Sicurezza e protezione del sito Web: come proteggere un sito Web?

Stampa · Время на чтение: 28мин · di · Pubblicato · Aggiornato

giocareAscolta questo articolo

Sicurezza del sito Web: come proteggere e proteggere il tuo sito Web? Protezione del sito web.

Protezione del sito webcome proteggere e mettere in sicurezza il tuo sito web? La sicurezza dei siti Web può essere un argomento complesso (o addirittura confuso) in un ambiente in continua evoluzione. Questa guida ha lo scopo di fornire un quadro chiaro per i proprietari di siti web che cercano di mitigare i rischi e applicare i principi di sicurezza alle loro proprietà web.

Prima di iniziare, è importante tenere presente che la sicurezza non è mai una soluzione "imposta e vai". Invece, ti incoraggio a pensarlo come un processo continuo che richiede una valutazione costante per ridurre il rischio complessivo.

Adottando un approccio sistematico alla sicurezza del sito Web, possiamo considerarlo come una base costituita da molti livelli di protezione combinati in un unico elemento. Dobbiamo considerare la sicurezza dei siti Web in modo olistico e affrontarla con una strategia di difesa approfondita.

Il contenuto dell'articolo:

Cos'è la sicurezza del sito web?

Sicurezza del sito Web: che cos'è? Tutto sulla sicurezza del sito web. Protezione del sito web.

La sicurezza del sito Web è le misure adottate per proteggere un sito Web dagli attacchi informatici. In questo senso, la sicurezza del sito web è un processo continuo e parte integrante della gestione del sito web.

Perché la sicurezza del sito web è importante?

La sicurezza dei siti Web può essere impegnativa, soprattutto quando si ha a che fare con una vasta rete di siti. Avere un sito Web sicuro è tanto importante per la presenza online di qualcuno quanto avere un host del sito web.

Ad esempio, se un sito Web viene violato e inserito nella lista nera, può perdere fino a 98% del suo traffico. Non avere un sito web sicuro può essere tanto grave quanto non avere affatto un sito web, o anche peggio. Ad esempio, la fuga di dati dei clienti può portare a cause legali, multe salate e reputazioni danneggiate.

1. Strategia di difesa in profondità

La strategia di difesa in profondità per la sicurezza dei siti Web considera la profondità della difesa e l'ampiezza della superficie di attacco per analizzare gli strumenti utilizzati nello stack. Questo approccio fornisce un quadro più accurato del panorama odierno delle minacce alla sicurezza dei siti web.

Come i professionisti del web vedono la sicurezza dei siti web

Non possiamo dimenticare le statistiche che rendono la sicurezza dei siti Web un argomento interessante per qualsiasi attività online, indipendentemente dalle dimensioni.
Dopo aver analizzato oltre 1.000 risposte al sondaggio di professionisti del Web, è possibile trarre alcune conclusioni sul panorama della sicurezza:

  • A 67% clienti professionisti del web è stato chiesto informazioni sulla sicurezza dei siti web, ma meno di 1% offre la sicurezza dei siti web come servizio.
  • Informazioni su 72% I professionisti Web sono preoccupati per gli attacchi informatici ai siti dei clienti.

Perché i siti vengono violati

Nel 2019, c'erano oltre 1,94 miliardi di siti web sul web. Ciò fornisce un vasto parco giochi per gli hacker. C'è spesso un'idea sbagliata sul motivo per cui i siti Web vengono violati. I proprietari e gli amministratori spesso credono che non verranno hackerati perché i loro siti sono più piccoli e quindi meno attraenti per gli hacker. Gli hacker possono scegliere siti più grandi se vogliono rubare informazioni o sabotare. Per altri scopi (che sono più comuni), qualsiasi piccolo sito è di grande valore.
Quando si hackerano siti Web, vengono perseguiti vari obiettivi, ma i principali lo sono:

  • Uso dei visitatori del sito.
  • Furto di informazioni memorizzate sul server.
  • Inganno di bot e robot di ricerca (black hat SEO).
  • Abuso delle risorse del server.
  • Puro teppismo (danno).

2. Attacchi automatici ai siti web

Sfortunatamente, l'automazione riduce le spese generali, consente la divulgazione di massa e aumenta le possibilità di un compromesso riuscito, indipendentemente dal volume di traffico o dalla popolarità del sito web.
In effetti, l'automazione è re nel mondo dell'hacking. Gli attacchi automatizzati spesso comportano lo sfruttamento di vulnerabilità note per colpire un gran numero di siti, a volte anche all'insaputa del proprietario del sito.

Gli attacchi automatici si basano sull'opportunità. Contrariamente alla credenza popolare, gli attacchi automatizzati sono molto più comuni degli attacchi mirati selezionati a causa della loro portata e facilità di accesso. Quasi 60% Internet funziona su CMS.

Problemi di sicurezza CMS

È più facile per il proprietario medio di un sito Web collegarsi rapidamente online con un sistema di gestione dei contenuti (CMS) open source come WordPress, Magento, Joomla o Drupal e altro ancora.
Sebbene queste piattaforme forniscano spesso aggiornamenti di sicurezza frequenti, l'uso di componenti estensibili di terze parti come plug-in o temi porta a vulnerabilità che possono essere facilmente sfruttate per attacchi di opportunità.

Lo standard di sicurezza delle informazioni è: riservatezza, integrità e disponibilità. Questo modello viene utilizzato per sviluppare criteri per proteggere le organizzazioni.

