Esistono vari modi per ac­cor­ger­si se un sito web è stato violato da un hacker. Ad esempio, potreste ricevere un avviso insolito sul browser o sul software antivirus, potreste non riuscire ad accedere alla vostra casella di posta elet­tro­ni­ca, ricevere e-mail di spam, o ancora il sito potrebbe non caricare o aver subito dei rein­di­riz­za­men­ti in­de­si­de­ra­ti. In presenza di uno di questi in­di­ca­to­ri, con molta pro­ba­bi­li­tà si tratta di un attacco hacker. In questo caso è im­por­tan­te reagire con tem­pe­sti­vi­tà: informare l’host, mo­di­fi­ca­re i dati di accesso e in­di­vi­dua­re le falle di sicurezza del sito.

Ve­ri­fi­ca­re se il proprio sito web è stato violato da un hacker

Un attacco hacker al proprio sito web è un pericolo de­ci­sa­men­te rea­li­sti­co, a cui un webmaster non può farsi trovare im­pre­pa­ra­to. Qualora il vostro sito sia ben protetto, un hacker capace può comunque sfruttare le falle di sicurezza presenti sul vostro sito, app e account e-mail per sferrare degli attacchi in­for­ma­ti­ci. Di seguito elen­chia­mo i possibili scenari che sfruttano le vul­ne­ra­bi­li­tà di un sito per in­fil­tra­re malware o rea­liz­za­re furti di dati:

Se in passato questi rischi ri­guar­da­va­no prin­ci­pal­men­te le grandi aziende, oggi a causa della crescente di­gi­ta­liz­za­zio­ne anche le piccole e medie imprese sono in­te­res­sa­te da un numero di pericoli in­for­ma­ti­ci in costante crescita. Inoltre, gli attacchi che prevedono la vio­la­zio­ne di WordPress sono at­tual­men­te in aumento, poiché numerosi siti si basano su questo CMS. Se vi sembra quindi che la vostra pagina web presenti delle anomalie, vi con­si­glia­mo di valutare at­ten­ta­men­te la si­tua­zio­ne e agire con la dovuta cautela.

La prima domanda che dovete porvi è: come posso ri­co­no­sce­re se il mio sito web ha subito un attacco hacker? Anche se alcuni attacchi specifici, come ad esempio l’attacco man in the middle, sono difficili da ri­co­no­sce­re, altri pre­sen­ta­no una serie di tratti in comune.

Per scoprire se il vostro sito ha subito un attacco hacker, fate at­ten­zio­ne alla presenza dei seguenti indizi per aiutarvi a ri­co­no­sce­re e rimuovere i malware:

Avvisi del browser

I browser moderni, come Microsoft Edge, Google Chrome o Mozilla Firefox, sono tutti dotati di funzioni di sicurezza in grado di ri­co­no­sce­re i siti web non sicuri. In par­ti­co­la­re, pre­sen­ta­no la funzione “HTTPS only”: questa blocca au­to­ma­ti­ca­men­te l’accesso ai siti senza pro­to­col­lo SSL o TLS o vi­sua­liz­za un avviso. La funzione “safe browsing”, invece, blocca il download di file infetti o di software maligni. Se quando visitate il vostro sito web compare un avviso sul browser, con molta pro­ba­bi­li­tà vi trovate in presenza di un problema di sicurezza, che potrebbe essere legato a un attacco hacker o a cer­ti­fi­ca­ti non più validi.

Avvisi sui software antivirus

Usate un software antivirus e man­te­ne­te­lo sempre ag­gior­na­to. Questi avvisi rap­pre­sen­ta­no un chiaro indizio che il vostro computer o sito web è in pericolo o infetto.

Sito web non rag­giun­gi­bi­le

È possibile che vi ac­cor­gia­te di aver subito un attacco hacker solo dopo che il sito web è stato di­sat­ti­va­to dal vostro provider. I servizi di hosting rea­gi­sco­no alle notifiche del proprio sistema di sicurezza in­for­ma­ti­ca oppure agli avvisi degli utenti del sito. Può darsi che il vostro sito venga di­sat­ti­va­to senza che ne riceviate notifica.

