Come Rendere Sicuro un Sito Web Non Sicuro

Pubblicato il 11 Ottobre 2021 da Yuri Carlenzoli Commenta ↓

In questo articolo trovi i principali consigli che ti permettono di rendere sicuro un sito web non sicuro, un sito web sicuro ti può evitare di perdere clienti e visite.

rendere sicuro sito web non sicuro
Le operazioni basilari per rendere sicuro un sito web non sicuro sono alla portata di tutti.

La premessa basilare che faccio per questo articolo è che non è per le persone che navigano online e che vogliono sapere come rendere sicuro un sito web non sicuro. Le persone lo cercano, quindi lo desiderano, potresti voler sapere questo anche te. Specificarlo è indispensabile.

Rendere sicuro un sito web è un’operazione che va fatta dal proprietario del sito web, o da chi glie lo gestisce attivamente.

Per fortuna sempre più persone, proprietari di attività, capiscono l’importanza di un sito web sicuro. Molte altre ignorano l’importanza, oppure se ne rendono conto dopo, quando il sito web è marcato come non sicuro/compromesso da Google. O dal loro browser.

Ho già detto come garantiscono la sicurezza di un sito web, e, più in generale perché è importante aggiornare un sito web per chi lo possiede, in questo articolo ti voglio dare dei consolidati consigli che permettono di rendere sicuro il tuo sito web.

Consigli non di parte e che puoi mettere in pratica anche in autonomia, provenienti anche (ma non solo) dalla guida di Google che dice i principali modi usati per compromettere i siti web.

Ovvero, bloccando i principali metodi con cui possono compromettere il sito web della tua attività lo metterai in sicurezza.

Usa il protocollo HTTPS

Seppur non sia il principale metodo con il quale compromettono il sito web, la mancanza del protocollo HTTPS è la prima cosa che si vede di un sito web. Può essere mostrato come “non sicuro”.

Difatti, se si visualizza un sito web su protocollo HTTP, al giorno d’oggi praticamente tutti i browser dicono che è non sicuro. I tuoi possibili clienti lo vedono non sicuro.

Questo perché, il protocollo HTTPS garantisce sia più privacy alle persone che lo visitano, aumentando la loro sicurezza, sia perché, solamente utilizzando il protocollo HTTPS vari tipi di attacchi di malintenzionati vengono bloccati.

Per poter attivare il protocollo HTTPS devi installare i certificati SSL sul tuo server. Oppure sul tuo hosting dal pannello di controllo dell’hosting.

Quasi la totalità degli hosting offre i certificati SSL di Let’s Encrypt gratuitamente al giorno d’oggi. Non sono meno sicuri perchè gratuiti, vanno benissimo.

Utilizza un hosting sicuro, affidabile

Anche implementando tutti gli accorgimenti possibili per mettere in sicurezza un sito web potrebbe essere inutile. Un sito web non è sicuro se l’hosting su cui risiede è sicuro.

Un sito web non è sicuro se l’hosting su cui risiede è sicuro.

Non bisogna spendere necessariamente migliaia di euro annui per avere un hosting sicuro. Anzi, con un centinaio di Euro/anno se hai una micro, piccola o media attività può avere un hosting sicuro per il sito web.

Pensare unicamente al risparmio per il web hosting, per qualche qualche decina di euro all’anno, è inutile. Anzi, è dannoso se il sito web è di un’attività. Possono anche insorgere perdite di dati di clienti, e le conseguenti procedure burocratiche che deve fare chi possiede i dati. Il proprietario del sito web. Tu, se il sito web è il tuo.

Per te, capire che un hosting è sicuro può non essere elementare. Ci vuole un po di esperienza. A grandi linee bisogna conoscere l’evolversi della tecnologia legata al web e sapere se l’hosting si tiene al passo con i tempi.

Se ti affidi a me per realizzare un sito web ti aiuterò nella scelta. In alternativa puoi confrontarti online, magari prima chiedi a persone che conosci e che hanno da molto un sito web.

Non tenere presente solo la sicurezza per un web hosting. Molto importanti sono anche la velocità e le risorse hardware disponibili, che, se esigue, con l’aumentare delle visite ad un sito web possono renderlo lento.

Fai password sicure, cambiale se compromesse

La principale via per la compromissione di qualsiasi account online sono le password non sicure. Oppure utilizzate su più siti web. Lo stesso discorso vale per un sito web.

Sicuramente se usi come password “123456“, “111111“, “abc123“, “12345678“, “password“, “tuonome“, o simili le ricordi meglio. Però, non necessariamente devi ricordarti la password del sito web, non è quella del bancomat.

Non necessariamente devi ricordarti la password del sito web, non è quella del bancomat.

Puoi salvare le password in qualsiasi password manager (affidabile), oppure anche nel gestore di password del browser.

I moderni browser (su Chrome e Firefox che utilizzo e che ho testato personalmente, ndr) hanno sia la funzionalità di salvare le password, sia quella di informare se sono state compromesse online. Per tua praticità ti consiglio di salvare le password in un browser che usi ovunque. Ad esempio sia sul portatile che sullo smartphone.

