Un requisito fondamentale per un sito web è la sicurezza. La diffusione dei CMS ha reso il tema della vulnerabilità dei siti web estremamente importante. Piattaforme come Joomla, WordPress e Drupal, sono sempre più spesso soggette ad attacchi da parte di hacker, che utilizzano eventuali falle per danneggiare aziende o, peggio, per praticare azioni illegali come lo spamming.
La soluzione agli attacchi è sempre la stessa: mantenere le password e i dati sensibili in sicurezza e tenere il CMS sempre aggiornato con l’ultima release! Un CMS non aggiornato è molto vulnerabile.
Le cause dell’attacco possono essere attribuite ad un malware presente su un server o su un PC privo di protezioni, ma anche da plugin obsoleti e da vecchie versioni della piattaforma CMS.
I malware hanno come scopo principale la raccolta di vari tipi di credenziali di accesso ed altri dati sensibili quali ad esempio: i numeri di carte di credito, conto corrente online e account vari.
I malware vengono generalmente diffusi tramite siti web compromessi e tramite email di spam, offrendo quindi la possibilità di essere cambiati molto spesso e di non dover includere la capacità di auto-replicarsi e diffondersi, rendendoli meno riconoscibili e individuabili.
Vengono installati principalmente per usare la popolarità del sito e di conseguenza per diffondere pagine o prodotti (esempio: viagra, siti per adulti, casinò).
Solitamente l’attacco si manifesta con l’inserimento di un codice maligno su alcune pagine del sito.
Cosa occorre fare, quindi?
Provvedere al più presto nel “fare pulizia” perché Google lo potrebbe notificare come sito rischioso e facendoli perdendere punti nel ranking nel motore di ricerca.
È quindi possibile tutelarsi e mettere “al sicuro il proprio sito”?
Esistono delle precauzioni che possono ridurre la possibilità di attacchi, anche se può essere impossibile eliminare completamente i rischi di sicurezza connessi a terze parti, si può fare un buon lavoro per contenerli attraverso una pianificazione prudente, indipendentemente dal budget e dalla dimensione dell’azienda. La prevenzione è la politica più efficace.
Ecco i consigli di NeroBold:
Backup
Eseguite un backup periodico del sito e del database (meglio se vengono salvati su differenti supporti).
Antivirus
Se un computer dell’azienda è infetto da virus o malware, l’hacker potrebbe recuperare gli accessi ai vostri servizi con pochi sforzi rendendo inutili le precauzioni fatte al sito.
Quindi è fondamentale installare i software e gli antivirus più affidabili e fare attenzione a non aprire email sospette.
Password e rete sicura
Evitate password banali riconducibili alla vostra attività o interessi, ma createne con almeno 12 caratteri alfanumerici e simboli, cambiando la password con regolarità o almeno ogni 3 mesi.
La rete su cui navigate deve essere protetta! Attenzione alle reti wirelless free!
È consigliabile connettersi al server tramite SFTP per cifrare i dati durante la trasmissione in modo che la password non venga intercettata.
Hosting protetto
Scegliete un fornitore valido a cui affidare il proprio sito web. È fondamentale investire su un servizio di livello alto perché vi evita brutte sorprese in futuro. Anche se molti preferiscono non “sprecare” tempo, soldi e risorse nell’attività di prevenzione delle minacce online, quando avverrà una violazione, si farà di tutto per recuperare i propri dati, spesso senza risultato. La spesa per il recupero dei dati è molto superiore a quella connessa all’educazione alla prevenzione.
Risorse gratuite
Evitate l’utilizzo di temi e plugin gratuiti trovati in rete perché spesso non danno il supporto e gli aggiornamenti necessari per proteggere il sito.
Affidatevi, invece, a temi a pagamento o comunque quelli disponibili sui siti ufficiali.
Utenti
Evitate di usare come utente di amministrazione del sito “admin”, ma create un nuovo utente con una password forte e una user che non sia l’indirizzo email.
Aggiornamenti
Tenete sempre aggiornata l’ultima versione del CMS, dei temi e dei plugin utilizzati così riducendo la probabilità che il vostro sito possa venire “bucato”.
Gli attacchi a cui sono soggetti i vostri siti, difficilmente provengono da un hacker specializzato che tenta in tutti modi di violare i sistemi di sicurezza del server. Sicuramente esistono questi casi, ma gli obiettivi sono siti importanti multinazionali o enti.
Per i siti più comuni, è più verosimile che l’attacco venga svolto da BOT, ovvero software che fanno scan continui di internet alla ricerca di siti vulnerabili da violare in modo automatico senza l’intervento di un hacker in carne ed ossa.
Per questo fanno leva su bug già presenti e riconosciuti all’interno degli applicativi, magari anche bug vecchi, forti del fatto che sicuramente vi saranno siti non aggiornati.
La tua sicurezza per noi è importante!
Contattaci per sapere come puoi tenere lontani gli hacker dal tuo sito!