I dati di accesso non fun­zio­na­no

Se le vostre cre­den­zia­li di accesso non fun­zio­na­no più, pro­ba­bil­men­te qualcuno si è im­pos­ses­sa­to dell’account del sito o ha rimosso gli utenti re­gi­stra­ti.

Avvisi di tentativi di accesso

Nel caso di attacchi con il metodo forza bruta, i criminali cercano di in­do­vi­na­re le cre­den­zia­li di accesso. Se ricevete degli avvisi ri­guar­dan­ti tentativi di accesso non au­to­riz­za­ti, il vostro account web è in pericolo.

Defacing

Nel caso del defacing, i criminali in­for­ma­ti­ci so­sti­tui­sco­no il vostro sito web o il vostro index.html con un’altra pagina con­te­nen­te una ri­ven­di­ca­zio­ne del gruppo hacker di ap­par­te­nen­za. In questo modo gli ag­gres­so­ri vi im­pe­di­sco­no di accedere al vostro sito web. Spesso si tratta di azioni di protesta a sfondo politico o di attivismo contro siti web com­mer­cia­li.

Hijacking

Nel caso dell’hijacking, i criminali in­for­ma­ti­ci ag­giun­go­no al vostro sito web una pagina con­te­nen­te un codice maligno. In questo modo, chi accede al sito scarica inav­ver­ti­ta­men­te un malware o altri programmi simili. Anche se i software antivirus o il browser do­vreb­be­ro no­ti­fi­ca­re il problema, spesso l’infezione viene ri­co­no­sciu­ta troppo tardi. Le falle di sicurezza sono spesso ri­con­du­ci­bi­li a password FTP troppo deboli o a una PHP injection.

Attacchi ran­som­ware

In alcuni casi, i ran­som­ware possono rivelarsi un incubo per le aziende. A seconda del grado di raf­fi­na­tez­za del virus, è possibile che questo renda inac­ces­si­bi­li e quindi in­ser­vi­bi­li tutti i dati dell’azienda e il relativo sito web. L’obiettivo dei criminali che lo usano è chiedere un riscatto in cambio del ri­pri­sti­no del codice. Pertanto, le aziende do­vreb­be­ro con­cen­tra­re i propri sforzi nelle misure di pro­te­zio­ne dai ran­som­ware.

Avvisi di Google

Google Search Console è uno strumento gratuito messo a di­spo­si­zio­ne da Google per mo­ni­to­ra­re l’ot­ti­miz­za­zio­ne per i motori di ricerca del proprio sito web. Qualora doveste rilevare avvisi relativi a malware o backlink sospetti, è im­por­tan­te che ve­ri­fi­chia­te la sicurezza del vostro sito.

Il sito web compare nella Blocklist di Google

Qualora Google clas­si­fi­chi il vostro sito web come sospetto o pe­ri­co­lo­so, potreste finire nella Blocklist. Di con­se­guen­za il sito non comparirà più nella lista dei risultati di ricerca. Per sapere se il vostro sito è stato inserito nella Blocklist, con­trol­la­te sulla Google Search Console.

Tempi di ca­ri­ca­men­to del sito insoliti

Se il sito carica in modo molto più lento rispetto al solito potrebbe essere in­te­res­sa­to da un attacco in­for­ma­ti­co. Infezioni ai siti web come il cryp­to­jac­king po­treb­be­ro com­por­ta­re un utilizzo della CPU in­so­li­ta­men­te elevato. Nel caso del cryp­to­jac­king, i criminali in­for­ma­ti­ci infettano il computer con un malware o in­stal­la­no sul sito un programma di mining, ad esempio Coinhive. In questo modo la potenza di calcolo dei computer o dei vi­si­ta­to­ri del sito web in­te­res­sa­to viene sfruttata per azioni di mining di crip­to­va­lu­te illegali.

E-mail di spam, rein­di­riz­za­men­ti o pop-up

Se gli abbonati alla vostra new­slet­ter vi hanno segnalato di ricevere un gran numero di e-mail di spam da uno dei vostri indirizzi e-mail, questo indica la presenza di un malware. Inoltre, la presenza di rein­di­riz­za­men­ti in­vo­lon­ta­ri, quando si apre il sito web, o di pop-up o pub­bli­ci­tà sco­no­sciu­ta indicano anch’essi che il sito è stato colpito da un attacco hacker.

