Sicurezza di un sito web: come proteggere la pagina web

Anche solo una piccola fuga di dati (leak) può avere conseguenze serie per le aziende: diminuzione del fatturato, gravi danni alla reputazione, azioni civili. Molte imprese, e prima di tutti i negozi online, godono della fiducia di molti clienti, che gli affidano i dati personali e talvolta anche le informazioni del conto e della carta di credito. Questi dati si devono proteggere perché i cyber attacchi sono ormai un problema quotidiano nel business online. Anche il RGDP impone un obbligo di cautela ai gestori di siti web: i dati sensibili degli utenti devono essere protetti in modo adeguato. Oltre al controllo regolare alla sicurezza del sito web, le imprese possono prendere anche altre misure preventive.

Molti servizi promettono la possibilità di creare siti web in pochissimi clic. Difatti, al giorno d'oggi è possibile pubblicare il proprio sito web in un tempo molto breve, anche senza conoscenze di programmazione. Per blog, negozi e siti di notizie sono disponibili sul mercato diverse applicazioni web. Ma le soluzioni di gestione dei contenuti, i sistemi di e-commerce e i software per forum utilizzati a tal proposito rappresentano anche un notevole rischio per la sicurezza. Perché "open source" non significa solo che il codice sorgente è a disposizione di tutti gli utenti, ma anche che è un sistema aperto ad hacker e altri cybercriminali.

Se non si desidera utilizzare un CMS per la creazione di un sito web, è possibile ricorrere a un generatore di siti web o website builder. Come in un sistema modulare, è possibile mettere insieme i singoli elementi di un sito senza doversi preoccupare di configurazioni complesse. Pertanto, le misure di sicurezza sono in mano al fornitore. Ma siccome si tratta di esperti, potete affidarvi a loro e concentrarvi sui contenuti e sul design.

Oltre il 35% dei siti web online si basa sul CMS WordPress. La sua community, così come quella di Joomla e TYPO3, conta molti utenti attivi. Chiunque può sviluppare estensioni proprie, plug-in, moduli o template e metterli a disposizione della comunità. Queste soluzioni open source sono molto amate dagli utenti, anche per via del risparmio sui costi. Ma i CMS popolari e i loro plug-in sono apprezzati anche dagli hacker, che si interessano a loro per via della grande diffusione di cui godono su scala mondiale.

I cybercriminali riescono a scoprire le vulnerabilità di questi sistemi e a provocare così dei danni; ad esempio attraverso attacchi di phishing ottengono informazioni sensibili dei clienti come i dati di login o di pagamento, oppure infettano i computer con trojan e virus, che i gestori dei siti web scaricano inavvertitamente attraverso il cosiddetto “drive by download”, e usano i siti per diffondere spam. I virus possono danneggiare il sito stesso dell’azienda e provocare i cosiddetti downtime del server, che comportano un’interruzione dell’attività.

Le conseguenze più gravi di una sicurezza inadeguata di un sito web sono:

• Uso fraudolento di dati
• Furti di identità
• Danni alla reputazione
• Diminuzione del fatturato
• Querele

Le falle di sicurezza si possono risolvere prima che ci sia un reale danno, a patto che le si scopra prima di un attacco criminale. Per questo è fondamentale scansionare un sito web per accrescerne la sicurezza. Un controllo gratuito potete eseguirlo grazie ai seguenti servizi:

• SIWECOS
• Virustotal
• WordPress Security Scan

Per verificare la sicurezza del sito web, la maggior parte dei servizi svolge un penetration test, cioè simula un attacco hacker (ad esempio un’intrusione non autorizzata nel sistema) per scoprire quali siano i possibili punti deboli.

Per rendere difficile il lavoro agli hacker le imprese dovrebbero prendere diverse precauzioni. Vi elenchiamo di seguito cinque semplici misure che possono essere eseguite da ogni impresa senza grande dispendio di tempo o di costi.

