Sicurezza di un sito web: come pro­teg­ge­re la pagina web

Anche solo una piccola fuga di dati (leak) può avere con­se­guen­ze serie per le aziende: di­mi­nu­zio­ne del fatturato, gravi danni alla re­pu­ta­zio­ne, azioni civili. Molte imprese, e prima di tutti i negozi online, godono della fiducia di molti clienti, che gli affidano i dati personali e talvolta anche le in­for­ma­zio­ni del conto e della carta di credito. Questi dati si devono pro­teg­ge­re perché i cyber attacchi sono ormai un problema quo­ti­dia­no nel business online. Anche il RGDP impone un obbligo di cautela ai gestori di siti web: i dati sensibili degli utenti devono essere protetti in modo adeguato. Oltre al controllo regolare alla sicurezza del sito web, le imprese possono prendere anche altre misure pre­ven­ti­ve.

Molti servizi pro­met­to­no la pos­si­bi­li­tà di creare siti web in po­chis­si­mi clic. Difatti, al giorno d'oggi è possibile pub­bli­ca­re il proprio sito web in un tempo molto breve, anche senza co­no­scen­ze di pro­gram­ma­zio­ne. Per blog, negozi e siti di notizie sono di­spo­ni­bi­li sul mercato diverse ap­pli­ca­zio­ni web. Ma le soluzioni di gestione dei contenuti, i sistemi di e-commerce e i software per forum uti­liz­za­ti a tal proposito rap­pre­sen­ta­no anche un notevole rischio per la sicurezza. Perché "open source" non significa solo che il codice sorgente è a di­spo­si­zio­ne di tutti gli utenti, ma anche che è un sistema aperto ad hacker e altri cy­ber­cri­mi­na­li.

Se non si desidera uti­liz­za­re un CMS per la creazione di un sito web, è possibile ricorrere a un ge­ne­ra­to­re di siti web o website builder. Come in un sistema modulare, è possibile mettere insieme i singoli elementi di un sito senza doversi pre­oc­cu­pa­re di con­fi­gu­ra­zio­ni complesse. Pertanto, le misure di sicurezza sono in mano al fornitore. Ma siccome si tratta di esperti, potete affidarvi a loro e con­cen­trar­vi sui contenuti e sul design.

Oltre il 35% dei siti web online si basa sul CMS WordPress. La sua community, così come quella di Joomla e TYPO3, conta molti utenti attivi. Chiunque può svi­lup­pa­re esten­sio­ni proprie, plug-in, moduli o template e metterli a di­spo­si­zio­ne della comunità. Queste soluzioni open source sono molto amate dagli utenti, anche per via del risparmio sui costi. Ma i CMS popolari e i loro plug-in sono ap­prez­za­ti anche dagli hacker, che si in­te­res­sa­no a loro per via della grande dif­fu­sio­ne di cui godono su scala mondiale.

I cy­ber­cri­mi­na­li riescono a scoprire le vul­ne­ra­bi­li­tà di questi sistemi e a provocare così dei danni; ad esempio at­tra­ver­so attacchi di phishing ottengono in­for­ma­zio­ni sensibili dei clienti come i dati di login o di pagamento, oppure infettano i computer con trojan e virus, che i gestori dei siti web scaricano inav­ver­ti­ta­men­te at­tra­ver­so il co­sid­det­to “drive by download”, e usano i siti per dif­fon­de­re spam. I virus possono dan­neg­gia­re il sito stesso dell’azienda e provocare i co­sid­det­ti downtime del server, che com­por­ta­no un’in­ter­ru­zio­ne dell’attività.

Le con­se­guen­ze più gravi di una sicurezza ina­de­gua­ta di un sito web sono:

• Uso frau­do­len­to di dati
• Furti di identità
• Danni alla re­pu­ta­zio­ne
• Di­mi­nu­zio­ne del fatturato
• Querele

Le falle di sicurezza si possono risolvere prima che ci sia un reale danno, a patto che le si scopra prima di un attacco criminale. Per questo è fon­da­men­ta­le scan­sio­na­re un sito web per ac­cre­scer­ne la sicurezza. Un controllo gratuito potete eseguirlo grazie ai seguenti servizi:

• SIWECOS
• Vi­ru­sto­tal
• WordPress Security Scan

Per ve­ri­fi­ca­re la sicurezza del sito web, la maggior parte dei servizi svolge un pe­ne­tra­tion test, cioè simula un attacco hacker (ad esempio un’in­tru­sio­ne non au­to­riz­za­ta nel sistema) per scoprire quali siano i possibili punti deboli.

Per rendere difficile il lavoro agli hacker le imprese do­vreb­be­ro prendere diverse pre­cau­zio­ni. Vi elen­chia­mo di seguito cinque semplici misure che possono essere eseguite da ogni impresa senza grande dispendio di tempo o di costi.

La community non smette mai di svi­lup­pa­re i software open source. Di solito i bug e le falle di sicurezza vengono in­di­vi­dua­ti ve­lo­ce­men­te e al­tret­tan­to ve­lo­ce­men­te vengono risolti. Però si ap­pro­fit­ta delle reazioni veloci della community e del team di sviluppo solo se il sistema è sempre ag­gior­na­to all’ultima versione. In molte soluzioni CMS gli update si eseguono in maniera au­to­ma­ti­ca tramite plug-in. Ad esempio con “Easy Updates Manager” su WordPress, si tiene ag­gior­na­to il popolare sistema e si con­tri­bui­sce quindi at­ti­va­men­te alla sicurezza del sito web. Na­tu­ral­men­te bisogna anche con­trol­la­re che i plug-in e le altre esten­sio­ni siano ag­gior­na­ti.