Consiglio

Il Web Hosting di IONOS è dotato di fun­zio­na­li­tà come cer­ti­fi­ca­to SSL, backup e pro­te­zio­ne DDoS. Il risultato? Un pacchetto che coniuga rapidità, sicurezza e sca­la­bi­li­tà.

Come procedere se il vostro sito web è stato colpito da un attacco hacker?

Nel peggiore dei casi tutti gli indizi con­fer­ma­no che i criminali in­for­ma­ti­ci hanno sfruttato una falla di sicurezza per sferrare un attacco hacker al vostro sito. Seguite i sette passaggi il­lu­stra­ti qui sotto per risolvere il problema e ri­pri­sti­na­re non solo la sicurezza aziendale, ma anche quella della vostra clientela:

Primo passaggio: mantenete la calma

Anzitutto la cosa più im­por­tan­te: mantenere la calma. Azioni impulsive possono portare a danni ancora maggiori. Se anche i vostri di­spo­si­ti­vi sono stati infettati, dovreste guardarvi bene dall’inserire le cre­den­zia­li di accesso di e-mail esterne o di account aziendali sui computer in questione. In caso di un attacco hacker, usate solo computer e account esterni per la co­mu­ni­ca­zio­ne. Nel dubbio ri­vol­ge­te­vi a personale in­for­ma­ti­co esperto. In più, le aziende do­vreb­be­ro segnalare im­me­dia­ta­men­te l’accaduto al reparto di sicurezza in­for­ma­ti­ca (se presente nella propria impresa).

Secondo passaggio: mo­di­fi­ca­te le cre­den­zia­li di accesso e le au­to­riz­za­zio­ni

Qualora riceviate avvisi relativi a tentativi di accesso non au­to­riz­za­ti o se i file di log mostrano accessi non au­to­riz­za­ti, vi con­si­glia­mo di mo­di­fi­ca­re le vostre cre­den­zia­li. As­si­cu­ra­te­vi di usare solamente password sicure composte da lettere maiuscole e minuscole, numeri, caratteri speciali e lunghe almeno dodici caratteri. Mo­di­fi­ca­te le seguenti cre­den­zia­li di accesso:

  • Dati di accesso per admin o utenti au­to­riz­za­ti
  • Password dell’account di hosting
  • Account FTP primari e secondari
  • Password e cre­den­zia­li di accesso dei database
  • Account e-mail collegati

Se ne­ces­sa­rio, ve­ri­fi­ca­te e mo­di­fi­ca­te i privilegi di accesso e l’as­se­gna­zio­ne dei ruoli per tutte le persone in possesso dei permessi di am­mi­ni­stra­to­re. So­li­ta­men­te è possibile farlo dalla console admin o tramite il server FTP. Inoltre, è ne­ces­sa­rio ve­ri­fi­ca­re i permessi di accesso e di modifica dei file nella root.

Terzo passaggio: attivate la modalità di ma­nu­ten­zio­ne sul sito

Se disponete di questa opzione, vi con­si­glia­mo di mettere il sito web in modalità di ma­nu­ten­zio­ne mentre state provando a risolvere il problema. In questo modo non metterete l’utenza in pericolo e allo stesso tempo pro­teg­ge­re­te l’immagine della vostra azienda.

Quarto passaggio: rea­liz­za­te un backup del sito

Per far fronte a un eventuale attacco hacker sul vostro sito web, vi con­si­glia­mo di rea­liz­za­re un backup pre­ven­ti­vo dei dati. In questo modo potrete ri­pri­sti­na­re il sito web a uno stato pre­ce­den­te. In più, as­si­cu­ra­te­vi di creare più di un backup e di salvarne almeno due su diversi supporti di ar­chi­via­zio­ne.

Quinto passaggio: ve­ri­fi­ca­te i file di log del sito web

Qualora abbiate accesso alla console di controllo, ve­ri­fi­ca­te i file di log del vostro sito web. In questo modo dovrebbe essere possibile risalire all’ora e alla modalità di attacco, lo­ca­liz­zan­do messaggi di errore e pro­to­col­li di accesso. Partendo da qui è possibile poi risolvere le falle di sicurezza e rimuovere malware, codici, plugin e temi dannosi o altri software di terze parti. Qualora non abbiate accesso ai file di log del sito, con­tat­ta­te il servizio di hosting.