3. Riservatezza, integrità e disponibilità

  • Riservatezza si riferisce al controllo dell'accesso alle informazioni per garantire che coloro che non dovrebbero avere accesso non siano autorizzati. Questo può essere fatto utilizzando password, nomi utente e altri componenti di controllo degli accessi.
  • Integrità garantisce che le informazioni che gli utenti finali ricevono siano accurate e invariate da chiunque non sia il proprietario del sito. Questo viene spesso fatto con la crittografia, come i certificati Secure Socket Layer (SSL), che crittografano i dati in transito.
  • Disponibilità fornisce l'accesso alle informazioni quando necessario. La minaccia più comune alla disponibilità del sito Web è un attacco Denial of Service o DDoS distribuito.

Ora che abbiamo una certa conoscenza degli attacchi automatizzati e mirati, possiamo approfondire alcune delle più comuni minacce alla sicurezza dei siti web.

Vulnerabilità e minacce del sito web

Le principali minacce alla sicurezza del sito.

Ecco le vulnerabilità e le minacce alla sicurezza dei siti web più comuni:

1. SQL Injection - Tali attacchi SQL injection vengono eseguiti iniettando codice dannoso in una query SQL vulnerabile. Si affidano a un utente malintenzionato che aggiunge una query appositamente predisposta a un messaggio che un sito Web invia a un database.
Un attacco riuscito modificherà la query del database in modo che restituisca le informazioni richieste dall'attaccante invece delle informazioni che il sito Web si aspetta. Le iniezioni SQL possono persino modificare o aggiungere informazioni dannose al database.
2. Cross-site scripting (XSS) Gli attacchi di cross-site scripting consistono nell'iniettare script lato client dannosi in un sito Web e utilizzare il sito Web come metodo di distribuzione. Il pericolo di XSS è che consente a un utente malintenzionato di inserire contenuto in un sito Web e modificare il modo in cui viene visualizzato facendo in modo che il browser della vittima esegua il codice fornito dall'utente malintenzionato quando la pagina viene caricata. Se un amministratore del sito che ha effettuato l'accesso carica il codice, lo script verrà eseguito al suo livello di privilegio, portando potenzialmente a un controllo del sito.
3. Attacchi di credenziali di forza bruta Ottenere l'accesso al pannello di amministrazione, al pannello di controllo o persino a un server SFTP di un sito Web è uno dei vettori più comuni utilizzati per compromettere i siti Web. Il processo è molto semplice:

  1. Gli aggressori fondamentalmente programmano uno script per provare più combinazioni di nomi utente e password fino a quando non ne viene trovata una che funzioni;
  2. Una volta concesso l'accesso, gli aggressori possono lanciare varie attività dannose, dalle campagne di spam al mining di monete e al furto di informazioni sulle scommesse. o carte di credito.

4. Infezione e attacchi di malware del sito Web Utilizzando alcuni dei precedenti problemi di sicurezza come mezzo per ottenere l'accesso non autorizzato a un sito Web, gli aggressori possono:

  1. Iniettare spam SEO nella pagina;
  2. Rimuovi backdoor per mantenere l'accesso;
  3. Raccogliere informazioni sui visitatori o dati della carta;
  4. Eseguire exploit sul server per aumentare il livello di accesso;
  5. Usa i computer dei visitatori per estrarre criptovalute;
  6. Archiviare script di comando e controllo per botnet;
  7. Mostra annunci indesiderati, reindirizza i visitatori a siti Web fraudolenti;
  8. Hosting di download dannosi;
  9. Lancia attacchi su altri siti.

5. Attacchi DoS/DDoS Un attacco DDoS (Distributed Denial of Service) è un attacco Internet non intrusivo. Questo viene fatto per disabilitare o rallentare il sito Web di destinazione inondando la rete, il server o l'applicazione con traffico falso.

Gli attacchi DDoS sono minacce di cui i proprietari di siti Web dovrebbero essere consapevoli in quanto sono una parte importante di un sistema di sicurezza. Quando un attacco DDoS prende di mira un endpoint vulnerabile e ad alta intensità di risorse, anche una piccola quantità di traffico è sufficiente per attaccare con successo.

Sicurezza del sito web e-commerce e conformità PCI

Minacce di attacco per le attività di e-commerce.

Gli standard PCI-DSS (Payment Card Industry Data Security Standards) definiscono i requisiti per i proprietari di siti web con negozi online. Questi requisiti aiutano a garantire che i dati dei titolari di carta raccolti come negozio online siano adeguatamente protetti. In base a PCI DSS, i dati dei titolari di carta che devono essere protetti si riferiscono al numero PAN (Primary Account Number) completo, ma possono anche apparire in uno dei seguenti formati:

  1. Dati completi della banda magnetica (o chip equivalente);
  2. Da consumarsi preferibilmente entro;
  3. Codice di servizio;
  4. Spillo;
  5. numeri CVV;
  6. Nome e/o cognome del titolare della carta.

Le regole di conformità PCI si applicano sia che tu trasferisca i dati digitalmente, per iscritto o comunichi con un'altra persona che ha accesso ai dati.

È molto importante che i siti Web di e-commerce facciano tutto ciò che è in tuo potere per garantire che i dati dei titolari di carta vengano trasmessi dal browser al server Web con la corretta crittografia su HTTPS. Deve inoltre essere archiviato in modo sicuro e crittografato in modo simile sul server quando viene trasmesso a servizi di elaborazione dei pagamenti di terze parti.

Gli hacker possono tentare di rubare o intercettare i dati dei titolari di carta in qualsiasi momento, indipendentemente dal fatto che i dati siano inattivi o in transito.

