Spesso, navigando nel web, ci ritroviamo davanti ad avvisi che ci mettono in guardia da siti non sicuri. Ma come fare per controllare se il tuo sito web è in grado di mantenere la sicurezza?

Cosa si intente per website security?

Per website security si intente la prevenzione di siti web aziendali e personali da possibili rischi informatici: attacchi cyber, intrusione di persone non autorizzate, distruzione del sito, attività fuori dal nostro controllo. Ma non solo, questa attività serve per mantenere un sito web aggiornato e in grado di funzionare bene.  Le tecnologie infatti seguono il nostro tempo, e così come telefoni, tv ed altri apparecchi elettronici complessi ogni tanto hanno bisogno di essere aggiornati e controllati.

Perché i cyber criminali attaccano i siti web?

I criminali informatici che commettono queste attività illecite sono spinti soprattutto da interessi finanziari, sottrazione di dati personali, brevetti e in generale prodotti coperti dai diritti di proprietà intellettuale. Oltre al furto di dati, gli attaccanti utilizzano anche riscatti o il pretendono criptovalute per remunerare le loro attività (avrete certamente sentito parlare anche in TV di computer infettati da virus che richiedevano un pagamento in Bitcoin).  In altri casi, gli attacchi sono fatti per usufruire del vostro sito e rubacchiandovi i servizi hosting o spesso email.

Una percentuale molto minore degli attacchi, invece, segue ragioni ideologiche, ad esempio collettivi che manifestano attivamente il loro dissenso colpendo siti internet legati al mondo della Politica o del Sociale.

Un sito web che subisce queste intrusioni è una brutta immagine per i Clienti e un grave problema e coinvolge aspetti legali, economici oltre ad un costo enorme per ripristinarlo.  E’ quindi fondamentale fornire un servizio di aggiornamento e supervisione dei siti web.

 

 

La prima scelta da fare è una manutenzione periodica del sito web …

 

 

Quali sono i rischi se non gestiamo la sicurezza dei nostri siti?

I cyber attacchi ai danni di siti web sono molto comuni e possono comportare:

• Interruzione di un sito o più pagine web. Il sito web vien sostituito con un contenuto diverso, foto o slogan.  E’ sicuramente uno degli attacchi più diffusi e impatta direttamente sull’immagine di un’Azienda e sulla sua visibilità: un evento del genere può infatti interrompere potenzialmente un servizio pubblico (ad es. nel caso di deface della home page), creando così anche un danno di immagine.  Questo tipo di intrusione informatica può essere risolta unicamente con un servizio di Backup e manutenzione periodica del sito web.
• Disattivazione di un servizio web (attacco DOS/DDS). E’ sicuramente uno degli attacchi più importanti perché comporta l’interruzione di uno o più servizi presenti sul portale web. Consiste nel rendere un servizio web completamente inagibile, e costringere i server web a spegnersi letteralmente. Per esempio, un sito web divenire così lento da non essere fruibile per i Clienti.  Oppure, un sito di vendita online non consente il pagamento, perché il server non è più in grado di collegarsi alla rete della Banca.
• Sottrazione di dati personali e/o sensibili da parte di criminali (data breach). E’ lo scenario di attacco più grave e riguarda la sottrazione di dati personali e/o sensibili. Questa minaccia incide su tutti gli aspetti di sicurezza (riservatezza, integrità e disponibilità) e può seriamente danneggiare la reputazione una azienda e del suo proprietario, oltre al danno causato agli utenti eventualmente registrati sul sito.  Questo tipo di attacco è ampiamente descritto nella normativa GDPR per la Privacy Europea, di recente aggiornamento.  I malintenzionati verranno a conoscenza di tutti i dati contenuti sul sito: rubrica indirizzi, nominativi, password, ordini, dettagli finanziari, etc…  E’ fondamentale che un sito web sia protetto al 100% da questo tipo di attacco.
• Controllo del sito web attaccato. Ancora più pericolosi sono gli attacchi invisibili,  ma che consistono ai malintenzionati di controllare il sito web.  In questo caso il sito rimarrà sempre lo stesso e identico, ma vi saranno presenti codici che vengono sfruttati per fare altre attività.  E’ come se delle persone vivessero nella soffitta di casa a vostra insaputa.
• In ogni caso, quando si verificano episodi di attacchi informatici, oppure un sito web che subisce questi attacchi, è importante denunciare l’accaduto alle autorità competenti e alla Polizia Postale.

