ma cercando di dare alcuni spunti utili riguardo la sicurezza.

 

BEST PRACTICE GESTIONALI

Queste prassi riguardano la gestione del proprio sito e che si riflettono sulla sicurezza di un sito web; sono maggiormente indirizzate a coloro i quali posseggono un sito web realizzato con CMS quali WordPress, Joomla!, Prestashop, Magento.

 

Mantieni aggiornato il tuo CMS.

Che si tratti di WordPress o di altri CMS è sempre importante fare gli aggiornamenti alle ultime versioni. Questa è una regola basilare per la sicurezza di un sito web. Spesso gli aggiornamenti vengono rilasciati perché i codici presentano delle falle, ossia delle lacune che possono essere prese di mira da utenti malintenzionati per attaccare il nostro sito internet.

 

Aggiorna sempre i plugin

Plugin o componenti ed estensioni per chi usa Joomla!. Aggiornali costantemente per lo stesso motivo di cui sopra. Anche questa è una regola basilare per la sicurezza di un sito web

 

Qualità dei componenti aggiuntivi

Utilizza plugin, moduli, componenti, realizzati da sviluppatori che stanno sul pezzo! Un plugin deve essere sempre aggiornato, per lo stesso motivo spiegato nel punto 1. Anche questo fattore è fondamentale per la sicurezza di un sito web.

  • Prima di scaricare un plugin verifica il change log: si tratta della storia dello sviluppo del plugin, che elenca tutti gli aggiornamenti effettuati dai suoi sviluppatori e la data di rilascio. Installare un plugin che non viene aggiornato da un anno può essere un rischio.
  • Verifica sempre le recensioni degli utenti che lo hanno utilizzato.

 

Non utilizzare plugin che non servono

Se ne hai installati alcuni che non utilizzi ti consiglio di cancellarli! Meno plugin utilizzi, meglio è! Ti chiederai “ok, ma io ho bisogno di un sito gradevole, ho bisogno di molti plugin”. Io ti rispondo che, a meno che non si tratti di funzionalità indispensabili, la qualità di un sito web dipende anche da come viene creato e non c’è bisogno di utilizzare tanti plugin per avere un risultato professionale e bello. E questo è il compito e il mestiere di un esperto sviluppatore web.

 

Informati sullo stato di sicurezza dei componenti aggiuntivi

Per informarti sullo stato di sicurezza di un plugin ti consiglio di fare una ricerca su Google e dare un’occhiata ai siti che elencano le ultime vulnerabilità del CMS stesso e dei suoi plugin. Di seguito vi elenco i siti dove vengono segnalate le vulnerabilità dei plugin di WordPress e per le estensioni di Joomla!

  • Lista Vulnerabilità Joomla!
  • Lista Vulnerabilità WordPress
  • Per CMS come Prestashop (ottimo per gli e-commerce) la situazione riguardo i plugin è più sotto controllo, ma è sempre bene tenerli monitorati. Prestashop ha una grande quantità di plugin nativi che ne rendono non necessaria l’installazione di altri, salvo casi eccezionali (ma sono costosi e robusti).

 

Mantieni pulito lo spazio FTP

Si tratta dello spazio fisico del nostro hosting dove sono presenti i file del nostro sito.

  • Evita di creare o caricare cartelle inutili. Se proprio hai l’esigenza di crearle fallo da pannello di amministrazione.
  • Nel caso tu voglia farlo da client ftp fai attenzione all’assegnazione dei permessi a cartelle e file.
  • Quando carichi file e cartelle da ftp, controlla sempre che i permessi assegnati siano quelli giusti (di solito 755 per cartelle, 644 per i file).

Mi capita spesso qdi dover eliminare dallo spazio ftp di un sito una cartella __MACOSX__. Si tratta di una cartella di metadati creata dai Mac, invisibile agli utenti, ma che diventa visibile quando copiamo dei contenuti da Mac a Windows o Linux. Quando si presenta? Il caso classico avviene quando comprimiamo un file sul Mac e lo scompattiamo su un PC o Server con sistema operativo diverso (Windows o Linux ad esempio). Bene, questa ad oggi rappresenta un vulnerabilità, soprattutto per chi possiede un sito in WordPress (lo rende soggetto ad exploit). Lo avreste mai pensato?