Struttura di sicurezza del sito web

Quadro di sicurezza delle informazioni. Protezione completa del sito web.

Indipendentemente dalle dimensioni della tua azienda, lo sviluppo di un sistema di sicurezza può aiutarti a ridurre il rischio complessivo. Comprendere che la sicurezza è un processo continuo significa che inizia con la costruzione delle fondamenta della sicurezza di un sito web. Questa struttura includerà la creazione di una "cultura della sicurezza" in cui le ispezioni programmate aiutano a mantenere le cose semplici e tempestive.
Cinque funzioni: "Identifica", "Proteggi", "Rileva", "Reagisci" e "Recupera" saranno descritte in dettaglio insieme alle azioni da applicare.
1. Per identificare - in questa fase, tutta la gestione dell'inventario e degli asset è documentata e verificata. La gestione dell'inventario e delle risorse può fare un ulteriore passo avanti nelle seguenti sottocategorie:

  1. risorse web;
  2. server web e infrastruttura;
  3. plugin, estensioni, temi e moduli;
  4. integrazioni e servizi di terze parti;
  5. punti di accesso e nodi.

Una volta che hai un elenco delle risorse del tuo sito web, puoi adottare misure per controllarle e proteggerle dagli attacchi.
2. Proteggere Ci sono molte ragioni per cui è fondamentale disporre di misure preventive di sicurezza web, ma da dove iniziare? Questi sono noti come tecnologie di sicurezza e livelli di sicurezza. A volte queste misure soddisfano requisiti di conformità come PCI o semplificano virtualmente l'applicazione di patch e la protezione di ambienti vulnerabili agli attacchi. La sicurezza può includere anche la formazione dei dipendenti e le politiche di controllo degli accessi.

Uno dei modi migliori per proteggere il tuo sito web è attivare il web application firewall. Se passi molto tempo a riflettere su processi, strumenti e configurazioni di sicurezza, ciò influirà sulla posizione di sicurezza del tuo sito web.

3. Rileva (monitoraggio continuo) è un concetto che si riferisce all'implementazione di strumenti per monitorare il tuo sito Web (asset) e notificarti eventuali problemi. Il monitoraggio dovrebbe essere installato per controllare lo stato di sicurezza:

  1. record DNS;
  2. certificati SSL;
  3. configurare un server web;
  4. aggiornamenti dell'applicazione;
  5. accesso utente;
  6. integrità del file.

Puoi anche utilizzare scanner e strumenti di sicurezza (come SiteCheck) per cercare indicatori di compromissione o vulnerabilità.
4. Reagire — l'analisi e la mitigazione aiutano a creare una categoria di risposta. Quando si verifica un incidente, dovrebbe esserci un piano di risposta. Avere un piano di risposta in atto prima di un incidente compromesso fa miracoli per la psiche. Un piano di risposta agli incidenti adeguato include:

  1. Selezione di un team o di una persona per la risposta agli incidenti;
  2. Segnalazione degli incidenti per verificare i risultati;
  3. Attenuazione degli eventi.

Durante il processo di applicazione delle patch, non sappiamo mai in anticipo che tipo di malware troveremo. Alcuni problemi possono diffondersi rapidamente e infettare altri siti Web in un ambiente server condiviso (infezione incrociata). Il processo di risposta agli incidenti, come definito dal NIST, è suddiviso in quattro fasi principali:

  1. Preparazione e pianificazione;
  2. Rilevamento e analisi;
  3. Contenimento, sradicamento e ripristino;
  4. Azioni dopo l'incidente.

Una solida fase di preparazione e un team di sicurezza del sito Web su cui fare affidamento sono fondamentali per il successo della missione. Ecco come dovrebbe essere:

Preparazione e pianificazione

In questa fase, ci assicuriamo di disporre di tutti gli strumenti e le risorse necessari prima che si verifichi un incidente. Tutto questo va di pari passo con le sezioni precedenti del framework di sicurezza.
Le società di hosting svolgono un ruolo cruciale in questa fase garantendo che i sistemi, i server e le reti siano sufficientemente sicuri. È anche importante assicurarsi che lo sviluppatore web o il team tecnico sia pronto a gestire un incidente di sicurezza.

Scoperta e analisi

Sebbene esistano diversi metodi di attacco, dobbiamo essere pronti ad affrontare qualsiasi incidente. La maggior parte delle infezioni sono componenti vulnerabili installati sul sito Web (principalmente plug-in), compromissioni di password (password debole, forza bruta) e altri.
A seconda del problema e dell'intento, la fase di scoperta può essere complessa. Alcuni aggressori cercano fama, altri potrebbero voler sfruttare risorse o intercettare informazioni sensibili.
In alcuni casi, non vi è alcuna indicazione che sia stata installata una backdoor, in attesa che un utente malintenzionato vi acceda per attività dannose. Pertanto, si consiglia vivamente di implementare meccanismi per garantire l'integrità del file system.

Contenimento, eradicazione e ripristino

Per quanto riguarda la fase di Contenimento, Eliminazione e Recupero, il processo dovrebbe adattarsi al tipo di problema riscontrato sul sito Web e alle strategie di attacco predefinite. Ad esempio, un'infezione da cryptominer in genere consuma molte risorse del server (leecher) e il team di risposta agli incidenti deve contenere la minaccia prima di avviare il processo di riparazione.