Per la sicurezza, come minimo, se salvi le password nel gestore di password del browser, ricordati solo di fare un tuo profilo protetto del browser se usi dispositivi condivisi con altre persone e di aggiornare il browser ogni volta che c’è un nuovo aggiornamento.

Aggiorna il CMS plugin, template

Al giorno d’oggi la maggior parte di siti web sono realizzati con CMS. Tra questi la maggior parte con WordPress.

Seppur non sia un articolo, come questo, pensato per la sicurezza, ho già detto l’importanza degli aggiornamenti di WordPress, template e plugins nell’articolo appena linkato dove ne indico il ruolo.

Se non aggiorni o se non fai aggiornare WordPress, il template ed i plugins che utilizzi è un problema per la sicurezza del sito web. Possono esserci falle che permettono a malintenzionati di infettare il sito web.

Una buona pratica consolidata per mettere in sicurezza un sito web che, purtroppo ancora molti proprietari di siti web anche aziendali non fanno, è quella di aggiornare il CMS, il template ed i plugins.

Aggiorna il tuo CMS, template e plugins. Se non hai tempo o se non ne sei in grado fallo fare. Non è una spesa inutile, è un costo d’impresa che ti previene costi superiori e grattacapi inutili.

La tua conoscenza influenza la sicurezza del sito web

C’è una frase, ironica ma reale che dice che “il 99% dei problemi di un PC è dato dall’elemento presente fra la tastiera e la sedia“. Questo, da sempre vale anche per la sicurezza dei siti web, e non solo dei siti web.

Un esempio reale recente è quanto successo nell’attacco informatico che hanno fatto alla Regione Lazio. Hanno sfruttato un click su una email fatto da un dipendente, per infettare i server con un ransomware.

Se hai capito il concetto hai anche capito cos’è l’ingegneria sociale, o, “social engineering“. Quando malintenzionati sfruttano l’elemento umano, le persone, per fare breccia su siti web, per rubare dati e quant’altro.

Anche lo spam mirato può essere ingegneria sociale. Da qui l’esempio che ho fatto.

Riguardo la sicurezza del sito web, delle cose a cui devi prestare attenzione sono, esemplificativamente e non esclusivamente:

  • A non lasciare scritti i dati d’accesso del sito web su pezzi di carta;
  • Alla condivisione degli accessi (username/password, ndr) dell’hosting, FTP e dell’account amministratore;
  • Alla condivisione degli accessi, anche con persone delle quali ti fidi, possono fare esperimenti con il tuo sito web o comunque possono non adottare buone pratiche per proteggere i dati di accesso.

Cose molto semplici, logiche, che puoi e devi fare anche se di siti web ne sai nulla.

Usa un approccio security by default

Da quando esiste la GDPR è entrato in linguaggio comune, anche in Italia, anche dai proprietari di siti web, il termine “privacy by default“. L’approccio nell’utilizzo minimo dei dati degli utenti di un sito web.

Riguardo la sicurezza dei siti web, seppur sia un termine più per sviluppatori che proprietari di siti web, l’approccio da seguire è “security by default“. Ovvero pensare alla sicurezza come prima cosa. La sicurezza del sito web e, nello stesso tempo anche degli utenti.

Ovvero anche la sicurezza e la privacy degli utenti del tuo sito web. Nono solo del sito web.

Seppur il termine sia inglese e se utilizzato perlopiù da sviluppatori, capire ed attuare l’approccio alla sicurezza come impostazione predefinita è semplice. Sia da capire che da attuare.

Degli esempi di un approccio di sicurezza come impostazione predefinita del sito web e degli utenti possono essere:

  • La non possibilità di creare password semplici per gli utenti;
  • Il blocco preventivo dello spam più aggressivo/dei bot più aggressivi;
  • Il non utilizzo dell’hosting del sito web come se fosse un disco fisso dove memorizzare documenti sensibili;
  • Se proprio necessario, il blocco a tutti (persone e motori di ricerca, ndr) della possibilità di visualizzare files contenenti dati;
  • Il blocco preventivo di accessi tramite FTP od in directory specifiche.

Sicuramente l’approccio “security by default” è meno intuitivo rispetto alla conoscenza tecnologica, comunque correlato, e non impossibile da attuare anche per chi di siti web ne sa poco o nulla.

Se di siti web ne sai poco o nulla informarti nel dettaglio riguardo la sicurezza dei siti web e se vuoi gestirti in autonomia il sito web ti è necessario, questo articolo è una buona base di partenza. Non trovi?

Se invece volessi delegare la gestione del tuo sito web fatto con WordPress, oltre a queste buone prassi posso aumentare la sicurezza del tuo sito web non solo tramite i metodi basilari sopra riportati. Chiedimi gratuitamente un preventivo.

Facebook Twitter WhatsApp Email LinkedIn

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Moderazione dei commenti attiva. Il tuo commento non apparirà immediatamente.