Sicurezza di un sito web: i nostri consigli

Sicurezza di un sito web: i nostri consigli
4 Febbraio 2021

Le scorse settimane abbiamo approfondito il tema della cyber security , con alcuni consigli per proteggersi da possibili attacchi. Ci siamo soffermati anche sui software Cloud e su come selezionare i provider che devono utilizzare ambienti sicuri, mantenendo i propri sistemi sempre aggiornati, tutelando la protezione dei dati.
Oggi ci concentriamo sulla sicurezza dei siti web.

Chi si occupa ogni giorno di vendite online è necessario che utilizzi sistemi e procedure che permettano ai propri utenti di acquistare e navigare in totale sicurezza.
Vediamo nel dettaglio 5 aspetti che possono essere adottati per la sicurezza di un sito web.

Protocollo HTTPS per una navigazione sicura

Il protocollo HTTPS è l’evoluzione del protocollo HTTP, al quale aggiunge, di fatto, una S di sicurezza. Ormai è diventato uno standard attivarlo, perchè gli utenti si aspettano che le pagine che stanno visionando siano sicure e proteggano i loro dati. Piace anche ai motori di ricerca che premiano maggiormente i siti che ne usufruiscono. Per attivare il protocollo HTTPS è necessario acquistare e installare sul proprio sito, un certificato di sicurezza che contiene, oltre alle informazioni digitali della proprietà, una chiava di cifratura, che viene utilizzata per criptare i dati scambiati tra il server e il client.

Mantenere aggiornata la piattaforma CMS

Come proteggere un sito web?
Il nostro secondo consiglio è quello di mantenere sempre aggiornato il proprio CMS e applicare tutte le patch di sicurezza. Che si tratti di WordPress, PrestaShop o Magento è indispensabile mantenere l’installazione aggiornata e pulita, evitando di installare moduli aggiuntivi superflui, soprattutto se di dubbia provenienza. È preferibile evitare la corsa agli ultimi aggiornamenti rilasciati che non siano patch di sicurezza o correzioni di problemi.
In altre parole, l’ultimissima versione di un CMS, spesso sponsorizzata a più non posso, andrebbe evitata sugli ambienti di produzione. Questo perchè, di solito nelle nuove versioni vengono aggiunte funzionalità che potrebbero nascondere problemi di sicurezza o bug, problemi che saranno risolti nei rilasci successivi.
Una regola? Evitare di installare la versione che finisce con “0” (es 5.4.0), meglio attendere quella successiva (es. 5.4.1)

Sicurezza sito web

Proteggere i dati di login e cambiare password di accesso al backend

La protezione del proprio sito web passa anche per gli aspetti più semplici come la password di accesso al backoffice. Prediligi sempre password lunghe e complesse e aggiornale di frequente. Assicurati anche di mettere a disposizione dei tuoi utenti, sistemi di registrazioni affidabili per loro, ma anche per l’amministratore del sito: la sensazione di un sito sicuro porta solo benefici.
Alcuni di esempi potrebbero essere:

  • double opt-in: quando si effettua ad esempio l’iscrizione al sito web o alla newsletter, verrà richiesto all’utente dopo l’iscrizione, anche una ulteriore conferma via email. Permette di avere una sicurezza maggiore, in quanto si ha la certezza che l’indirizzo email sia reale. Inoltre è una best practice per ottemperare alla normativa GDPR sulla protezione dei dati personali.
  • Il CAPTCHA di Google: protegge i visitatori dalla decriptazione delle password. Il test serve a provare che l’utente è una persona e non un bot.

Effettuare backup costanti

Salvare con regolarità il proprio database è fondamentale per la sicurezza di un sito web. Andrebbero eseguiti backup almeno una volta al giorno e per ecommerce di grandi dimensioni, anche più volte al giorno. Ormai tutti i servizi di hosting offrono questo servizio più o meno incluso e, se attivato, viene eseguito in automatico. Nel caso sia necessario gestire i backup manualmente è importante mettere in sicurezza il database, in primo luogo, poi tutta la struttura di dati su disco del proprio sito (cartelle, file, immagini, ecc). Non saranno tutti file essenziali, ma in caso di ripristino di un sito ecommerce, avere uno “snapshot” completo è più pratico.

Backup: sicurezza sito web

Firewall e hosting

Last but not least, consigliamo di munirsi di un firewall di buon livello.
Ma cos’è un firewall? Un firewall è un pò come il portiere di un palazzo: controlla chi entra e chi esce e soprattutto blocca l’intrusione a soggetti non autorizzati. Un server che ospita un’applicazione web, che sia un ecommerce o un semplice sito web, è costantemente sotto attacco e vengono effettuati centinaia di tentativi di intrusione.
Ma perchè il mio sito di saponette fatte in casa dovrebbe subire attacchi di questo tipo? A chi può interessare il contenuto del mio sito? Il fatto è che nella stragrande maggioranza delle volte, i tentativi di intrusione vengono effettuati da “servizi” automatici che esplorano il web alla ricerca di qualcosa: dati sensibili, documenti, spazio su disco, ecc. Il risultato spesso è il “down” del sito web, perchè il server è stato “rapito” dall’hacker e non ha più risorse per il sito web stesso. Un firewall ci protegge da tutto questo creando una barriera tra i nostri dati e l’esterno.

Un ultimo aspetto da non sottovalutare (si è vero, avevamo detto 5 consigli, non 6!!) è la scelta dell’hosting. Scegliere un buon hosting può fare la differenza sia in termini di protezione ma anche di prestazioni. Possibilmente sono da evitare hosting di base, che spesso sono posizionati su server condivisi con il solo risultato di non riuscire a navigare nel sito web. Ci sono soluzioni di tutti i tipi ormai e di qualsiasi prezzo: un buon compromesso è scegliere una soluzione in Cloud, dove con un piccolo prezzo mensile si ha a disposizione una soluzione accettabile, e soprattutto scalabile, per chi è agli inizi.

Per concludere, maggiore attenzione si mettere alla sicurezza di un sito web, minori saranno gli accessi non autorizzati e i “down” dei servizi. Affidati sempre a consulenti informatici esperti, che sapranno darti i giusti suggerimenti per gestire e proteggere il tuo sito web al meglio.

Noi di IMPRIMIS, adattiamo gli strumenti e le competenze a nostra disposizione per aiutarti a proteggere il tuo sito web. Siamo a tua disposizione.

Contattaci