Il contenimento di questo attacco è un passo importante per prevenire l'ulteriore esaurimento delle risorse e ulteriori danni. Questo sistema decisionale e le strategie sono una parte importante di questa fase. Ad esempio, se identifichiamo un particolare file come 100% dannoso, dovrebbe esserci un'azione per distruggerlo. Se il file contiene codice parzialmente dannoso, è necessario rimuovere solo quella parte. Ogni script deve avere un processo definito.

Azioni dopo l'incidente

Ultimo ma non meno importante, l'azione post-incidente può anche essere definita la fase delle lezioni apprese. A questo punto, il team di risposta agli incidenti dovrebbe presentare un rapporto che dettaglia cosa è successo, quali azioni sono state intraprese e quanto bene l'intervento ha funzionato. Dobbiamo riflettere sull'incidente, imparare da esso e agire per prevenire problemi simili in futuro. Queste azioni possono essere semplici come l'aggiornamento di un componente, la modifica delle password o l'aggiunta di un firewall del sito Web per prevenire attacchi all'edge.

Esamina le azioni che il tuo dipartimento deve intraprendere per rafforzare ulteriormente la sicurezza. Quindi assicurati di intraprendere queste azioni il più rapidamente possibile. Puoi basare tutte le ulteriori azioni sui seguenti suggerimenti:

  • Limita l'accesso globale al tuo sito (o ad aree specifiche) utilizzando i metodi GET o POST per ridurre al minimo l'impatto.
  • Aggiorna le autorizzazioni su directory e file per garantire un corretto accesso in lettura/scrittura.
  • Aggiorna o rimuovi software/temi/plugin obsoleti.
  • Reimposta immediatamente le tue password con una politica di password sicura.
  • Attiva 2FA/MFA ove possibile per aggiungere un ulteriore livello di autenticazione.

Inoltre, se utilizzi attivamente Web Application Firewall (WAF), rivedi la configurazione esistente per determinare eventuali modifiche da apportare. Tieni presente che mentre i WAF aiutano a soddisfare diversi standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS), non sono una panacea. Ci sono altri fattori che possono influenzare la tua attività, in particolare il fattore umano.
5. recuperare — la pianificazione del ripristino avverrà quando verrà effettuata un'analisi completa di tutte le fasi in caso di incidente. Il recupero è anche collegato all'avere un piano di backup per le situazioni in cui tutti i passaggi precedenti hanno fallito, come gli attacchi ransomware.

Questo processo dovrebbe includere anche l'organizzazione del tempo per parlare con il tuo fornitore di sicurezza su come migliorare i punti deboli. Sono meglio attrezzati per offrire informazioni su ciò che può essere fatto.

Avere una strategia di comunicazione

Se qualche dato è a rischio, informa i tuoi clienti. Ciò è particolarmente importante se lavori nell'UE, dove un'organizzazione deve segnalare una violazione dei dati entro 72 ore in conformità con l'articolo 33 del Regolamento generale sulla protezione dei dati (GDPR) .

Usa il backup automatico

Qualunque cosa tu faccia per proteggere il tuo sito web, il rischio non sarà mai zero. Se la funzionalità del tuo sito Web è danneggiata, hai bisogno di un modo per ripristinare rapidamente i dati, non uno, ma almeno due. È estremamente importante disporre di un backup locale dell'intera applicazione e di un backup esterno non direttamente collegato all'applicazione in caso di guasto o attacco hardware.

Come proteggere il tuo sito e garantire la sicurezza?

Come mettere in sicurezza un sito web? Protezione da attacchi e vulnerabilità DDoS.

L'importanza della sicurezza del sito Web non può essere sottovalutata. In questa sezione, vedremo come mantenere il tuo sito web sicuro e protetto. Questa non è una guida passo passo, ma ti fornirà consigli sulla sicurezza del sito web per trovare i servizi giusti per le tue esigenze.
1. Aggiorna tutto - Innumerevoli siti Web sono a rischio ogni giorno a causa di software obsoleti e non sicuri. È importante aggiornare il tuo sito non appena è disponibile un nuovo plug-in o una nuova versione del CMS. Questi aggiornamenti possono semplicemente contenere miglioramenti della sicurezza o correggere vulnerabilità.
La maggior parte degli attacchi ai siti web sono automatizzati. I bot eseguono costantemente la scansione di ogni sito possibile per opportunità di sfruttamento. Non è più sufficiente aggiornare una volta al mese o anche una volta alla settimana, perché molto probabilmente i bot troveranno una vulnerabilità prima che tu la risolva.
Ecco perché dovresti utilizzare un firewall per siti Web che praticamente chiuderà il buco di sicurezza non appena vengono rilasciati gli aggiornamenti. Se hai un sito Web WordPress, un plug-in che dovresti considerare è WP Updates Notifier. Ti invia un'email per farti sapere quando è disponibile un plugin o un aggiornamento del core di WordPress.
2. Avere password complesse Avere un sito web sicuro dipende molto dalla tua sicurezza. Hai mai pensato a come le password che utilizzi possano minacciare la sicurezza del tuo sito?
Per ripulire i siti Web infetti, i remediator devono accedere al sito client o al server utilizzando le proprie credenziali utente amministratore. Potrebbero essere sorpresi di vedere quanto possano essere insicure le password di root. Con accessi come admin/admin, potresti non avere alcuna password.
Gli hacker combineranno i dati della rete con elenchi di parole del dizionario per generare elenchi ancora più grandi di potenziali password. Se le password che usi sono in uno di questi elenchi, è solo una questione di tempo prima che il tuo sito venga compromesso.