 

SINTOMI DI UN ATTACCO

Quando il vostro sito web potrebbe essere sotto attacco? Io direi: sempre! Molti malintenzionati sono li pronti a scovare e valutare la sicurezza di un sito web. Se provate ad installare plugin ed estensioni sul vostro sito internet, che vi inviano una mail ogni volta che c’è un tentativo di attacco, vi troverete la casella di posta elettronica piena di avvisi.

A tale proposito vi segnalo

  • questa lista di Plugin per WordPress
  • questa estensione per Joomla!

Il problema quindi non è quello di evitare gli attacchi ma garantire la sicurezza di un sito web.

L’utilizzo dei plugin può a volte risultare una prassi incompleta. Alcuni segnali di attacco possono essere:

  • Un’eccessiva registrazione giornaliera di utenti sul vostro sito.
  • Strani reindirizzamenti a pagine che non conosciamo.
  • Un’eccessivo utilizzo di banda sul vostro hosting.
  • Un eccessivo accesso ad una cartella del vostro sito da parte di un gruppo ristretto di utenti (fate un’analisi incrociata delle statistiche degli accessi sul vostro sito).
  • Segnalazione da parte di Google.

 

BEST PRACTICE INFORMATICHE

Queste sono utili per chi gestisce il proprio sito e “smanetta” con i codici e/o con i database. Per la sicurezza di un sito web la regola d’oro è di toccare il meno possibile il codice; ma nel caso in cui si sente l’esigenza di farlo è sempre bene seguire le best practice per gli sviluppatori e utilizzare al meglio le API fornite dalla comunità.

Per chi ha dimestichezza con i codici informatici o per chi avrebbe il piacere di farlo, segnalo due tools scritti con il linguaggio Python, i quali ci forniscono informazioni sulla sicurezza di un sito web, indicandoci alcune delle vulnerabilità presenti sul nostro sito.

 

EXPLOIT DATABASE

Questo è il sito di uno dei progetti di Offensive Security, che tra l’altro curano le release di Kali Linux, versione del sistema operativo Linux adattata per analizzare (e a volte compiere) attacchi a sistemi, reti, siti, e soprattutto utilizzata per analisi di informatica forense.

Exploit Database fornisce una lista sempre aggiornata di exploit di diversi sistemi vulnerabili a questo tipo di attacco. In parole povere un exploit è una tecnica che permette di scalare i privilegi di un sistema e diventarne amministratori. Per intenderci: se fanno un attacco exploit al vostro sito e va a buon fine, ne diventato proprietari! Questo equivale a dare nome utente e password del pannello di amministrazione del vostro hosting.

 

GHDB

Anche Google Hacking Database (GDHB) è un progetto di Offensive Security. Esso mostra svariate vulnerabilità, mostrandole nei risultati di ricerca su Google.

Se andiamo sul sito e digitiamo come chiave di ricerca la parola WordPress, tra le varie vulnerabilità ci appare l’exploit di siti WordPress che contengono cartelle __MACOSX__, di cui abbiamo parlato prima.

Esso mostra inoltre vulnerabilità a iniezioni SQL (SQL Injection), pratica che permette di sfruttare falle del database, iniettando in esso del codice. Per far cosa? Per rubarvi dati e password.

 

PLECOST

Ecco qui un tool scritto in linguaggio Python (e presente in Kali Linux). Si chiama Plecost, e serve per individuare vulnerabilità sui siti internet, in particolar modo per i siti in WordPress.

Nella repository Github del tool è possibile scaricare il tool oltre che vedere come funziona. Potete utilizzarlo anche se non siete esperti informatici. Vi basta scaricare e installare l’interprete Python e lanciare i comandi come descritto nella mini guida.

 

NOTA

I tool appena descritti sono stati menzionati per scopo educativo e soprattutto a scopo di monitoraggio del proprio sito. Come ogni strumento utile, esso può essere utilizzato anche per scopi malevoli, pratiche da cui mi dissocio.


CHIEDI UN PREVENTIVO GRATUITO

Chiedi un preventivo per realizzare il tuo sito internet, per una consulenza SEO, lo sviluppo di un software o per realizzare una soluzione tecnologica.