Sesto passaggio: ri­pri­sti­na­te il file .htaccess

Il file .htaccess è un bersaglio comune degli attacchi in­for­ma­ti­ci, poiché contiene im­por­tan­ti con­fi­gu­ra­zio­ni relative ai siti web e ai web server Apache. La com­pro­mis­sio­ne dei file .htaccess può com­por­ta­re rein­di­riz­za­men­ti a malware, file PHP maligni, furto di dati, fi­ger­prin­ting del browser o co­sid­det­ti attacchi watering hole. Ri­pri­sti­nan­do il file .htaccess e limitando le au­to­riz­za­zio­ni di accesso, in molti casi è possibile chiudere le falle di sicurezza.

Settimo passaggio: rilevate eventuali malware o codice maligno sul sito web

Se il vostro sito web si basa su WordPress, potete ricorrere a plugin di sicurezza per Wordpress gratuiti o a pagamento. In tal modo è possibile scan­sio­na­re i file, le app e i plugin del sito e ve­ri­fi­ca­re l’eventuale presenza di malware o codice maligno. Fra i plugin di sicurezza più noti ci sono:

  • WPScan
  • Jetpack
  • Sucuri Security
  • Bul­let­Proof Security

Per i siti web rea­liz­za­ti e gestiti tramite altri CMS e al­ter­na­ti­ve a WordPress, esistono strumenti simili in grado di eseguire scansioni di sicurezza, mo­ni­to­ra­re il sito web e ot­ti­miz­za­re la sicurezza del sito e della rete:

  • Si­te­Guar­ding
  • Intruder
  • Ho­sted­Scan Security
  • Detectify
  • ImmuniWeb

Qualora non de­si­de­ria­te usare altri strumenti di terze parti, avete anche la pos­si­bi­li­tà di con­trol­la­re ma­nual­men­te i dati del sito con il vostro software antivirus.

Perché i siti sono spesso bersaglio di attacchi hacker?

I motivi per cui un sito web può essere colpito da un attacco hacker sono numerosi. Nella maggior parte dei casi, gli hacker cercano un modo per ar­ric­chir­si, im­pos­ses­san­do­si di in­for­ma­zio­ni sensibili quali dati bancari, aziendali o degli utenti. I dati così ottenuti vengono poi usati di­ret­ta­men­te dagli hacker stessi o venduti ad altri criminali. Gli attacchi ran­som­ware rap­pre­sen­ta­no un’ulteriore forma di ar­ric­chi­men­to fi­nan­zia­rio, poiché sono spesso ac­com­pa­gna­ti da una richiesta di riscatto per ri­pri­sti­na­re i dati aziendali. Gli attacchi hacker possono anche avere un movente politico: ad esempio possono bloccare l’accesso al sito web di un’azienda, di un partito, di un per­so­nag­gio pubblico o di un’isti­tu­zio­ne.

Altre volte gli attacchi possono avvenire nell’ambito di una guerra ci­ber­ne­ti­ca militare. In questo caso dei gruppi di hacker sostenuti dallo stato sferrano attacchi si­ste­ma­ti­ci alle in­fra­strut­tu­re digitali, rubano dati, fanno spio­nag­gio o portano i sistemi al collasso. Dietro ad altri attacchi può na­scon­der­si anche la brama di ricchezza e di fama: a volte un gruppo di hacker o singoli criminali con­si­de­ra­no una grande azienda o un per­so­nag­gio famoso come un trofeo da sfoggiare.

Consiglio

Pro­teg­ge­te il vostro sito web da attacchi ran­som­ware e altri crimini in­for­ma­ti­ci con My­De­fen­der di IONOS. Il pacchetto include backup au­to­ma­ti­ci, scansione antivirus e recupero dei file persi.

Come prevenire un attacco hacker?

