C’è stato un tempo in cui persone e aziende hanno buttato giù i siti web con totale abbandono, semplicemente sperando che nessuno ne hackerasse i contenuti o installasse malware sul sito.
Quei giorni sono ormai lontani da noi, poiché il numero e la frequenza degli attacchi significano che c’è una minaccia costante e più un sito ha successo, maggiore è il pericolo.
Quindi quali sono i modi in cui puoi proteggere il tuo sito web (tramite il tuo provider di web hosting ) e come puoi ridurre la possibilità che il sito venga violato e nefasto alterato?
Prima di arrivare a questo, però, dobbiamo comprendere il livello di sicurezza più basilare che è responsabile di molti siti compromessi, anche quelli ospitati su server sicuri.
VIDEO CONSIGLIATI PER TE …
Abbiamo scelto i migliori servizi di web hosting proprio qui
Queste sono le migliori società di web hosting gratuito in circolazione
E quelli sono attualmente i migliori costruttori di siti web
La prima linea di difesa
La prima linea di difesa
Sebbene alcune aziende insistano sull’hosting dei propri siti Web, la maggior parte dei domini aziendali si trova su server protetti appaltati allo scopo.
Quando scegli l’hosting, puoi definire quale sistema operativo è in esecuzione su quel sistema (Windows Server, Linux o Unix) e che determina i protocolli di sicurezza richiesti.
La persona o le persone con la responsabilità di amministrare il sito hanno i diritti di amministratore per alterare le strutture dei file su di esso e nessun altro.
Dove questo può andare storto fin dall’inizio è se troppe persone conoscono i dettagli dell’account amministratore e la password non viene modificata regolarmente. E basta solo un keylogger per essere installato su una delle macchine usate per fare l’amministratore, e la password viene rivelata esattamente al tipo di persone che meno vorresti averla.
Ma ad essere onesti, quante persone lavorano in un ufficio dove le password vengono regolarmente ricordate con post-it? Alcune mani salirono lì, senza dubbio.
Proteggere queste password è la prima linea di difesa e, senza di essa, qualsiasi altra cosa tu faccia può essere facilmente annullata.
Quindi, ci sono due lezioni iniziali da imparare sulla sicurezza del sito web, vale a dire che:
È buono solo quanto la rete in cui è stato costruito il sito web
La sicurezza è raramente migliorata annotando le password e inserendole in una posizione altamente visibile
Audit di sicurezza
Audit di sicurezza
L’esecuzione di un controllo di sicurezza su un sito è un esercizio relativamente semplice che può essere svolto dal personale IT utilizzando una selezione di strumenti software. Oppure, in alternativa, puoi contattare una terza parte per eseguire la scansione per te e fornire un elenco di potenziali punti deboli da sostenere.
Se stai acquistando un servizio di web hosting, il provider potrebbe anche raggruppare uno strumento di sicurezza per assicurarsi che tu sia ragionevolmente protetto sin dall’inizio, ma di solito non su base continuativa.
Oltre a ciò, molti provider offrono anche un pacchetto di sicurezza del sito Web, in cui promettono una risposta rapida alle minacce e la mitigazione degli attacchi di negazione del servizio. A meno che tu non abbia solo un piccolo blog personale, questi sono un buon investimento.
Il prezzo di questi servizi non è molto se si considera quanto potrebbe essere costoso avere un sito offline per qualsiasi periodo di tempo, soprattutto per chi offre e-commerce.
Qualunque sia l’approccio adottato, è importante che le scansioni di sicurezza vengano eseguite regolarmente, per identificare possibili nuove minacce non appena emergono e affrontarle immediatamente.
Preoccupazioni comuni
Preoccupazioni comuni
Le forme di attacco più comuni che incontrano i siti web sono queste:
Distributed Denial of Service (DDoS) : molti computer remoti, solitamente infettati da un Trojan, agiscono all’unisono richiedendo ripetutamente pagine Web al punto in cui i server non sono in grado di gestire la quantità di richieste.
Infezione da malware : in qualche modo i file che contengono codice nefasto vengono inseriti nel sito con l’intenzione di caricarlo a chiunque lo visiti.
Iniezione SQL : codice dannoso inserito in un modulo o input che viene quindi eseguito dal database SQL sul server. Questo codice potrebbe consentire l’accesso ai dati del cliente o aprire la macchina all’accesso esterno.
Forza bruta : spesso un difetto nel sistema operativo consente a un attacco ripetuto di causare un ripristino che apre brevemente una porta per un assalto secondario. Data la complessità dei sistemi operativi moderni, vengono individuate regolarmente nuove vulnerabilità.
Cross-site scripting : metodo di hacking in cui un browser può essere reindirizzato a un altro sito o sostituire il contenuto sul sito vittima senza che il visitatore se ne accorga.
L’hack “zero day” : sono attacchi nuovi e difficili da bloccare che utilizzano una debolezza che non è di dominio pubblico. Il tempo che intercorre tra la scoperta della vulnerabilità e l’applicazione della patch è critico e potrebbe richiedere la disabilitazione temporanea di alcune funzionalità del server fino a quando non viene trovata una correzione.
Debolezze di progettazione
Sebbene molti siti funzionino con le seguenti funzionalità attive, sono all’origine di molti problemi di sicurezza per numerosi motivi:
Moduli : tutto ciò che elabora l’input sul server è un potenziale punto di ingresso per codice dannoso e può anche essere sfruttato per estrarre i dati dell’utente.
Forum : l’inserimento di script e il reindirizzamento degli utenti a siti Web che distribuiscono malware sono solo alcuni dei potenziali problemi con i forum generati dagli utenti.
Accesso ai social media : l’utilizzo del tuo account Facebook o Google per accedere a un sito è semplice e veloce, ma potrebbe anche essere un modo in cui questi account vengono violati.
E-commerce : il crimine segue i soldi e gli hacker faranno molti più sforzi per hackerare un sito di e-commerce.
Contenuti non regolamentati : se fornisci notizie e articoli da altri siti, dipendi dalle loro misure di sicurezza, qualunque esse siano.
Ovviamente, rimuovere tutte queste funzioni da un sito web lo renderebbe un luogo molto meno invitante per i visitatori. È necessario effettuare un giudizio su quali elementi si è disposti a utilizzare e su come si intende mitigare i possibili problemi di sicurezza ad essi associati.
Sicurezza del sito GoDaddy
Protezione adeguata
C’è solo un modo per garantire che il tuo sito web non venga mai violato, e non averne uno. In definitiva, la sicurezza del sito web è un esercizio di mitigazione in cui fai abbastanza per rendere molto meno utile provare ad hackerare il tuo sito e assicurarti anche che sia più veloce il recupero da qualsiasi incidente.
L’esatto livello di sicurezza compiuto è una scelta con cui tutte le aziende devono confrontarsi, ma per coloro che sono coinvolti nella vendita online, l’impegno deve essere al 100% per proteggere i dettagli personali e finanziari di coloro che commerciano con te.
A numerose aziende e organizzazioni sono stati rubati tutti i dati dei loro clienti e successivamente utilizzati per truffe di furto di identità, con conseguenze costose.
Qualunque sia il livello di protezione e monitoraggio scelto, deve essere adatto allo scopo. Infine, considera che avere una sicurezza migliore di quella necessaria ha un’implicazione minima in termini di costi, ma averne di meno potrebbe avere enormi ramificazioni legali e commerciali.