{"id":5113,"date":"2018-10-31T10:55:14","date_gmt":"2018-10-31T08:55:14","guid":{"rendered":"https:\/\/www.addlance.com\/blog\/?p=5113"},"modified":"2021-02-17T23:34:44","modified_gmt":"2021-02-17T22:34:44","slug":"come-fare-sito-sicuro","status":"publish","type":"post","link":"https:\/\/seven.addlance.com\/beta\/blog\/come-fare-sito-sicuro\/","title":{"rendered":"Controlli e Strumenti per Rendere sicuro un Sito Web"},"content":{"rendered":"<p dir=\"ltr\"><img decoding=\"async\" class=\"alignright wp-image-5115 size-medium\" title=\"come fare un sito sicuro\" src=\"https:\/\/www.addlance.com\/wp-content\/uploads\/2018\/10\/come-fare-un-sito-sicuro-300x200.jpg\" alt=\"come fare un sito sicuro\" width=\"300\" height=\"200\" srcset=\"https:\/\/seven.addlance.com\/beta\/blog\/wp-content\/uploads\/2018\/10\/come-fare-un-sito-sicuro-300x200.jpg 300w, https:\/\/seven.addlance.com\/beta\/blog\/wp-content\/uploads\/2018\/10\/come-fare-un-sito-sicuro-1024x683.jpg 1024w, https:\/\/seven.addlance.com\/beta\/blog\/wp-content\/uploads\/2018\/10\/come-fare-un-sito-sicuro-768x512.jpg 768w, https:\/\/seven.addlance.com\/beta\/blog\/wp-content\/uploads\/2018\/10\/come-fare-un-sito-sicuro-1536x1024.jpg 1536w, https:\/\/seven.addlance.com\/beta\/blog\/wp-content\/uploads\/2018\/10\/come-fare-un-sito-sicuro-610x407.jpg 610w, https:\/\/seven.addlance.com\/beta\/blog\/wp-content\/uploads\/2018\/10\/come-fare-un-sito-sicuro-1080x720.jpg 1080w, https:\/\/seven.addlance.com\/beta\/blog\/wp-content\/uploads\/2018\/10\/come-fare-un-sito-sicuro.jpg 1920w\" sizes=\"(max-width: 300px) 100vw, 300px\" \/>Quante volte hai letto \u201cs<em>ito non sicuro<\/em>\u201d sulla<strong> barra di navigazione<\/strong> del <em>browser<\/em>? Oppure quante volte hai letto su una <strong>normativa privacy<\/strong> di un negozio online \u201c<em>i<\/em><em>l sito trasferisce i dati in maniera sicura<\/em>\u201d? Ormai la parola \u201c<strong>sicurezza<\/strong>\u201d nell&#8217;ambito web \u00e8 diventata una <strong>pedina fondamentale<\/strong>, soprattutto con l&#8217;avvento della <strong>Legge sul GDPR<\/strong>. Nonostante sia obbligatorio ormai,\u00a0 oltre che fondamentale, molte persone che si approcciano allo sviluppo di un&#8217;idea o di una professione sul web trascurano questo aspetto o non sanno esattamente come fare un sito sicuro. Rischiano cos\u00ec non solo di avere un danno al sito con conseguente dispendio di tempo e di soldi per ripristinare, ma in caso di furto di dati degli utenti anche in qualche sanzione.<\/p>\n<p dir=\"ltr\"><!--more--><\/p>\n<p dir=\"ltr\" style=\"text-align: center;\">Leggi anche <a href=\"https:\/\/www.addlance.com\/blog\/gdpr-freelance\/\" target=\"_blank\" rel=\"noopener\">GDPR: la legge riguarda anche i freelance?<\/a><\/p>\n<p dir=\"ltr\">La sicurezza di un sito web \u00e8 uno <em>step<\/em> da considerare, insieme al Design del sito e al suo sviluppo. Per non parlare del <strong>posizionamento sui motori di ricerca<\/strong>: ormai <strong>Google<\/strong> \u00e8 in grado di etichettare come \u201cn<em>on sicuro<\/em>\u201d qualsiasi sito web che non abbia il <strong>certificato SSL<\/strong>. La penalizzazione del sito \u00e8 la sua naturale conseguenza. E tu dirai: \u201c<em>Ma come fare un sito sicuro, come\u00a0verificare tutto? Gli hacker sono dei geni dell&#8217;informatica!