+356 2769 4939

info@supero.com.mt

Supero ltd Malta

Siti web, SEO, contenuti, software

Contattaci

di Lascia un commento

Security

A nessuno fa piacere se il proprio sito viene hackerato, eppure nella grande maggioranza dei casi i titolari di un sito ignorano anche le più basilari norme di sicurezza. Nel corso degli anni abbiamo raccolto decine di osservazioni e abbiamo pensato di scrivere un articolo per sfatare alcuni “falsi miti” che circolano tra i non addetti ai lavori.
Nota: il termine corretto per chi usa strumenti software e il proprio ingegno per compiere atti illegali è “cracker”. Comune viene usato invece il termine “hacker”, anche se non è corretto nel resto di questo articolo useremo questo termine, anche se sappiamo che non è quello più esatto.

Indice dell’articolo
  1. Non posso tenere a mente tutte queste password!
  2. L'installazione fila liscia solo mettendo tutti i permessi su 777
  3. Questo plugin sembra fighissimo!
  4. Ho trovato un fornitore di hosting decisamente conveniente!
  5. Tra poco userò questo plugin!
  6. Il provider dell'hosting fa automaticamente il backup
  7. Ho trovato questo fighissimo software su internet
  8. Aggiornare?
  9. La sicurezza è importante solo per i grandi siti
  10. Abbiamo già fatto tutto quanto visto qui sopra

Non posso tenere a mente tutte queste password!

La nota positiva di questa obiezione è che sapete che non dovete usare sempre la stessa password, è già un’ottima base di partenza! Quindi, dato che non riuscite a memorizzarle tutte le salvate, in Firefox, Filezilla e negli altri programmi che usate per la gestione di siti e account.
Sapete che, per esempio, Filezilla salva le password in un file di testo, senza criptarle, e che quindi chiunque abbia accesso al vostro computer può averle tutte in un colpo solo? Avete pensato a cosa succede se perdete quel computer? Sapete che esistono dei virus (per la precisione dei cavalli di troia) che sono specializzati proprio nel cercare password su un computer e spedirle a un certo indirizzo? Le salvate anche sul telefono e sul tablet? Ottimo, avete pensato a cosa succede se lo perdete e/o ve lo rubano?

L’installazione fila liscia solo mettendo tutti i permessi su 777

L’installazione di un plugin o il caricamento di qualche immagine fallisce, mettete temporaneamente i permessi della cartella su 777 per risolvere il problema. Sapete che non è sicuro e quindi vi riservate di rimettere tutto su 755 quando avete finito. Il 777 è molto pericoloso, anche se temporaneamente. Non sareste nè i primi nè gli ultimi a dimenticarvi di re-impostare correttamente i permessi e ritrovarvi il sito hackerato, scegliete con cura il fornitore di hosting (vedi consiglio successivo), se il server è correttamente configurato non è necessario cambiare i permessi in modo così pericoloso.

Questo plugin sembra fighissimo!

Lo potete sapere solo dopo averlo installato e testato, giusto? Non usate estensioni e plugin di dubbia provenienza, non usate il vostro sito come se fosse un ambiente di prova

Ho trovato un fornitore di hosting decisamente conveniente!

La qualità di un hosting non si misura esclusivamente in base al prezzo. Sappiamo benissimo che ci sono fornitori di hosting che promettono spazio illimitato e caratteristiche superlative per pochi euro al mese ma non siate ingenui: proprio in base a quello che vi chiedono di canone quanto pensate che possano investire in termini di sicurezza, supporto al cliente, tempi di risposta? Siete proprio sicuro di volere come vicini di server siti poco raccomandabili? Infatti non è strano che sullo stesso server che ospita il vostro sito a un prezzo così conveniente ci siano anche altri siti che magari trattano argomenti discutibili

Tra poco userò questo plugin!

Sia con WordPress che con Joomla e Drupal è facilissimo installare estensioni e plugin, installatele solo se vi servono adesso. Installare estensioni inutili è solo fonte di guai: avrete più componenti che richiedono aggiornamento e non è escluso che vadano in conflitto tra loro.

Il provider dell’hosting fa automaticamente il backup

E quando avete provato il restore l’ultima volta? Un sistema di backup per essere considerato buono deve essere testato regolarmente, altrimenti è inutile se non dannoso dato che vi fa vivere una falsa sensazione di sicurezza. Considerate poi un’altra cosa: la ditta di hosting potrebbe chiudere, fallire, il server potrebbe rompersi fisicamente o essere sequestrato dall’autorità giudiziaria (vedi il punto 4 e i “vicini di server”) siete in grado di fronteggiare questa situazione?

Ho trovato questo fighissimo software su internet

Cioè, esattamente dove lo hai trovato? E sei sicuro di volerlo installare sul tuo sito? Non è che per caso si tratta di un template o di un plugin che normalmente è a pagamento e che hai trovato su qualche circuito di file sharing? Non ti è venuto il dubbio che chi lo ha messo in circolazione probabilmente ha fatto un paio di modifiche prima di condividerlo? Modifiche che fanno i suoi interessi, non i tuoi e quelli del tuo sito!