Raccomandazioni per password sicure

Raccomandazioni per la creazione di una password complessa:

  • Non riutilizzare le password: ciascuna delle tue password deve essere univoca. Un gestore di password può semplificare questo compito.
  • Usa password lunghe. Prova a utilizzare più di 12 caratteri. Più lunga è la password, più tempo impiegherà un programma per decifrarla.
  • Usa password casuali. I programmi di cracking delle password possono indovinare milioni di password in pochi minuti se contengono parole trovate su Internet o nei dizionari. Se la tua password contiene parole reali, non è casuale. Se riesci a pronunciare facilmente la tua password, significa che non è abbastanza forte. Anche la sostituzione dei caratteri (cioè sostituire la lettera O con il numero 0) non è sufficiente. Esistono diversi gestori di password utili come LastPass (online) e KeePass 2 (offline). Questi strumenti memorizzano tutte le tue password in un formato crittografato e possono facilmente generare password casuali con il clic di un pulsante. I gestori di password ti consentono di utilizzare password complesse senza dover ricordare quelle più deboli o annotarle.

3. Un sito = uno spazio di archiviazione L'hosting di molti siti Web su un server può sembrare l'ideale, soprattutto se si dispone di un piano di hosting Web "illimitato". Sfortunatamente, questa è una delle peggiori pratiche di sicurezza che puoi usare. Posizionare più siti in un'unica posizione crea una superficie di attacco molto ampia. Dovresti essere consapevole che la contaminazione incrociata è molto comune. Ciò si verifica quando un sito è influenzato negativamente dai siti vicini sullo stesso server a causa di uno scarso isolamento del server o della configurazione dell'account.
Ad esempio, un server che ospita un sito potrebbe avere un'installazione di WordPress con un tema e 10 plug-in che potrebbero essere presi di mira da un utente malintenzionato. Se ospiti cinque siti su un server, un utente malintenzionato potrebbe avere tre installazioni di WordPress, due installazioni di Joomla, cinque temi e 50 plug-in che potrebbero essere potenziali obiettivi. Ancora peggio, una volta che un utente malintenzionato ha trovato un exploit su un sito, l'infezione può facilmente diffondersi ad altri siti sullo stesso server.

Questo non solo può causare l'hacking di tutti i tuoi siti contemporaneamente, ma renderà anche il processo di pulizia molto più dispendioso in termini di tempo e difficile. I siti infetti possono continuare a reinfettarsi a vicenda, causando un ciclo infinito.

Una volta che la pulizia ha avuto successo, ora hai un compito molto più difficile quando si tratta di reimpostare le password. Invece di un sito, ne hai diversi. Ogni singola password associata a ogni sito Web sul server deve essere modificata dopo che l'infezione è scomparsa. Ciò include tutti i database CMS e gli utenti FTP (File Transfer Protocol) per ognuno di questi siti web. Se salti questo passaggio, tutti i siti Web potrebbero essere nuovamente infettati e dovrai riavviare il processo.
4. Limitare l'accesso e le autorizzazioni degli utenti Il codice del tuo sito Web potrebbe non essere l'obiettivo di un utente malintenzionato, ma lo saranno i tuoi utenti. La registrazione degli indirizzi IP e di tutta la cronologia delle attività sarà utile per l'analisi forense in seguito.
Ad esempio, un aumento significativo del numero di utenti registrati può indicare un errore nel processo di registrazione e consentire agli spammer di inondare il tuo sito con contenuti falsi.

Principio del privilegio minimo

Il principio del privilegio minimo si basa su un principio che mira a raggiungere due obiettivi:

  1. Utilizzo del set minimo di privilegi nel sistema per eseguire un'azione;
  2. Concedere questi privilegi solo per il tempo in cui è necessaria un'azione.

La concessione di privilegi a determinati ruoli determinerà ciò che possono e non possono fare. In un sistema ideale, un ruolo impedirebbe a chiunque tenti di eseguire un'azione al di fuori di quanto previsto.
Ad esempio, supponiamo che un amministratore possa incorporare HTML non filtrato nei post o eseguire comandi per installare plug-in. È una vulnerabilità? No, questa è una caratteristica basata su un elemento molto importante: la fiducia. Tuttavia, l'autore dovrebbe avere gli stessi privilegi e accesso? Prendere in considerazione la possibilità di separare i ruoli in base alla fiducia e bloccare tutti gli account.
Questo vale solo per i siti con più utenti o accessi. È importante che ogni utente disponga dell'autorizzazione appropriata richiesta per svolgere il proprio lavoro. Se al momento hai bisogno di autorizzazioni estese, concedile. Quindi ridimensionalo una volta terminato il lavoro.

Ad esempio, se qualcuno vuole scrivere un post sul blog per te, assicurati che il suo account non disponga di diritti di amministratore completi. L'account dovrebbe essere in grado solo di creare nuovi post e modificare i propri post perché non è necessario modificare le impostazioni del sito web. Ruoli utente e regole di accesso accuratamente definiti limiteranno eventuali errori. Riduce anche il numero di account compromessi e può proteggere dai danni causati da utenti fraudolenti.
Questa è una parte spesso trascurata della gestione degli utenti: responsabilità e monitoraggio. Se più persone utilizzano lo stesso account utente e quell'utente apporta modifiche indesiderate, come fai a sapere chi è responsabile nel tuo team?
Se disponi di account separati per ciascun utente, puoi seguire il loro comportamento guardando i registri e conoscendo le loro tendenze abituali, ad esempio quando e dove visitano solitamente un sito web. Pertanto, se un utente accede in un momento strano o da una posizione sospetta, puoi indagare. Mantenere i registri di controllo è fondamentale per tenere traccia di eventuali modifiche sospette al tuo sito web.