<\/em>\u201d. \u00a0Beh, \u00e8 vero che alla <strong>sicurezza informatica<\/strong> non c&#8217;\u00e8 limite perch\u00e9 le tecnologie si rinnovano continuamente, per\u00f2 applicando alcune semplici azioni potrai rendere molto difficile il lavoro agli <em>hacker<\/em> e fare desistere la maggior parte di loro.<\/p>\n<h2 dir=\"ltr\"><\/h2>\n<h2 dir=\"ltr\">Come fare un sito sicuro: a che tipo di attacco pu\u00f2 essere sottoposto il tuo sito web?<\/h2>\n<p dir=\"ltr\">Come primo passo, voglio spiegarti alcuni termini sulle tipologie di attacco che si verificano maggiormente su un sito. Il sito pu\u00f2 essere attaccato con:<\/p>\n<div dir=\"ltr\">\n<ul>\n<li><strong>DoS<\/strong> : \u00e8 un attacco nel quale il<em> server<\/em> sul quale risiede il tuo sito viene sottoposto a un <strong>invio costante e dispendioso di dati<\/strong> con lo scopo di saturarne le risorse e renderlo inutilizzabile agli utenti o agli amministratori. Di solito gli aggressori si servono di <em>botnet,<\/em> ovvero di dispositivi dei quali \u00e8 stato preso possesso all&#8217;insaputa del proprietario tramite <em>malware<\/em>. Lo scopo\u00a0\u00e8 quello di\u00a0utilizzarli come risorsa di attacco verso il sito da colpire.<\/li>\n<li><strong>XSS Cross site Scripting<\/strong>: \u00e8\u00a0un tipo di attacco molto diffuso, soprattutto negli ultimi tempi. Ci sono vari sottotipi di questa categoria, ma in generale il procedimento \u00e8 simile. Si tratta di\u00a0<strong>lanciare del codice malevolo<\/strong> (in genere Javascript) da un <em>input<\/em> utente o da un<em> link<\/em> cliccato da un email, al fine di eseguire uno <em>script<\/em> che <strong>carpisce dati sensibili<\/strong> da <em>cookie<\/em> o altri dati conservati lato <em>client.<\/em> Oppure viene usato per alterare\u00a0la visualizzazione del sito.<\/li>\n<li><strong>SQL Injection(Attacco al <em>database<\/em>)<\/strong>: consiste nell&#8217;attaccare il <em>database<\/em>, in genere con codice SQL (il linguaggio pi\u00f9 diffuso tra i sistemi<em> database<\/em>) tramite i <em>form<\/em> presenti sul sito che interagiscono col <em>database<\/em> stesso. Il fine? Eseguire istruzioni in grado di carpire informazioni dal database o addirittura di cancellarlo.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<\/div>\n<h2>Come fare un sito sicuro: i controlli per verificarne lo stato di sicurezza<\/h2>\n<p>Quando vuoi verificare <strong>se il tuo sito \u00e8 sicuro<\/strong> ci sono una serie di servizi online alcuni anche gratuiti che permettono di fare un <em>check<\/em> delle vulnerabilit\u00e0. Il servizio non fa altro che simulare un attacco al fine di <strong>verificare i punti deboli del sito. <\/strong>Non sto qui ad elencare tutti i servizi perch\u00e9 il web ne \u00e8 pieno. Basta che tu cerchi \u201c<em>website security check<\/em>\u201d e Google ti visualizza una serie di siti dove inserire il link del tuo sito e fare il controllo. Tuttavia mi sento di consigliarne due su tutti che sono\u00a0 molto affidabili e gratis:<\/p>\n<ul>\n<li><a href=\"https:\/\/sitecheck.sucuri.net\/\" target=\"_blank\" rel=\"noopener\">Sitecheck<\/a>: Questo servizio fa un<strong><em> check di malware<\/em><\/strong> e codice malevolo all&#8217;interno del sito. Ovviamente premetto che questi sono servizi che comunicano la presenza o meno di <em>malware<\/em> o codice anomalo.