Anche nel caso in cui aveste creato il vostro sito web senza l’aiuto di un CMS dovreste as­si­cu­rar­vi che sia sempre ag­gior­na­to. Per quanto riguarda PHP e MySQL, ad esempio, è ne­ces­sa­rio disporre sempre della loro ultima versione per evitare attacchi a porte aperte.

Se un hacker è riuscito ad accedere no­no­stan­te le vostre pre­cau­zio­ni, può provocare danni davvero rilevanti. E non si tratta solo di spio­nag­gio di dati e del loro uso frau­do­len­to: gli hacker so­vra­scri­vo­no o can­cel­la­no anche interi database per con­fon­de­re le proprie tracce. Per questo tutti i contenuti im­por­tan­ti do­vreb­be­ro essere salvati re­go­lar­men­te. Ef­fet­tua­re un backup è un’ottima pre­cau­zio­ne anche prima di eseguire gli update di routine, perché talvolta alcuni file di sistema che erano stati mo­di­fi­ca­ti rispetto all’originale vengono so­vra­scrit­ti. Un backup regolare di tutti i dati è quindi im­pre­scin­di­bi­le per ogni impresa.

Anche per questo esistono delle soluzioni: ad esempio per WordPress sono di­spo­ni­bi­li vari plug-in e anche altri CMS possono essere dotati di esten­sio­ni ap­pro­pria­te per fa­ci­li­ta­re il backup del sito web completo. Se si lavora senza un CMS, è possibile salvare ma­nual­men­te il contenuto del server ester­na­men­te o uti­liz­za­re uno strumento come rsync.

Sembra scontato dire che i dati di accesso devono essere sicuri. Eppure, la quo­ti­dia­ni­tà ci dice qualcosa di ben diverso perché la password più usata resta sempre la sequenza “123456”. Inoltre, molti utenti usano i nomi utente proposti dal sistema come “admin” o “am­mi­ni­stra­to­re” che, combinati con password deboli, sono un obiettivo facile per gli hacker. Sia i nomi utente sia le password non do­vreb­be­ro essere composte da com­bi­na­zio­ni fa­cil­men­te intuibili. Una password sicura è composta da una suc­ces­sio­ne casuale di cifre e deve essere ab­ba­stan­za lunga.

Chi vuole pro­teg­ge­re il proprio sito web da hacker o da altri attacchi criminali, dovrebbe in­for­mar­si re­go­lar­men­te su quali siano gli ultimi pericoli scoperti e le falle di sicurezza. Il primo punto di appoggio è na­tu­ral­men­te la community online: sono numerosi i forum dedicati alla sicurezza web. Lì la maggior parte dei rischi per la sicurezza vengono ri­co­no­sciu­ti fin da subito, discussi e nel migliore dei casi risolti im­me­dia­ta­men­te. Per in­for­mar­vi sui rischi in­di­pen­den­ti dal sistema vale la pena visitare la pagina del sistema di in­for­ma­zio­ne per la sicurezza della Re­pub­bli­ca.

Il lin­guag­gio di markup HTTPS permette un tra­sfe­ri­men­to di dati sensibili in maniera sicura. Con l’aiuto di SSL (Secure Socket Layer) la tra­smis­sio­ne dati tra server e client avviene in maniera cifrata. Così i dati trasmessi non possono essere letti dagli hacker o in­ter­cet­ta­ti. Il cer­ti­fi­ca­to può essere acquisito da più siti web. Molti provider in­cor­po­ra­no il cer­ti­fi­ca­to nel pacchetto di hosting o lo for­ni­sco­no a pagamento. Inoltre, il vi­si­ta­to­re riconosce il cer­ti­fi­ca­to di sicurezza grazie al simbolo a forma di lucchetto sul browser, oltre che per il pro­to­col­lo di tra­sfe­ri­men­to https, e questo rafforza la fiducia dei po­ten­zia­li clienti.

Per non lasciare alcuna pos­si­bi­li­tà agli hacker, si deve testare re­go­lar­men­te la sicurezza del proprio sito. Una scansione di sicurezza è un buon inizio ma non ci si dovrebbe limitare a questo, visto che i criminali del web scoprono sempre nuovi punti deboli di cui potere ap­pro­fit­ta­re. Il rischio di un accesso non au­to­riz­za­to di­mi­nui­sce se si presta at­ten­zio­ne alla verifica e all’ag­gior­na­men­to regolare del proprio sistema. In queste cir­co­stan­ze è anche ra­gio­ne­vo­le con­sul­ta­re un esperto in­for­ma­ti­co, che vi darà dei consigli per la con­fi­gu­ra­zio­ne della sicurezza della pagina. Infine, è al­tret­tan­to im­por­tan­te sen­si­bi­liz­za­re il proprio team perché anche col­la­bo­ra­to­ri inesperti co­sti­tui­sco­no un rischio per la sicurezza.