Aggiornare?

Non fate regolarmente gli aggiornamenti perchè…

  • non pensate che sia importante
  • non siete capaci di fare gli aggiornamenti da soli
  • avete modificato qualcosa e avete paura che un aggiornamento vi faccia perdere tutto
  • inserite la vostra scusa qui…

Qualunque software può contenere dei bug. Che si il software installato sul vostro computer, quello che fa funzionare il server, un plugin o un’estensione del vostro CMS preferito c’è sempre la possibilità che il produttore di un software si accorga di un problema dopo averlo rilasciato, è normale. Così come ci sono gli aggiornamenti di windows ci sono anche quelli di linux, di Joomla e di WordPress, trascurarli significa ignorare una delle più basilari regole della sicurezza informatica.

La sicurezza è importante solo per i grandi siti

Questo potrebbe essere il titolo di un libro il cui sottotitolo sarebbe “perchè un hacker dovrebbe prendersela col mio sito dato che non ho carte di credito e nemmeno liste di utenti?”
Purtroppo questo non è vero, le cose non stanno così. Ogni sito e ogni server web è una preta ambita di molti criminali. Usano degli script automatici per tentare varie azioni malevole e a questi script non importa se il vostro sito è piccolo e poco frequentato. Il motivo per cui i criminali informatici sono interessati ad attaccare il vostro sito sono diversi, eccone qualcuno:

  • Defacing: in questo caso si tratta “soltanto” di vandalismo e l’obiettivo è di mettere al posto delle vostre pagine contenuti di altro tipo. Possiamo considerarlo l’equivalente informatico di una rigatura su una fiancata di una macchina.
  • Phishing: qui entriamo nell’illegalità, sul vostro sito mettono una pagina che somiglia a quella di una banca per raccogliere username e password di utenti maldestri. A voi il compito di spiegare al sottufficiale della polizia postale di essere vittime e non complici della truffa.
  • Spamming: il vostro sito viene usato per inviare posta indesiderata (viagra, gioco d’azzardo, pornografia ma anche virus e trojan)
  • Spamming2: nel vostro sito vengono inseriti dei link a vostra insaputa, lo scopo è garantire un aumento di pr ad altri. Questa minaccia sembrerebbe essere poco pericolosa e lo sarebbe se non avesse come minimo un paio di conseguenze gravi: i siti linkati a vostra insaputa potrebbero anche contenere contenuti illegali, inoltre google si accorge della presenza di questi link e, inevitabilmente, valuta di conseguenza il vostro sito come un luogo mal frequentato con le ovvie conseguenze nelle ricerche
  • Botnet. il vostro sito viene inserito in una rete di server per lanciare un attacco DDOS (Distributer Denial of Service)

Ogni sito, ogni server è un obiettivo interessante e succulento per un hacker, anche il vostro!

Abbiamo già fatto tutto quanto visto qui sopra

Ottimo, siamo a buon punto. possiamo parlare un attimo di traffico http, ftp e email? Sapete che nella maggior parte dei casi questo traffico viaggia non criptato?

  • Non usate qualunque wifi trovate, è bellissimo essere sempre connessi (meglio ancora se gratis) con palmari, tablet e smartphone ma tenete sempre a mente che il proprietario del router, colui che sta offrendo connettività gratuita, potrebbe intercettare il traffico che generate e leggere tutto quello che passa non criptato
  • Anche in una rete sicura il traffico non criptato è intrinsecamente pericoloso. E’ è per questo motivo che alcuni siti molto popolari come facebook, google e twitter hanno iniziato a usare sempre comunicazioni criptate su https. Putroppo alcuni cms (sì anche joomla, wordpress e drupal) non obbligano usare un protocollo sicuro per collegarsi al backend per cui quando inserite username e password questi dati viaggiano in chiaro, potenzialmente questi dati sono intercettabili sulla vostra rete. Il vostro vicino di scrivania non è un criminale, lo sappiamo, ma magari sul suo computer c’è installato un malware che se ne sta silenzioso cercando di intercettare tutte le password che viaggiano in rete per inviarle al suo autore.

Quando possibile usate sempre protocolli di comunicazione sicura, non solo quando vi collegate alla banca o a un sito di commercio elettronico, https per la navigazione, sftp per il trasferimento di file, tls per le email e ssh se dovete collegarvi alla console del server.

Foto di PhotoMIX Company da Pexels

Articoli correlati:

SecurityUn po’ di sicurezza per wordpress lock350 miliardi di password al secondo cacheTutto quello che avreste voluto sapere sulla cache Plugin per GutenbergWordPress con gli steroidi: i migliori Plugin per Gutenberg del 2023

Iscriviti alla nostra Newsletter

Iscriviti se vuoi ricevere aggiornamenti, ti invieremo al massimo una mail alla settimana con novità dal mondo dei motori di ricerca
Ho letto e accetto le informazioni sulla privacy

Interazioni del lettore

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *