10 consigli per rendere sicuro il proprio sito web
Gli ultimi mesi sono stati caratterizzati da un notevoleincremento del numero di attacchi rivolti ai siti sparsi peril web. Questo perchè le tecniche-base dell'hacking ed i codici sorgenti di exploit proof-of-concept sonopiuttosto facilmente fruibili in rete, e così unnumero molto elevato di utenti possono accedervi e tentareegli stessi. E' quindi importantissimo, mai quanto oggi,tener sotto controllo gli aspetti legati alla sicurezza deinostri siti.
Controllare la configurazione del server
Importantissimo aspetto legato alla sicurezzaè il configurare al meglio i server che gestiscono inostri siti. Nel caso di Apache è disponibile un'apposita guida, così come pure
Aggiornare i software
Abbiamo menzionato poco sopra gli exploit. Ebbene, dato chequesti sono facilmente raggiungibili in rete, è semprebene tenere aggiornati i nostri software e le nostrepiattaforme web. Molti webmaster infatti, invece di creare dazero il proprio portale, sfruttano applicazioni web (CMS)opensource che risultano molto funzionali. essendoopensource è però facile che gli esperti disicurezza vi individuino bug e vi scrivano relativi exploit.E' quindi consigliabile tenere una lista di tutti icomponenti, i plugin utilizzati e della CMS sulla qualesi basa il nostro sito.
Controllare periodicamente il file di log
Una buona idea è sicuramente il controllare, unavolta a settimana, il file di log del nostro sito,perchè non si sa mai, si potrebbero individuaretentativi di attacco, di spam, di collegamenti tramiteproxy...insomma, sempre meglio controllare.
Testa sul sito leprincipali vulnerabilità
Importante è evitare che le directory del nostro sitorisultino con permessi ///, ovvero con permesso dilettura/scrittura per chiunque. Importantissimo inoltrecontrollare la presenza di bug di tipo XSS(cross-site-scripting) e delle più evolute SQLInjection. Poi, sempre meglio ricordarlo, usare passwordcomplicate. Piuttosto segnamola su un foglio, sul cellulare,scriviamola sul monitor del PC, ma non utilizziamo passwordquali soprannomi, date di nascita, anniversari...ma neanchepassword composte da parole singole, perchè gliattacchi brufe-force e dizionario sonosempre dietro l' angolo...Che password usare allora? Celo spiega nel dettaglio Google.
Attenzione al contenuto di terzeparti
Spesso e volentieri i webmasters aggiungono al loro sitoservizi esterni, inserendo nelle loro pagine il codice HTMLdi tali servizi. Stiamo parlando, ad esempio, dei contatorivisite, dei widgets, e affini. Ebbene, è sempre benefare attenzione a queste applicazioni, perchè gliattakkers possono creare componenti simili, pubblicizzarle esfruttarle per guadagnare accesso alle cartelle del nostrosito. Controllare sempre quindi che il widget o il contatorevisite che andiamo ad installare sia attendibile, cheprovenga da una compagnia solida e dalla buonareputazione.
Controllare con Google se tuttoquadra
Google può trasformarsi anche in un utilissimostrumento per la sicurezza del nostro sito. Si consigliainfatti periodicamente di effettuare ricerche del tipo:
Usare Google Webmaster Tools
Utilissimi per i webmasters sono i servizi offerti da
Usare protocolli sicuri
E' utile sapere che protocolli quali Telnet e FTP,un tempo importantissimi, sono piuttosto in disuso,rimpiazzati ottimamente da protocolli ben più sicuriperchè criptati. Parliamo ad esempio del protocolloSSH e SFTP. Prediligere pergiunta il loro utilizzo adiscapito dei primi due è sicuramente un ottimoaccorgimento.
Leggere il blog di sicurezza diGoogle
Il blog Online Securitydi Google è un ottimo portale da tenere sottocontrollo per venire a conoscenza di vari attacchi ed exploitriguardanti le più comuni applicazioni delmomento.
Chiedere aiuto al propriohoster
Nel caso ci si renda conto che "qualcosa nonva" sul nostro sito, è sempre buona normametterne a conoscenza il proprio servizio di hosting,così che possa prendere le adeguate contromisure econsigliarci come agire.
- Articolo precedente SEO: 25 consigli per ottimizzare i blog per i motori di ricerca
- Articolo successivo E' preferibile un sito con molti sottodomini per ciascun argomento o tutti gli argomenti all'interno del dominio principale?