logo logo


la sicurezza di un sito web

La sicurezza di un sito web

Ebbene sì,

purtroppo anche i siti web possono essere attaccati dagli hacker in cerca di dati sensibili, o contaminati da virus e malware.
Proteggere il proprio sito non è solo un interesse personale, ma anche un dovere verso i propri utenti.
Oltre a ciò, se non ci si accorge subito dell'infezione, i motori di ricerca (Google per primo) possono infliggere forti penalizzazioni.

Gli script infetti si possono insediare all'interno del codice del sito e non è facile accorgersene, soprattutto se il sito è stato costruito utilizzando librerie lunghe e complesse, create da più sviluppatori. Questo è uno dei motivi per cui i siti web maggiormente presi di mira sono proprio quelli costruiti utilizzando i pesanti CMS (Wordpress, Joomla, Drupal ecc). A ciò si aggiunge il fatto che i siti costruiti con questi CMS sono tantissimi e che tramite un sito infetto si possono infettare milioni di altri siti.

Questo tipo di siti web è oggetto di vulnerabilità, come il "Cross-site scripting(XSS)" che è tipico, appunto, dei siti dinamici.
Questa vulnerabilità permette agli hacker di inserire uno o più script parassiti nel codice del sito, tramite i quali raccogliere dati e informazioni riservate, o modificare i dati e alterare le pagine e le funzionalità del sito stesso fino alla paralisi totale del sito.
Altre volte, invece, il sito web sembra funzionare regolarmente e non ci si accorge di nulla mentre il parassita lavora silenzioso e indisturbato.

I CMS, open source o di terze parti (programmi online per la creazione di siti web), con la loro complessità e l'utilizzo di molte applicazioni e plugin, sono il bersaglio ideale per questo tipo di attacchi.

Citazione:
"Quando le vulnerabilità si manifestano su questi CMS, è molto peggio rispetto a una falla su un sito di creazione propria. Questo perchè l'attacco coinvolge chiunque abbia un sito in WordPress piuttosto che una sola pagina. È inoltre più probabile che le vulnerabilità siano largamente conosciute e, quindi, largamente sfruttate. Un malintenzionato può iniettare del codice per ottenere l'accesso al sottostante sistema operativo o può sovvertire un sito e sfruttare la fiducia degli utenti per raccogliere dati personali. In entrambi i casi, si ottiene molto di più rispetto al singolo accesso: si raggiungono reti corporate interne e si possono sfruttare i dati dei clienti". (James Brown, CEO della società di controllo StillSecure)

Basta una semplicissima ricerca in rete per scoprire quanti e quanti attacchi si sono già verificati e di quale portata.

Quando un sito viene infettato, riuscire a liberarlo è quasi impossibile.

Se prendono il controllo di un sito, gli hacker sono in grado di installare delle "backdoor", tramite le quali possono reinfettare il sito nuovamente, anche se il malware è stato rimosso e se il CMS è stato aggiornato.

In più, la backdoor si replica anche su altri siti che utilizzano il medesimo CMS e l'attacco prende dimensioni smisurate.

Anche se non è il vostro sito, quindi, a subire un attacco diretto, ugualmente potete essere infettati tramite altri siti che sono già stati infettati.

Il danno, poi, non è solo per il sito web che ospita il malware, ma anche per i suoi utenti. Dal sito infetto, tramite dei cookie con codice criptato, gli hacker possono immettere virus e spyware nei vari computer, con le conseguenze che potete facilmente immaginare.

In alcuni casi, gli hacker arrivano a chiedere un riscatto ai proprietari del sito web in cambio della liberazione del sito.

Immaginate un grosso sito con molte pagine e già ben indicizzato, o un ecommerce avviato, chi vorrebbe perderlo e rifarlo da capo con grosse perdite di guadagno? Molti preferiscono pagare e così questo mercato illegale continua ad essere alimentato.

Come difendersi?

Premesso che l'immunità assoluta da questi attacchi è impossibile da ottenere, possiamo almeno cercare di non creare le condizioni adatte per subirli.
Se gli argomenti trattati finora non vi hanno convinti a preferire un sito web semplice scritto in codice HTML ad un sito dinamico pesante e complesso costruito con un CMS, forse questo argomento vi convincerà di più.
Il primo modo, infatti, per non essere scelti come bersaglio dagli hacker è proprio quello di avere un sito web con dei codici puliti, molto ordinati ed essenziali. Codici che sono facile da imparare a leggere e conoscere nella loro struttura e in cui risulterebbe più difficile nascondere qualcosa.

Siti come questi sono raramente attaccati, proprio per la loro trasparenza e perchè è molto più comodo utilizzare un terreno adatto, semplicissimo da trovare tra i miliardi di siti dinamici con le loro infinite librerie e i tanti plugin.

Forse non avevate mai considerato questo aspetto?

Un altro grande vantaggio, non certo trascurabile, sta nel fatto che un sito in HTML è contenuto tutto nella sua cartella e non servono complicate procedure di backup.
Conservando la copia originale e\o una copia aggiornata e integra del vostro sito sul desktop e nella remota ipotesi, o sospetto, che il sito online sia stato infettato, vi basterà sovrascriverlo, ricaricandone la copia intatta.

Non avendo programmi in comune con siti altrui, il vostro sito non avrà mai le vulnerabilità di cui abbiamo parlato.

Scusate se tutto questo è poco....


Contattami per parlare del tuo progetto e per un preventivo gratuito e senza impegno....


Modulo di contatto