Di seguito vi pre­sen­tia­mo le misure di sicurezza e le regole che aiutano a pro­teg­ge­re il vostro sito web dai malware:

  • Usate solamente password sicure che cor­ri­spon­da­no alle rac­co­man­da­zio­ni attuali in materia di sicurezza.
  • Usate un password manager per poter mantenere il controllo quando le password iniziano a diventare numerose.
  • Mo­di­fi­ca­te re­go­lar­men­te le password e i dati di accesso e non salvateli nell’area admin né sul computer.
  • Usate una versione di PHP ag­gior­na­ta: la più recente è PHP 8.
  • Ag­gior­na­te re­go­lar­men­te plugin, app e altri software collegati al sito.
  • Usate un software antivirus ag­gior­na­to.
  • As­si­cu­ra­te­vi di usare un servizio di hosting af­fi­da­bi­le che presti par­ti­co­la­re at­ten­zio­ne alla pro­te­zio­ne dei dati.
  • Usate un plugin di sicurezza per mo­ni­to­ra­re il sito web.
  • As­si­cu­ra­te­vi che i cer­ti­fi­ca­ti SSL siano sempre ag­gior­na­ti.
  • Puntate al tra­sfe­ri­men­to sicuro di file tra il vostro sito e i computer collegati mediante server FTP o SFTP tramite password sicure.
  • Attivate la se­gna­la­zio­ne di accessi non au­to­riz­za­ti e l’au­ten­ti­ca­zio­ne a due fattori.
  • Eseguite re­go­lar­men­te backup di dati presenti sul sito.
  • Servitevi di strumenti di sicurezza pro­fes­sio­na­li o di esperti in­for­ma­ti­ci per ve­ri­fi­ca­re la presenza di falle di sicurezza.
  • Mo­ni­to­ra­te gli accessi, i permessi e i ruoli utente.
  • Usate anche un firewall sicuro per il sito web (ad esempio Sucuri o Clou­d­fla­re).
  • Le aziende più grandi do­vreb­be­ro disporre di un proprio reparto di sicurezza.

Sito web sotto attacco hacker? Co­mu­ni­ca­te cor­ret­ta­men­te l’accaduto ai vostri clienti

Se il vostro sito web ha subito un attacco hacker, ri­pri­sti­na­re la sicurezza del sito web non è l’unica cosa che dovete fare. Anche gli utenti abbonati ai servizi del sito o che hanno fornito i propri dati devono ricevere le dovute in­for­ma­zio­ni riguardo a eventuali crimini in­for­ma­ti­ci o furti di dati. Se un attacco viene co­mu­ni­ca­to in modo tardivo, con poca chiarezza o se ad­di­rit­tu­ra viene tenuto nascosto, la cre­di­bi­li­tà del vostro marchio potrebbe ri­sen­tir­ne. Ad esempio, nel 2019 Facebook ha reso pubblico un furto di oltre 530 milioni di dati utente a due anni di distanza dall’accaduto. Chi è soggetto al Re­go­la­men­to generale sulla pro­te­zio­ne dei dati (GDPR) dell’Unione Europea è obbligato a informare gli utenti circa il furto di dati e la vio­la­zio­ne della sicurezza.

Ricordate di co­mu­ni­ca­re at­ti­va­men­te l’accaduto ai vostri clienti e in modo tra­spa­ren­te. Nella migliore delle ipotesi, questo deve avvenire mediante una co­mu­ni­ca­zio­ne pubblica o tramite e-mail. Il­lu­stra­te la si­tua­zio­ne in modo chiaro e com­pren­si­bi­le. Indicate le possibili con­se­guen­ze dell’attacco e i dati in­te­res­sa­ti. Inoltre, informate la clientela sulle misure da adottare per ri­pri­sti­na­re la sicurezza e la pro­te­zio­ne dei dati. In par­ti­co­la­re, suggerite loro di mo­di­fi­ca­re le password, di fare at­ten­zio­ne ai tentativi di accesso sospetti o di uti­liz­za­re l’au­ten­ti­ca­zio­ne a due fattori.

In sintesi

Con la crescente di­gi­ta­liz­za­zio­ne sia in ambito quo­ti­dia­no che la­vo­ra­ti­vo, aumenta anche il rischio di essere colpiti da un attacco in­for­ma­ti­co. Chi prende le dovute pre­cau­zio­ni per aumentare la sicurezza usando password forti, software ag­gior­na­ti, servizi di hosting af­fi­da­bi­li e software antivirus fa già molto per garantire l’integrità, la ri­spet­ta­bi­li­tà e la sicurezza di un sito web.

Vai al menu prin­ci­pa­le