10 consigli per rendere sicuro il proprio sito web

Gli ultimi mesi sono stati caratterizzati da un notevoleincremento del numero di attacchi rivolti ai siti sparsi peril web. Questo perchè le tecniche-base dell'hacking ed i codici sorgenti di exploit proof-of-concept sonopiuttosto facilmente fruibili in rete, e così unnumero molto elevato di utenti possono accedervi e tentareegli stessi. E' quindi importantissimo, mai quanto oggi,tener sotto controllo gli aspetti legati alla sicurezza deinostri siti.

Controllare la configurazione del server

Importantissimo aspetto legato alla sicurezzaè il configurare al meglio i server che gestiscono inostri siti. Nel caso di Apache è disponibile un'apposita guida, così come pure per IIS di Microsoft.
 

Aggiornare i software

Abbiamo menzionato poco sopra gli exploit. Ebbene, dato chequesti sono facilmente raggiungibili in rete, è semprebene tenere aggiornati i nostri software e le nostrepiattaforme web. Molti webmaster infatti, invece di creare dazero il proprio portale, sfruttano applicazioni web (CMS)opensource che risultano molto funzionali. essendoopensource è però facile che gli esperti disicurezza vi individuino bug e vi scrivano relativi exploit.E' quindi consigliabile tenere una lista di tutti icomponenti, i plugin utilizzati e della CMS sulla qualesi basa il nostro sito.
 

Controllare periodicamente il file di log

Una buona idea è sicuramente il controllare, unavolta a settimana, il file di log del nostro sito,perchè non si sa mai, si potrebbero individuaretentativi di attacco, di spam, di collegamenti tramiteproxy...insomma, sempre meglio controllare.

Testa sul sito leprincipali vulnerabilità

Importante è evitare che le directory del nostro sitorisultino con permessi ///, ovvero con permesso dilettura/scrittura per chiunque. Importantissimo inoltrecontrollare la presenza di bug di tipo XSS(cross-site-scripting) e delle più evolute SQLInjection. Poi, sempre meglio ricordarlo, usare passwordcomplicate. Piuttosto segnamola su un foglio, sul cellulare,scriviamola sul monitor del PC, ma non utilizziamo passwordquali soprannomi, date di nascita, anniversari...ma neanchepassword composte da parole singole, perchè gliattacchi brufe-force e dizionario sonosempre dietro l' angolo...Che password usare allora? Celo spiega nel dettaglio Google.
 

Attenzione al contenuto di terzeparti

Spesso e volentieri i webmasters aggiungono al loro sitoservizi esterni, inserendo nelle loro pagine il codice HTMLdi tali servizi. Stiamo parlando, ad esempio, dei contatorivisite, dei widgets, e affini. Ebbene, è sempre benefare attenzione a queste applicazioni, perchè gliattakkers possono creare componenti simili, pubblicizzarle esfruttarle per guadagnare accesso alle cartelle del nostrosito. Controllare sempre quindi che il widget o il contatorevisite che andiamo ad installare sia attendibile, cheprovenga da una compagnia solida e dalla buonareputazione.
 

Controllare con Google se tuttoquadra

Google può trasformarsi anche in un utilissimostrumento per la sicurezza del nostro sito. Si consigliainfatti periodicamente di effettuare ricerche del tipo: site:sito.itdove sito.it è il sito che vogliamocontrollare. Analizzando i risultati potremo cosìvedere se tutto è tranquillo.
 

Usare Google Webmaster Tools

Utilissimi per i webmasters sono i servizi offerti da Google WebmasterTools. Permette infatti di monitorare il crawling delproprio sito, avvisa nel caso rilevi qualche malware/exploitiniettato nelle nostre pagine.
 

Usare protocolli sicuri

E' utile sapere che protocolli quali Telnet e FTP,un tempo importantissimi, sono piuttosto in disuso,rimpiazzati ottimamente da protocolli ben più sicuriperchè criptati. Parliamo ad esempio del protocolloSSH e SFTP. Prediligere pergiunta il loro utilizzo adiscapito dei primi due è sicuramente un ottimoaccorgimento.
 

Leggere il blog di sicurezza diGoogle

Il blog Online Securitydi Google è un ottimo portale da tenere sottocontrollo per venire a conoscenza di vari attacchi ed exploitriguardanti le più comuni applicazioni delmomento.
 

Chiedere aiuto al propriohoster

Nel caso ci si renda conto che "qualcosa nonva" sul nostro sito, è sempre buona normametterne a conoscenza il proprio servizio di hosting,così che possa prendere le adeguate contromisure econsigliarci come agire.