La sicurezza del web per eccellenza
Il mantenimento di un sito web include tutte le attività da svolgere per assicurarsi che rimanga
aggiornato e funzionante.
Un’importante attività di mantenimento alla quale in tanti non prestano attenzione è
la sicurezza del sito web.
Il detto “nessun sistema è sicuro al 100%” non si applica solo ai sistemi operativi, ma anche ai
siti web.
Sono ancora in tanti a ritenersi al sicuro perché convinti che ad essere attaccate siano sempre le piattaforme web più popolari.
Anche solo una piccola fuga di dati (leak) può avere conseguenze serie per le aziende: diminuzione del fatturato, gravi danni alla reputazione, azioni civili. Molte imprese, e prima di tutti i negozi online, godono della fiducia di molti clienti, che gli affidano i dati personali e talvolta anche le informazioni del conto e della carta di credito. Questi dati si devono proteggere perché i cyber attacchi sono ormai un problema quotidiano nel business online. Anche il “Regolamento generale sulla protezione dei dati (riepilogo, novità e checklist” impone un obbligo di cautela ai gestori di siti web: i dati sensibili degli utenti devono essere protetti in modo adeguato. Oltre al controllo regolare alla sicurezza del sito web, le imprese possono prendere anche altre misure preventive.
Alcuni consigli utili per la Web Security:
Per rendere difficile il lavoro agli hacker le imprese dovrebbero prendere diverse precauzioni.
Avere un sistema sempre aggiornato
La community non smette mai di sviluppare i software open source. Di solito i bug e le falle di sicurezza vengono individuati velocemente e altrettanto velocemente vengono risolti. Però si approfitta delle reazioni veloci della community e del team di sviluppo solo se il sistema è sempre aggiornato all’ultima versione. In molte soluzioni CMS gli update si eseguono in maniera automatica tramite plug-in. Ad esempio con “Easy Updates Manager” su WordPress, si tiene aggiornato il popolare sistema e si contribuisce quindi attivamente alla sicurezza del sito web. Naturalmente bisogna anche controllare che i plug-in e le altre estensioni siano aggiornati.
Anche nel caso in cui aveste creato il vostro sito web senza l’aiuto di un CMS dovreste assicurarvi che sia sempre aggiornato. Per quanto riguarda PHP e MySQL, ad esempio, è necessario disporre sempre della loro ultima versione per evitare attacchi a porte aperte.
Effettuare backup in maniera regolare
Se un hacker è riuscito ad accedere nonostante le vostre precauzioni, può provocare danni davvero rilevanti. E non si tratta solo di spionaggio di dati e del loro uso fraudolento: gli hacker sovrascrivono o cancellano anche interi database per confondere le proprie tracce. Per questo tutti i contenuti importanti dovrebbero essere salvati regolarmente. Effettuare un backup è un’ottima precauzione anche prima di eseguire gli update di routine, perché talvolta alcuni file di sistema che erano stati modificati rispetto all’originale vengono sovrascritti. Un backup regolare di tutti i dati è quindi imprescindibile per ogni impresa.
Anche per questo esistono delle soluzioni: ad esempio per WordPress sono disponibili vari plug-in e anche altri CMS possono essere dotati di estensioni appropriate per facilitare il backup del sito web completo. Se si lavora senza un CMS, è possibile salvare manualmente il contenuto del server esternamente o utilizzare uno strumento come rsync.
Proteggere i dati di login
Sembra scontato dire che i dati di accesso devono essere sicuri. Eppure, la quotidianità ci dice qualcosa di ben diverso perché la password più usata resta sempre la sequenza “123456”. Inoltre, molti utenti usano i nomi utente proposti dal sistema come “admin” o “amministratore” che, combinati con password deboli, sono un obiettivo facile per gli hacker. Sia i nomi utente sia le password non dovrebbero essere composte da combinazioni facilmente intuibili. Una password sicura è composta da una successione casuale di cifre e deve essere abbastanza lunga.
Restare informati
Chi vuole proteggere il proprio sito web da hacker o da altri attacchi criminali, dovrebbe informarsi regolarmente su quali siano gliultimi pericoli scoperti e le falle di sicurezza. Il primo punto di appoggio è naturalmente la community online: sono numerosi i forum dedicati alla sicurezza web. Lì la maggior parte dei rischi per la sicurezza vengono riconosciuti fin da subito, discussi e nel migliore dei casi risolti immediatamente. Per informarvi sui rischi indipendenti dal sistema vale la pena visitare la pagina del sistema di informazione per la sicurezza della Repubblica.
Certificati HTTPS e SSL
Il linguaggio di markup HTTPS permette un trasferimento di dati sensibili in maniera sicura. Con l’aiuto di SSL (Secure Socket Layer) la trasmissione dati tra server e client avviene in maniera cifrata. Così i dati trasmessi non possono essere letti dagli hacker o intercettati. Il certificato può essere acquisito da più siti web. Molti provider incorporano il certificato nel pacchetto di hosting o lo forniscono a pagamento. Inoltre, il visitatore riconosce il certificato di sicurezza grazie al simbolo a forma di lucchetto sul browser, oltre che per il protocollo di trasferimento https, e questo rafforza la fiducia dei potenziali clienti.
Non lasciate alcuna possibilità agli hacker
Per non lasciare alcuna possibilità agli hacker, si deve testare regolarmente la sicurezza del proprio sito. Una scansione di sicurezza è un buon inizio ma non ci si dovrebbe limitare a questo, visto che i criminali del web scoprono sempre nuovi punti deboli di cui potere approfittare. Il rischio di un accesso non autorizzato diminuisce se si presta attenzione alla verifica e all’aggiornamento regolare del proprio sistema. In queste circostanze è anche ragionevole consultare un esperto informatico, che vi darà dei consigli per la configurazione della sicurezza della pagina. Infine, è altrettanto importante sensibilizzare il proprio team perché anche collaboratori inesperti costituiscono un rischio per la sicurezza.
Segurança é tudo!