Un registro di controllo è un documento che registra gli eventi su un sito Web in modo da poter rilevare anomalie e confermare al responsabile che l'account non è stato compromesso.

Naturalmente, la registrazione di controllo manuale può essere difficile per alcuni utenti. Se disponi di un sito Web WordPress, puoi utilizzare il plug-in di sicurezza gratuito Sucuri, che può essere scaricato dal repository ufficiale di WordPress.

Autorizzazioni file

I permessi dei file determinano chi può fare cosa con un file. Ogni file ha tre autorizzazioni disponibili e ciascuna autorizzazione è rappresentata da un numero:

  1. Leggi (4): visualizza il contenuto del file;
  2. Scrivi (2): cambia il contenuto del file;
  3. Esegui (1): esegue un file di programma o uno script.

Se si desidera consentire più autorizzazioni, è sufficiente sommare i numeri insieme, ad esempio, per consentire la lettura (4) e la scrittura (2), impostare l'autorizzazione dell'utente su 6. Se si desidera consentire all'utente di leggere (4), scrivere (2) e fare (1), quindi impostare l'autorizzazione utente su 7.

Tipi di utenti

Ci sono anche tre tipi di utenti:

  1. Proprietario: di solito è il creatore del file, ma può essere modificato. Solo un utente può essere il proprietario;
  2. Gruppo : ad ogni file viene assegnato un gruppo e qualsiasi utente che fa parte di questo gruppo otterrà questi permessi;
  3. Generale: tutti gli altri.

Pertanto, se desideri che il proprietario abbia accesso in lettura e scrittura, che il gruppo abbia accesso in sola lettura e che il pubblico non abbia accesso, le impostazioni di autorizzazione del file dovrebbero essere:
5. Modifica le impostazioni CMS predefinite Le moderne applicazioni CMS (sebbene facili da usare) possono rappresentare una sfida in termini di sicurezza per gli utenti finali. Gli attacchi di gran lunga più comuni ai siti Web sono completamente automatizzati. Molti di questi attacchi si basano su utenti che hanno solo impostazioni predefinite. Ciò significa che puoi evitare molti attacchi semplicemente modificando le impostazioni predefinite durante l'installazione del CMS di tua scelta.
Ad esempio, alcune applicazioni CMS sono scrivibili dall'utente, consentendo all'utente di installare qualsiasi estensione desideri.
Ci sono impostazioni che puoi regolare per controllare i commenti, gli utenti e la visibilità delle tue informazioni utente. I permessi dei file sono un altro esempio di un'impostazione predefinita che può essere migliorata.
Puoi modificare queste impostazioni predefinite quando installi il CMS o successivamente, ma non dimenticare di farlo.
6. Scelta dell'estensione (plugin) Ai webmaster di solito piace l'estensibilità delle applicazioni CMS, ma può anche essere uno dei maggiori svantaggi. Esistono plug-in, componenti aggiuntivi ed estensioni che forniscono praticamente tutte le funzionalità che puoi immaginare. Ma come fai a sapere quale è sicuro da installare?

Scegliere estensioni sicure (plugin): la principale sicurezza del sito

Ecco cosa cercare quando si scelgono le estensioni:

  • Quando l'estensione (plugin) è stata aggiornata l'ultima volta: se l'ultimo aggiornamento risale a più di un anno fa, l'autore potrebbe aver smesso di lavorarci. Utilizzare estensioni che sono in fase di sviluppo attivo perché ciò indica che l'autore sarà almeno disposto a implementare una correzione se vengono rilevati problemi di sicurezza. Inoltre, se un'estensione non è supportata dall'autore, potrebbe smettere di funzionare se gli aggiornamenti del kernel causano conflitti.
  • Età dell'estensione (plugin) e numero di installazioni. Un'estensione sviluppata da un autore affermato con molte installazioni è più affidabile di un'estensione con poche installazioni rilasciata da uno sviluppatore alle prime armi. Non solo gli sviluppatori esperti hanno una migliore comprensione delle best practice di sicurezza, ma hanno anche molte meno probabilità di danneggiare la loro reputazione inserendo codice dannoso nella loro estensione.
  • Fonti legali e attendibili: Scarica plugin, estensioni e temi da fonti legittime. Fai attenzione alle versioni gratuite, che possono essere piratate e infettate da malware. Esistono alcune estensioni il cui unico scopo è infettare il maggior numero possibile di siti Web con malware.

7. Avere backup dei tuoi siti web – in caso di hack, i backup del sito Web sono fondamentali per ripristinare il tuo sito Web da una grave violazione della sicurezza. Sebbene non debba essere considerato un sostituto di una soluzione di sicurezza del sito Web, un backup può aiutare a recuperare i file danneggiati.

