logo logo

La sicurezza di un sito web


la sicurezza di un sito web


Ebbene sì,

purtroppo anche i siti web possono essere attaccati dagli hacker in cerca di dati sensibili, o contaminati da virus e malware.
Proteggere il proprio sito non è solo un interesse personale, ma anche un dovere verso i propri utenti.
Oltre a ciò, se non ci si accorge subito dell'infezione, i motori di ricerca (Google per primo) possono infliggere forti penalizzazioni.

Gli script infetti si possono insediare all'interno del codice del sito e non è facile accorgersene, soprattutto se il sito è stato costruito utilizzando librerie lunghe e complesse, create da più sviluppatori. Questo è uno dei motivi per cui i siti web maggiormente presi di mira sono proprio quelli costruiti utilizzando i pesanti CMS (Wordpress, Joomla, Drupal ecc). A ciò si aggiunge il fatto che i siti costruiti con questi CMS sono tantissimi e che tramite un sito infetto si possono infettare milioni di altri siti.

Questo tipo di siti web è oggetto di vulnerabilità, come il "Cross-site scripting(XSS)" che è tipico, appunto, dei siti dinamici.
Questa vulnerabilità permette agli hacker di inserire uno o più script parassiti nel codice del sito, tramite i quali raccogliere dati e informazioni riservate, o modificare i dati e alterare le pagine e le funzionalità del sito stesso fino alla paralisi totale del sito.
Altre volte, invece, il sito web sembra funzionare regolarmente e non ci si accorge di nulla mentre il parassita lavora silenzioso e indisturbato.

I CMS, open source o di terze parti (programmi online per la creazione di siti web), con la loro complessità e l'utilizzo di molte applicazioni e plugin, sono il bersaglio ideale per questo tipo di attacchi.

Citazione:
"Quando le vulnerabilità si manifestano su questi CMS, è molto peggio rispetto a una falla su un sito di creazione propria. Questo perchè l'attacco coinvolge chiunque abbia un sito in WordPress piuttosto che una sola pagina. È inoltre più probabile che le vulnerabilità siano largamente conosciute e, quindi, largamente sfruttate. Un malintenzionato può iniettare del codice per ottenere l'accesso al sottostante sistema operativo o può sovvertire un sito e sfruttare la fiducia degli utenti per raccogliere dati personali. In entrambi i casi, si ottiene molto di più rispetto al singolo accesso: si raggiungono reti corporate interne e si possono sfruttare i dati dei clienti". (James Brown, CEO della società di controllo StillSecure)

Basta una semplicissima ricerca in rete per scoprire quanti e quanti attacchi si sono già verificati e di quale portata.

Quando un sito viene infettato, riuscire a liberarlo è quasi impossibile.

Se prendono il controllo di un sito, gli hacker sono in grado di installare delle "backdoor", tramite le quali possono reinfettare il sito nuovamente, anche se il malware è stato rimosso e se il CMS è stato aggiornato.

In più, la backdoor si replica anche su altri siti che utilizzano il medesimo CMS e l'attacco prende dimensioni smisurate.

Anche se non è il vostro sito, quindi, a subire un attacco diretto, ugualmente potete essere infettati tramite altri siti che sono già stati infettati.

Il danno, poi, non è solo per il sito web che ospita il malware, ma anche per i suoi utenti. Dal sito infetto, tramite dei cookie con codice criptato, gli hacker possono immettere virus e spyware nei vari computer, con le conseguenze che potete facilmente immaginare.

In alcuni casi, gli hacker arrivano a chiedere un riscatto ai proprietari del sito web in cambio della liberazione del sito.

Immaginate un grosso sito con molte pagine e già ben indicizzato, o un ecommerce avviato, chi vorrebbe perderlo e rifarlo da capo con grosse perdite di guadagno? Molti preferiscono pagare e così questo mercato illegale continua ad essere alimentato.

Come difendersi?

Premesso che l'immunità assoluta da questi attacchi è impossibile da ottenere, possiamo almeno cercare di non creare le condizioni adatte per subirli.
Se gli argomenti trattati finora non vi hanno convinti a preferire un sito web semplice scritto in codice HTML ad un sito dinamico pesante e complesso costruito con un CMS, forse questo argomento vi convincerà di più.
Il primo modo, infatti, per non essere scelti come bersaglio dagli hacker è proprio quello di avere un sito web con dei codici puliti, molto ordinati ed essenziali. Codici che sono facile da imparare a leggere e conoscere nella loro struttura e in cui risulterebbe più difficile nascondere qualcosa.

Siti come questi sono raramente attaccati, proprio per la loro trasparenza e perchè è molto più comodo utilizzare un terreno adatto, semplicissimo da trovare tra i miliardi di siti dinamici con le loro infinite librerie e i tanti plugin.

Forse non avevate mai considerato questo aspetto?

Un altro grande vantaggio, non certo trascurabile, sta nel fatto che un sito in HTML è contenuto tutto nella sua cartella e non servono complicate procedure di backup.
Conservando la copia originale e\o una copia aggiornata e integra del vostro sito sul desktop e nella remota ipotesi, o sospetto, che il sito online sia stato infettato, vi basterà sovrascriverlo, ricaricandone la copia intatta.

Non essendo gestito da programmi comuni e non dipendendo da applicazioni di terzi, il vostro sito non avrà mai le vulnerabilità di cui abbiamo parlato.

Scusate se tutto questo è poco....


Guarda anche i miei template e se ti piace quello che faccio..

Contattami

..per parlare del tuo progetto e per un preventivo gratuito e senza impegno.