Un Sito web sicuro

Un Sito web sicuro

Ti è mai capitato?

“Ho fatto il mio sito, funziona benissimo, ricevo visite, e poi all’improvviso Google mi banna. Il motivo è che faccio spam, oppure potrebbe essere qualche altra ragione come virus o altro. “

“Google non ha bannato ma comincio a vedere dei rallentamenti nel caricamento delle pagine, e non ne capisco la ragione. Eppure non ho installato nulla, né ho messo su articoli o immagini…”
“Il sito è sparito, non è più raggiungibile, non riesco ad accedervi, o se vi accedo trovo un caos pauroso e nuovi utenti nel mio sito.”

 

**** AIUTO MI HANNO HACKERATO! Che cosa faccio?  ***

[lwptoc depth=”2″ hierarchical=”1″ numeration=”none” title=”Indice dell\’articolo” toggle=”1″ labelShow=”mostra” hideItems=”1″]

Questo argomento è molto caldo in questo periodo del Covid 19 perché gli attacchi informatici si sono moltiplicati, la ragione è che molti hanno più tempo da poter dedicare a dar “fastidio”.

Le misure di prevenzione per avere un sito web sicuro che posso indicarti sono quelle basilari perché non è possibile dirti come fare senza cominciare a darti una serie di codici di programmazione. Cercherò di indicarti comunque delle ottime soluzioni senza dover per forza intervenire sul codice del tuo sito.

Prima di iniziare è corretto specificare che non esistono barriere invalicabili sia nella vita reale sia nel mondo digitale.

Sei invece hai già questo problema puoi vedere questo articolo, qui ti indico solo alcuni accorgimenti da usare per ridurre i rischi di attacchi.

 

Il tuo Sito Web = la tua Casa online

 

Immaginiamo il web come una casa in cui prevediamo sistemi di sicurezza e allarmi per le intrusioni.
Probabilmente andremo a dormire o usciremo di casa più sereni. Nonostante questo restiamo consci del fatto che possono esserci dei malintenzionati talmente bravi da superare le difese che abbiamo posto.

Ma almeno non entrerà chiunque con estrema facilità!

La prima cosa che il tecnico che deve montarci l’allarme fa è porci o porsi delle domande:

  1. Chi potrebbe entrare?
  2. Da dove potrebbe entrare?
  3. Perché dovrebbe entrare?
  4. Quali misure devo adottare?

Vi sembra banale la prima domanda? Eppure è essenziale. Nel domandarci CHI, poniamo le basi per la nostra reale sicurezza. Se individuiamo caratteristiche, aspettative, generalità ecc… abbiamo un quadro chiaro di cosa dobbiamo combattere.

SFATIAMO UN MITO:

La maggioranza degli attacchi informatici non è fatta manualmente da un individuo che cerca di entrare nel vostro sito perché l’ha preso di mira!

Un Hacker usa un programma che fa il lavoro per lui, e magari su centinaia di siti alla volta. Che ci capitiate sotto voi a lui neanche interessa!

A meno che non siate un personaggio pubblico o un’istituzione, il vostro sito al 90% dei casi non è attaccato da un uomo, ma da un software. L’essere umano che sta dietro ha solo impostato i parametri d’attacco conoscendo le vulnerabilità della maggior parte dei siti.

E questa è l’informazione cruciale che ci servirà per impostare le difese.

 

Precisazione: Non è possibile indicare misure di sicurezza identiche, ogni sito è un caso a sé!

Qui c’è una precisazione essenziale da fare. Non è possibile indicare misure di sicurezza identiche per ogni sito web. Necessariamente dobbiamo indicare le misure adatte alla maggioranza dei siti attualmente in circolazione. Ed anche in questo caso sono misure di massima, perché ogni sito è un caso a sé stante.

 

RIFLESSIONE SU WORDPRESS

WordPress ti permette di creare un sito web sicuro? Riflettiamoci.

La maggioranza dei siti sviluppati oggi (l’83%) è in WordPress, ma anche la maggioranza dei siti infettati è in WordPress!

Qui si genera una riflessione:

  • Se la maggioranza è fatta in WordPress è logico che i siti WordPress siano quelli più hackerati!
  • Se la maggioranza dei siti è in WordPress la maggioranza dei sistemi di attacco informatico è creata per nuocere a sistemi fatti con WordPress.
  • Se i siti WordPress hackerati sono così tanti allora WordPress è davvero sicuro?

 

Sito web sicuro

Rispondere Alla Domanda: WordPress è sicuro?

Se parliamo di ingressi la cosa più logica che ci viene in mente è una porta o una finestra. E tornando alla nostra casa immaginaria, stiamo analizzando i punti in cui la casa ha maggiori vulnerabilità.

  • Le “porte” di un sito WordPress sono il server, il database, i plugin, il tema, le immagini, il sistema stesso di WordPress (cms).

Lo Scenario è Duplice

Quindi qui lo scenario è duplice: ci sono attacchi su qualcosa che NON potete controllare tanto, cioè l’hosting, e attacchi diretti al vostro sito web.

Il mio consiglio è:

Per avere un sito web sicuro, non scegliete Server di poco prezzo, nel 90% dei casi le infrastrutture adottate non sono protette a sufficienza, per una semplice legge di mercato, o se lo sono le prestazioni del server non sono ottimali.

Wp-login -> Brute force

La maggior fonte di infezioni a siti WordPress avviene in modo davvero elementare. Dalla porta principale.
La porta principale è la prima via che un hacker tenta di intraprendere, cioè dalla pagina di login.