Scegliere la migliore soluzione di backup del sito web

Una buona soluzione di backup dovrebbe soddisfare i seguenti requisiti:
— Primo, devono essere fuori sede. Se i tuoi backup sono archiviati sul server del tuo sito Web, sono vulnerabili agli attacchi quanto qualsiasi altra cosa. È necessario archiviare i backup fuori sede perché si desidera che i dati di cui è stato eseguito il backup siano al sicuro da hacker e guasti hardware. Anche l'archiviazione dei backup sul server Web rappresenta un grave rischio per la sicurezza. Questi backup contengono sempre versioni senza patch del tuo CMS e delle estensioni, offrendo agli hacker un facile accesso al tuo server.
- In secondo luogo, i tuoi backup dovrebbero essere automatici. Fai così tante cose ogni giorno che dover ricordare di eseguire il backup del tuo sito Web può essere impensabile. Utilizza una soluzione di backup che può essere pianificata in base alle esigenze del tuo sito web.
Per finire, avere un recupero affidabile. Ciò significa disporre di backup dei backup e testarli per assicurarsi che funzionino effettivamente. Avrai bisogno di più backup per la ridondanza. In questo modo, puoi recuperare i file prima dell'hack.
8. File di configurazione del server: controlla i file di configurazione del tuo server Web: i server Web Apache utilizzano il file .htaccess, i server Nginx utilizzano nginx.conf, i server Microsoft IIS utilizzano web.config.
I file di configurazione del server, che si trovano più spesso nella directory principale del Web, sono molto potenti. Ti consentono di applicare le regole del server, comprese le direttive che aumentano la sicurezza del tuo sito. Se non sei sicuro di quale server web stai utilizzando, esegui il tuo sito web tramite Sitecheck e vai alla scheda "Dettagli sito web".

Sicurezza del sito - Best practice per i server Web

Di seguito sono riportate alcune linee guida che è possibile aggiungere per un server Web specifico:

  • Nega l'accesso alle directory: questo impedisce agli aggressori di visualizzare il contenuto di ogni directory sul sito web. Limitare le informazioni disponibili agli aggressori è sempre un'utile misura di sicurezza.
  • Image Hotlink Prevention: sebbene non sia strettamente un miglioramento della sicurezza, impedisce ad altri siti Web di visualizzare immagini ospitate sul server Web. Se le persone iniziano a collegare le immagini dal tuo server, la larghezza di banda consentita dal tuo piano di hosting può essere rapidamente utilizzata per visualizzare le immagini per il sito di qualcun altro.
  • Protezione file riservati: è possibile impostare regole per proteggere file e cartelle specifici. I file di configurazione CMS sono uno dei file più importanti archiviati su un server Web perché contengono informazioni di accesso al database in testo normale. Altri luoghi, come le aree amministrative, potrebbero essere bloccati. Puoi anche limitare l'esecuzione di PHP alle directory che contengono immagini o che consentono i caricamenti.

9. Installa un certificato SSL - I certificati SSL vengono utilizzati per crittografare i dati in transito tra l'host (server web o firewall) e il client (browser web). Questo aiuta a garantire che le tue informazioni vengano inviate al server corretto e non vengano intercettate.
Alcuni tipi di certificati SSL, come il certificato SSL organizzativo o il certificato SSL a convalida estesa, aggiungono un ulteriore livello di fiducia perché il visitatore può vedere i dettagli della tua organizzazione e sapere che sei una persona legittima.
In qualità di società di sicurezza dei siti Web, dobbiamo istruire i webmaster e renderli consapevoli che i certificati SSL non proteggono i siti Web da attacchi e hack. I certificati SSL crittografano i dati in transito ma non aggiungono un livello di sicurezza al sito Web stesso.
10. Installa strumenti di scansione e monitoraggio - controllare ogni passaggio per garantire l'integrità dell'applicazione. I meccanismi di allerta possono ridurre i tempi di risposta e ridurre i danni in caso di violazione. Senza controlli e scansioni, come fai a sapere se il tuo sito è stato compromesso?
I registri di almeno un mese possono essere molto utili per rilevare arresti anomali dell'applicazione. Mostreranno anche se il server è sotto attacco DDoS o se è sotto carico non necessario. Registrare e rivedere regolarmente tutte le attività che si verificano nelle parti critiche dell'applicazione, in particolare (ma non esclusivamente) le aree amministrative. Un utente malintenzionato potrebbe provare a utilizzare una parte meno importante del sito per un livello di accesso più elevato in un secondo momento.
Assicurati di creare trigger per avvisarti in caso di attacco di forza bruta o tentativo di utilizzare una qualsiasi delle funzionalità del sito, comprese quelle non correlate ai sistemi di autenticazione. È importante controllare regolarmente la presenza di aggiornamenti e applicarli per assicurarsi di avere le patch di sicurezza più recenti installate. Ciò è particolarmente vero se non si abilita il firewall dell'applicazione Web per bloccare i tentativi di sfruttare la vulnerabilità.
11. Seguire le linee guida sulla sicurezza personale - proteggere il tuo personal computer è un compito importante per i proprietari di siti web. I tuoi dispositivi possono diventare un vettore di infezione e portare alla violazione del tuo sito.
Una buona guida alla sicurezza del sito Web menziona la scansione del computer alla ricerca di malware se il tuo sito Web è stato violato. È noto che il malware si infiltra dal computer di un utente infetto tramite editor di testo e client FTP.
È necessario rimuovere tutti i programmi inutilizzati dal computer. Questo passaggio è importante perché anche questi programmi possono avere problemi di privacy, proprio come plugin e temi inutilizzati sul tuo sito web.
Se qualcosa non è installato, non può diventare un vettore di attacco per infettare il tuo computer, in particolare un'estensione del browser. Hanno pieno accesso ai siti Web quando i webmaster accedono alle loro interfacce di amministrazione. Meno hai installato sul tuo computer, meglio è.
Se non sei sicuro dello scopo di una particolare app, fai una piccola ricerca online per vedere se è necessaria o qualcosa che puoi rimuovere. Se non intendi usarlo, rimuovilo.
12. Usa un firewall per il sito web - L'utilizzo dei soli certificati SSL non è sufficiente per impedire a un utente malintenzionato di accedere a informazioni riservate. Una vulnerabilità nella tua applicazione Web potrebbe consentire a un utente malintenzionato di intercettare il traffico, inviare visitatori a siti Web fasulli, visualizzare informazioni false, tenere in ostaggio un sito Web (ransomware) o cancellarne tutti i dati.
Anche con un'applicazione completamente patchata, un utente malintenzionato può anche attaccare il tuo server o la tua rete utilizzando attacchi DDoS per rallentare o disabilitare un sito web. Web Application Firewall (WAF) è progettato per prevenire tali attacchi ai siti Web e ti consente di concentrarti sulla tua attività.