 

 

 

 

 

Quali suggerimenti per WordPress? (per webdesigner)

1. La prima cosa da fare, è evitare che i problemi si presentito e quindi è necessario effettuare una manutenzione periodica del sito web.
2. Installare versioni aggiornate di WordPress e dei Plugin e non lasciare plugin più vecchi di un anno. Se il sito web non rispetta questo standard, è meglio chiuderlo.
3. Scegli solo plugin provenienti da fonti sicure e controlla il numero di installazioni attive, e l’ultima data di aggiornamento.
4. Controllare che altri webdesigner o programmatori prima di voi non abbiano lasciato installazioni obsolete di software.
5. Usa un hosting sicuro, fornito da aziende che ti possono offrire una assistenza tecnica tempestiva e adatta alle Aziende.
6. Crea password forti, lunghe e complesse, con numeri e simboli
7. Accertati che le email del Cliente siano sicure
8. Attivare un sistema di Backup off-line o disaster recovery: cioè, avere sempre una copia dei dati.
9. Utilizzare HTTPS-SSL.
10. Personalmente consiglio inoltre di utilizzare GOOGLE WEBMASTER, un tool gratuito che è un grado di avvisarti se il tuo sito ha dei problemi oppure se ci sono delle anomalie come pagine web che hanno contenuti “strani”; inoltre, il tool è in grado di verificare l’andamento del tuo sito a livello internazionale e riesce a verificare in un pari di ore se il tuo sito subisce attacchi informatici e viene “manovrato” in modo illecito.
11. Non usare lo username Admin (sembra banale, ma moltissimi siti web sono stati installati con queste password, e poi dimenticate!!!)
12. Effettua spesso dei backup off-line del sito, utilizzando strumenti come ad esempio WPBackup oppure Duplicator
13. Non modificare il codice dei file core di WordPress, ossia quelli appartenenti all’installazione di base del CMS
14. Se possibile, usa l’autenticazione a due fattori
15. 10.Limita gli accessi al sito attraverso plugin come Cerber oppure Wordfence Security

Un mio consiglio extra è quello di affidarti a fornitori come MVMNET di Padova www.mvmnet.com, una azienda con a quale collaboro da oltre 18 anni.  Grazie a tecnici di grande esperienza e all’uso di tecnologie sempre aggiornate, controlli e regole di sicurezza efficienti, è uno degli hosting più sicuri in assoluto.  Inoltre, sono rivolti ad Aziende e sono organizzati per fornire un customer-care adatto a chi usa il web per lavorare.

 

 

 

 

Dal punto di vista normativo, il CERT-PA rammenta l’importanza di effettuare aggiornamenti periodici del software oltre all’uso di un protocollo internet in grado di garantire connessioni protette (SSL). E’ buona norma pertanto che tali accorgimenti siano espressamente dichiarati, come requisito di progetto, ad esempio nei contratti di realizzazione e manutenzione dei siti web definiti tra il committente e la parte fornitrice del servizio.

La sicurezza di WordPress è un argomento di enorme importanza per ogni proprietario di siti web. Google blocca ogni settimana oltre 50.000 siti Web per malware o phishing ogni settimana. Una percentuale importante purtroppo riguarda WordPress.
Perché WordPress è spesso vittima di questi problemi di sicurezza?  Ovviamente perché è il più usato Software di creazione siti web, ed essendo usato anche da persone con poca esperienza è possibile trovare quei progetti che sono stati realizzati senza le opportune precauzioni. Per questo motivo realizzare un sito web WordPress richiede una alta esperienza tecnica e l’apporto di programmatori esperti e autentici esperti del settore informatico:

• installare plugin di controllo (Cerber, Wordefense, …)
• backup efficienti,
• supervisionare il sito web periodicamente,
• ed ovviamente installare gli aggiornamenti e le patch che rendono il sito più sicuro.

 

Se sei seriamente interessato al tuo sito web, devi prestare attenzione alle migliori pratiche di sicurezza di WordPress e richiedere al tuo webdesigner o programmatore di fare assistenza periodica. Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del tuo sito WordPress. È necessario assicurarsi che il core, i plugin e il tema di WordPress siano aggiornati.