I tentativi di accesso tramite la nostra porta principale sono detti anche attacchi Brute-Force.

I tentativi di accesso brute-force utilizzano script (software) automatici per sfruttare password deboli e accedere al vostro sito.

Se usate WordPress provate ad installare Limit Login Attempts (che limita i tentativi di login al sito) così sarà più complesso accedere  alla vostra area amministrativa.

 

Sistemi di protezione che possiamo adottare contro il Brute-force.

Caratteristiche essenziali di un sito web sicuro sono l’autenticazione a due fattori, la limitazione dei tentativi di accesso (ad esempio massimo tre accessi non riconosciuti), il monitoraggio degli accessi non autorizzati, il blocco degli IP e l’utilizzo di password forti. Questi sono solo alcuni dei metodi più semplici ed efficaci per prevenire attacchi brute-force.

Sfortunatamente, molti proprietari di siti WordPress non si adeguano a queste prassi di sicurezza, quindi gli hacker sono facilmente in grado di compromettere fino a 30.000 siti web in un solo giorno utilizzando attacchi brute-force.

Password semplici

Un sito web sicuro non può avere come password 123456! Nella maggior parte dei siti WordPress le password sono estremamente semplici! Anche un ragazzino riesce a entrare, figuriamoci un software ben scritto! Usate password complesse, molto complesse!

Come faccio a ricordare tutte quelle password?

 

Gestire le password
Gestire le password

 

A dir la verità il modo più sicuro è ancora scriverle, cosa che non fa praticamente nessuno. Il motivo è che anche i programmi che utilizzate per ricordarle sono una porta che aprite. Supponiamo che il vostro computer o il vostro dispositivo sia infettato, addio alla sicurezza!

Qualcuno vi ha detto di usare qualcosa che ricordate e fa parte della vostra vita per ricordare le vostre password? Non fatelo, è molto semplice sapere di voi ogni cosa oggi!

Usate una composizione di lettere maiuscole, simboli e numeri. Qualche software ci proverà comunque a darci battaglia, rendiamogli la vita difficile!

Se vi state domandando se WordPress sia sicuro la risposta è sia positiva che negativa, può esser sicuro perché ci lavorano tantissime persone per tenerlo sempre aggiornato e sicuro; può esser non sicuro se non lo aggiornate e non lo mettete in sicurezza.
L’importante è conoscere i tipi di attacchi che possiamo ricevere e cercare di prevenirli.
Altri tipi di siti web con CMS proprietari potrebbero essere addirittura più vulnerabili di WordPress.

Alcuni tipi di attacchi informatici

Un sito web sicuro deve sapersi difendere da diversi tipi di vulnerabilità, come queste, che sono tipiche di WordPress:

  1. Backdoor,
  2. Tentativi di Accesso Brute-force che abbiamo visto,
  3. Redirect Malevoli,
  4. Cross-site Scripting (XSS),
  5. Denial of Service

Le Backdoor

 ➡ Le più diffuse sono e backdoor, spesso criptate per apparire come legittimi file di sistema di WordPress e si fanno strada attraverso i database di WordPress, sfruttando debolezze e bug delle versioni obsolete della piattaforma. Ecco che diventa cruciale tenere il nostro CMS sempre aggiornato!

Un’altra tattica sono Reindirizzamenti Malevoli (redirect)

I reindirizzamenti malevoli creano backdoor nelle installazioni WordPress e iniettano codici di reindirizzamento nel sito web. I redirect vengono spesso inseriti nel file .htaccess e in altri file del core di WP in moduli codificati, indirizzando il traffico web verso siti maligni.

Qui scatta il ban di Google!

Un’altra cosa da fare è usare sempre l’https!

Se si gira su http, ogni volta che una persona esegue l’accesso, tali informazioni vengono passate al server come testo normale.
HTTPS è assolutamente vitale per mantenere una connessione sicura tra un sito Web e un browser. In questo modo potete prevenire meglio che hacker o intrusi ottengano l’accesso al vostro sito web.

Le cose da fare sono tante, una volta impostate però il sito resta più protetto. Io non posso dirti tutto quello che c’è da fare senza entrare nel merito di cose un po’ più complesse come codici da inserire nel file function o reindirizzamenti tramite codice php.

 💡 Un suggerimento su come avere un sito web sicuro anche se non sei un tecnico

Se vuoi un sito web sicuro ma sei neofita o non sai programmare la cosa migliore è:

  1. Affidarsi a un buon hosting,
  2. Creare una copia dei propri articoli sul proprio computer e avere l’abitudine di fare un backup del sito ogni volta che facciamo una modifica. In questo modo qualunque cosa capiti possiamo sempre tornare indietro!
  3. Altra cosa da fare è usare le misure che ho indicato prima
  4. Installare un buon plugin per la sicurezza.

Ce ne sono tanti io vi suggerisco uno paio di questi: All in One WP Security e iThemes Security

Comprendono molte delle funzionalità necessarie per mettere in sicurezza il sito e hanno delle guide per imparare a impostarli correttamente.

Suggerimento professionale

Quando metti in sicurezza il tuo sito non pensare di aver messo un poliziotto a guardia e di non doverci pensare più, ogni tanto dai uno sguardo a messaggi spam o tentativi di accesso e ricordati di cambiare la password periodicamente.

 

Se ti è piaciuto quest’articolo diffondi, condividi, “Newsletterati” cliccando qui! 😉

Lascia un commento