<\/li>\n<li><a href=\"https:\/\/scanmyserver.com\/my_account\/\" target=\"_blank\" rel=\"noopener\">Scanmyserver<\/a>: Questo \u00e8 un altro buon servizio che previa registrazione gratis fa la <strong>verifica del sito<\/strong> e manda un <em>report<\/em> via email. Per un solo sito \u00e8 gratuito mentre se si ha necessit\u00e0 di verifica <em>multisite,<\/em> c&#8217;\u00e8 il pagamento di una piccola somma.<\/li>\n<\/ul>\n<p>Tuttavia, in caso di rilevamento di sito <em>hackerato,<\/em> a meno che tu non sia uno sviluppatore o un esperto di reti, \u00a0\u00e8 consigliabile <a href=\"https:\/\/www.addlance.com\/web-designer\"><strong>rivolgersi ad un professionista<\/strong><\/a>.\u00a0Comunicando l&#8217;esito del servizio, il professionista (anche <em>freelance<\/em>) in questione pu\u00f2<strong> risolvere le vulnerabilit\u00e0<\/strong> e intraprendere anche delle azioni di prevenzione. I servizi online molte volte offrono anche di risolvere le problematiche, ovviamente dietro il pagamento di una quota.<\/p>\n<p>&nbsp;<\/p>\n<h2>Come fare un sito sicuro: 7 strumenti e azioni &#8220;salva vita&#8221;<\/h2>\n<p>Come ti ho appena spiegato, il controllo tramite <em>tool<\/em> di verifica della sicurezza del sito \u00e8 importante, ma la cosa pi\u00f9 efficace per avere il tuo sito protetto e al sicuro il pi\u00f9 possibile \u00e8 <strong>attuare una serie di buone pratiche<\/strong> o applicazione di strumenti atti sia a rendere il sito sicuro e a essere in grado di ripristinarlo in caso di attacco. Di seguito ti elenco le azioni fondamentali in ordine di complessit\u00e0. Iniziamo dalle pi\u00f9 immediate fino ad alcune azioni che richiedono qualche nozione di informatica in pi\u00f9:<\/p>\n<ul>\n<li><strong>Utilizzare password complesse<\/strong>: questa credo sia l&#8217;azione pi\u00f9 facile da fare e comunque ricopre un ruolo fondamentale. Alcuni <em>hacker<\/em> lanciano\u00a0dei <em>software<\/em> o <em>script<\/em> che eseguono a ripetizione il <em>check<\/em> della password con una <strong>lista di password contenute in un file.<\/strong> Quindi se la password \u00e8 molto complessa, l&#8217;algoritmo pu\u00f2 richiedere un lasso di tempo veramente grande che potrebbe portarlo a stoppare lo<em> script<\/em> oppure non riuscire a scovarla perch\u00e9 la sua lista non la contiene<\/li>\n<li><strong>Non utilizzare nomi standard per gli utenti <em>admin<\/em><\/strong>: sia che abbiate una applicazione fatta da zero sia che usiate un <em>frame<\/em><em>work<\/em> o\u00a0CMS molte volte viene creato un utente amministratore con nomi standard, come <em>admin o administrator<\/em>. Uno dei primi controlli che il malintenzionato far\u00e0 sar\u00e0 proprio cercare tra questi nomi.<\/li>\n<li><strong>Abbassare il livello di accesso<\/strong> del primo utente del <em>database:<\/em> quando viene impostato il sito, quasi sempre viene creato l&#8217;<em>admin<\/em> e ovviamente va nella prima posizione del <em>database<\/em>. \u00c8\u00a0buona prassi quella di creare un ulteriore utente amministratore e poi abbassare il livello del primo utente ad uno con <strong>permessi minimi.<\/strong> Questo perch\u00e9 a volte l<em>&#8216;hacker<\/em> fa una ricerca nel <em>db<\/em> per trovare utente e password del record con id 1 del <em>database<\/em>. Passare del tempo per entrare nel <em>db<\/em>, accedervi ma poi scoprire che con quell&#8217;utente non pu\u00f2 fare nulla lo far\u00e0 desistere.