La community non smette mai di sviluppare i software open source. Di solito i bug e le falle di sicurezza vengono individuati velocemente e altrettanto velocemente vengono risolti. Però si approfitta delle reazioni veloci della community e del team di sviluppo solo se il sistema è sempre aggiornato all’ultima versione. In molte soluzioni CMS gli update si eseguono in maniera automatica tramite plug-in. Ad esempio con “Easy Updates Manager” su WordPress, si tiene aggiornato il popolare sistema e si contribuisce quindi attivamente alla sicurezza del sito web. Naturalmente bisogna anche controllare che i plug-in e le altre estensioni siano aggiornati.

Anche nel caso in cui aveste creato il vostro sito web senza l’aiuto di un CMS dovreste assicurarvi che sia sempre aggiornato. Per quanto riguarda PHP e MySQL, ad esempio, è necessario disporre sempre della loro ultima versione per evitare attacchi a porte aperte.

Se un hacker è riuscito ad accedere nonostante le vostre precauzioni, può provocare danni davvero rilevanti. E non si tratta solo di spionaggio di dati e del loro uso fraudolento: gli hacker sovrascrivono o cancellano anche interi database per confondere le proprie tracce. Per questo tutti i contenuti importanti dovrebbero essere salvati regolarmente. Effettuare un backup è un’ottima precauzione anche prima di eseguire gli update di routine, perché talvolta alcuni file di sistema che erano stati modificati rispetto all’originale vengono sovrascritti. Un backup regolare di tutti i dati è quindi imprescindibile per ogni impresa.

Anche per questo esistono delle soluzioni: ad esempio per WordPress sono disponibili vari plug-in e anche altri CMS possono essere dotati di estensioni appropriate per facilitare il backup del sito web completo. Se si lavora senza un CMS, è possibile salvare manualmente il contenuto del server esternamente o utilizzare uno strumento come rsync.

Sembra scontato dire che i dati di accesso devono essere sicuri. Eppure, la quotidianità ci dice qualcosa di ben diverso perché la password più usata resta sempre la sequenza “123456”. Inoltre, molti utenti usano i nomi utente proposti dal sistema come “admin” o “amministratore” che, combinati con password deboli, sono un obiettivo facile per gli hacker. Sia i nomi utente sia le password non dovrebbero essere composte da combinazioni facilmente intuibili. Una password sicura è composta da una successione casuale di cifre e deve essere abbastanza lunga.

Chi vuole proteggere il proprio sito web da hacker o da altri attacchi criminali, dovrebbe informarsi regolarmente su quali siano gli ultimi pericoli scoperti e le falle di sicurezza. Il primo punto di appoggio è naturalmente la community online: sono numerosi i forum dedicati alla sicurezza web. Lì la maggior parte dei rischi per la sicurezza vengono riconosciuti fin da subito, discussi e nel migliore dei casi risolti immediatamente. Per informarvi sui rischi indipendenti dal sistema vale la pena visitare la pagina del sistema di informazione per la sicurezza della Repubblica.

Il linguaggio di markup HTTPS permette un trasferimento di dati sensibili in maniera sicura. Con l’aiuto di SSL (Secure Socket Layer) la trasmissione dati tra server e client avviene in maniera cifrata. Così i dati trasmessi non possono essere letti dagli hacker o intercettati. Il certificato può essere acquisito da più siti web. Molti provider incorporano il certificato nel pacchetto di hosting o lo forniscono a pagamento. Inoltre, il visitatore riconosce il certificato di sicurezza grazie al simbolo a forma di lucchetto sul browser, oltre che per il protocollo di trasferimento https, e questo rafforza la fiducia dei potenziali clienti.

Per non lasciare alcuna possibilità agli hacker, si deve testare regolarmente la sicurezza del proprio sito. Una scansione di sicurezza è un buon inizio ma non ci si dovrebbe limitare a questo, visto che i criminali del web scoprono sempre nuovi punti deboli di cui potere approfittare. Il rischio di un accesso non autorizzato diminuisce se si presta attenzione alla verifica e all’aggiornamento regolare del proprio sistema. In queste circostanze è anche ragionevole consultare un esperto informatico, che vi darà dei consigli per la configurazione della sicurezza della pagina. Infine, è altrettanto importante sensibilizzare il proprio team perché anche collaboratori inesperti costituiscono un rischio per la sicurezza.