Contattami per informazioni, sarai ricontattato quanto prima.

CONTATTAMI

Condividi se ti piace...
Condividi

Articoli correlati

Redirect 301: Consigli e strumenti in ottica SEO
12 Agosto 2016

Come fare i Redirect 301: Consigli e strumenti utili in ottica SEO


LEGGI DI PIÙ
Sito Web in Wordpress - Vantaggi
9 Agosto 2016

Creare un sito web in WordPress: ecco i vantaggi in 6 punti essenziali


LEGGI DI PIÙ
Realizzare e Gestire un sito internet di qualità: comunicazione e tecnica. Ne parliamo con uno Psicologo
23 Febbraio 2016

Realizzare e Gestire un sito internet di qualità: comunicazione e tecnica. Ne parliamo con uno Psicologo


LEGGI DI PIÙ

SCARICA L’E-BOOK

Ebook: Le checklist per pianificare e realizzare il tuo sito web

CONSULENZA WORDPRESS

Consulenza Wordpress, assistenza e formazione

Offro servizi di Consulenza Wordpress, assistenza e formazione online, per ottimizzare il tuo sito web, per risolvere un problema tecnico, per crearne un sito professionale.

LEGGI DI PIÙ

SICUREZZA WORDPRESS

BulletProof Security Pro

WEB HOSTING CONSIGLIATO

SEGUIMI SU FACEBOOK

Nicola Stella - NSConsulting

TAGS

AdWords brand checklist coaching tecnologico comunicazione costo sito internet design ebook Google indicizzazione joomla mission modelli net branding obiettivi pagerank pagine web posizionamento preventivo sito internet problem solving problem solving tecnologico python ranking redirect redirect 301 reindirizzamento ricerca semantica SEO sicurezza siti internet siti web sito internet sito web sitoweb strumenti strumenti SEO tecnologia tecnologie telegram usabilità vulnerabilità web web coaching webmarketing wordpress

Ultime dal Blog

  • Web coaching e coaching tecnologico
    Web Coaching e Coaching Tecnologico: dalla inadeguatezza all’opportunità
    2 Ottobre 2016
  • Redirect 301: Consigli e strumenti in ottica SEO0
    Come fare i Redirect 301: Consigli e strumenti utili in ottica SEO
    12 Agosto 2016
  • Sito Web in Wordpress - Vantaggi
    Creare un sito web in WordPress: ecco i vantaggi in 6 punti essenziali
    9 Agosto 2016
  • Come usare Telegram Messenger per fidelizzare il tuo pubblico
    Come usare Telegram Messenger per fidelizzare il tuo pubblico
    11 Maggio 2016
  • Realizzazione Siti Internet
  • Sviluppo Software
  • Sviluppo Software in Python
  • Soluzioni Tecnologiche
  • Consulenza WordPress
  • Portfolio
  • Chi Sono
  • Contatti
  • Dicono di me
  • Blog

Siti Internet e Software Milano

Azienda di Milano zona Loreto, Buenos Aires, specializzata nella realizzazione di siti internet, sviluppo software e consulenza informatica. L'azienda porta il mio stesso nome, Nicola Stella, informatico da più di vent'anni, sviluppatore web da più di dieci...
Leggi di più...

Tags

AdWords brand checklist coaching tecnologico comunicazione costo sito internet design ebook Google indicizzazione joomla mission modelli net branding obiettivi pagerank pagine web posizionamento preventivo sito internet problem solving problem solving tecnologico python ranking redirect redirect 301 reindirizzamento ricerca semantica SEO sicurezza siti internet siti web sito internet sito web sitoweb strumenti strumenti SEO tecnologia tecnologie telegram usabilità vulnerabilità web web coaching webmarketing wordpress
© 2009-2021 Sviluppo Software, web app Milano, creazione siti internet, Realizzazione siti web, e-commerce, blog, portali. Nicola Stella | P. IVA: 01252080773 | mobile: +39 327 9305222 || Privacy Policy || Credits Nicola Stella || Sede
Gestisci Consenso Cookie
Per fornire le migliori esperienze, utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici. L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
Gestisci opzioni Gestisci servizi Gestisci fornitori Per saperne di più su questi scopi
Visualizza le preferenze
{title} {title} {title}