<\/li>\n<li><strong>Utilizzare certificati SSL<\/strong>: ormai \u00e8 diventato quasi obbligatorio viste le ultime leggi sulla protezione dei dati e la modifica dell&#8217;algoritmo di Google. Il certificato SSL permette lo scambio dei dati nelle pagine tramite sistema crittografato. Utilizza il protocollo <em>https.<\/em><\/li>\n<li><strong>Tenere i sistemi aggiornati<\/strong>: assicurati di avere sempre l&#8217;ultima versione del linguaggio di programmazione, il <em>framework<\/em>, il CMS, le librerie che utilizzi. La maggior parte degli aggiornamenti riguardano <strong>implementazione a falle di sicurezza<\/strong>, quindi \u00e8 veramente importante.<\/li>\n<li><strong>Creare il <em>backup<\/em> del sito:<\/strong> questa, anche se non \u00e8 proprio un&#8217;azione di messa in sicurezza, \u00e8 comunque un azione che ti salva dai danni economici e di visibilit\u00e0.\u00a0Esegui sempre un <em>backup<\/em> sia del sito che del database. In caso di violazione o di inutilizzabilit\u00e0 del sito, puoi sempre ripristinare la situazione. La frequenza decidila tu, a seconda di quanto spesso aggiorni il sito.<\/li>\n<li>Se sei un programmatore<strong> \u00e8 indispensabile evitare<\/strong>, come gi\u00e0 spiegato prima, <strong>la XSS e la Sql Injection<\/strong>: se stai creando un sito da zero documentati sugli strumenti disponibili nel linguaggio di programmazione usato che eseguono queste prassi Se usi dei <em>framework<\/em> o\u00a0CMS assicurati che siano implementate le funzioni relative.<\/li>\n<\/ul>\n<div>Spero che dopo questo articolo sarai pi\u00f9 attento alla sicurezza del tuo sito. Quelle descritte sono verifiche e prassi basilari da tenere sempre presenti, in quanto l&#8217;argomento sicurezza \u00e8 molto\u00a0importante e merita degli approfondimenti dopo la lettura di questo articolo, soprattutto perch\u00e9 \u00e8 sempre in costante evoluzione. Ovviamente utilizzando dei\u00a0CMS come <strong>WordPress, Joomla o Prestashop<\/strong> la maggior parte delle azioni descritte sopra (e molte altre) possono essere fatte con l&#8217;utilizzo di <strong><em>plugin<\/em> <\/strong>che facilitano di gran lunga il compito.<\/div>\n<div><\/div>\n<div><em>Guest post a cura di Mirko Coppola<\/em><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Come fare un sito sicuro e renderlo a prova di hacker. Anche se non sei un professionista, ecco 7 efficaci consigli. Se il sito \u00e8 stato attaccato? Leggi qui<\/p>\n","protected":false},"author":5,"featured_media":5115,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[17,16],"tags":[18,31,45],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/posts\/5113"}],"collection":[{"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/comments?post=5113"}],"version-history":[{"count":1,"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/posts\/5113\/revisions"}],"predecessor-version":[{"id":10873,"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/posts\/5113\/revisions\/10873"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/media\/5115"}],"wp:attachment":[{"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/media?parent=5113"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/categories?post=5113"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/seven.addlance.com\/beta\/blog\/wp-json\/wp\/v2\/tags?post=5113"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}