Ulteriori misure senza un sito web

Per proteggere i tuoi siti Web e rendere Internet più sicuro, utilizza queste risorse e strumenti gratuiti.
1. Strumenti di protezione del sito web - Ecco alcuni strumenti gratuiti per la sicurezza del sito web:

1.1 SiteCheck è un controllo gratuito senza sito e uno scanner di malware.
1.2 Sucuri Load Time Tester: controlla e confronta la velocità del sito web.
1.3 Sucuri WordPress Security Plugin - Audit, scanner di malware e rafforzamento della sicurezza per i siti Web WordPress.
1.4 Google Search Console: avvisi di sicurezza e strumenti per misurare il traffico di ricerca e le prestazioni del sito web.
1.5 Strumenti per i webmaster di Bing: diagnostica dei motori di ricerca e report sulla sicurezza.
1.6 Yandex Webmaster - Ricerca Web e notifiche di violazione della sicurezza.
1.6 Unmaskparasites: controllo delle pagine per contenuti illegali nascosti.
1.7 Miglior WAF - confronto dei migliori firewall per applicazioni web cloud.

2. Risorse addizionali Ecco alcune risorse educative sulla sicurezza del sito web:

2.2 Sucuri Labs - Ricerca sulle minacce, database delle firme malware e statistiche.
2.3 OWASP è un progetto di sicurezza per applicazioni web open source.
2.4 Lista di controllo per la conformità PCI - Lista di controllo per la conformità PCI.
2.5 Istituto SANS - formazione, certificazione e ricerca nel campo della sicurezza informatica.
2.6 NIST - Istituto nazionale di standard e tecnologia.

Domande frequenti sulla sicurezza del sito web

Perché la sicurezza del sito web è importante?

La sicurezza del sito Web è fondamentale per mantenere un sito Web online e sicuro per i visitatori. Senza un'adeguata attenzione alla sicurezza del sito Web, gli hacker possono sfruttare il tuo sito Web, disabilitarlo e influire sulla tua presenza online. Le conseguenze di un attacco a un sito Web possono includere perdite finanziarie, problemi di reputazione del marchio e posizionamento basso nei motori di ricerca.

Quali sono i rischi per la sicurezza di un sito web?

I principali rischi per la sicurezza del sito Web includono: codice vulnerabile, scarso controllo degli accessi e utilizzo delle risorse del server. Ad esempio, gli attacchi DDoS possono rendere un sito inaccessibile ai visitatori in pochi minuti. Ci sono molte ragioni per cui i siti Web vengono violati; una password debole o un plug-in obsoleto può portare all'hacking di un sito.

Cosa rende sicuro un sito?

Un web application firewall viene attivato su un sito web sicuro per prevenire attacchi e hack. Segue inoltre le migliori pratiche di sicurezza del sito Web e non presenta problemi di configurazione o vulnerabilità note. Puoi utilizzare SiteCheck per vedere se un sito web ha un firewall, eventuali anomalie di sicurezza, malware o è nella lista nera. SiteCheck per vedere se un sito web ha un firewall, eventuali anomalie di sicurezza, malware o è nella lista nera.

Ho bisogno di sicurezza per il mio sito?

Si certo. La sicurezza del sito web non è inclusa nella maggior parte dei pacchetti di web hosting. La sicurezza del sito web è responsabilità del proprietario del sito web. La sicurezza dovrebbe essere una delle prime considerazioni quando si imposta un sito Web e un processo di verifica continua. Se un sito Web non è sicuro, può diventare una facile preda per i criminali informatici.

Come rendere sicuro il mio sito?

Puoi proteggere il tuo sito Web seguendo le migliori pratiche di sicurezza del sito Web, ad esempio:

  • Usa un firewall per il sito web.
  • Utilizza sempre l'ultima versione del CMS, dei plugin, dei temi e dei servizi di terze parti del sito.
  • Mantenere e utilizzare password complesse.
  • Fornisci solo il tipo di accesso di cui qualcuno ha bisogno per completare un'attività.
  • Installa strumenti di scansione e monitoraggio per garantire l'integrità del tuo sito web.
  • Installa i certificati SSL per la crittografia dei dati.
  • Conserva copie di backup dei siti web.

Leggendo questo articolo:

Grazie per aver letto: AIUTO SEO | NICOLA.TOP

Quanto è stato utile questo post?

Clicca su una stella per valutarla!

Voto medio 5 / 5. Conteggio dei voti: 357

Nessun voto finora! Sii il primo a valutare questo post.

Potrebbero interessarti anche...

Una risposta

  1. Евгений ha detto:

    Tante soluzioni per garantire la sicurezza e la protezione del sito da hacking e minacce. Hai due categorie su questo argomento. Non pensavo fosse così grande. Grazie per il contenuto dettagliato.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

20 − otto =