Sicurezza del sito web

In questo articolo, descriviamo alcuni dei comuni vettori minaccia e delle loro possibili azioni dannose, nonché soluzioni i sicurezza Web di one.com.

Vulnerabilità comuni della sicurezza per siti Web nel 2020

Malware

Il malware è l’abbreviazione di “software dannoso”. Esso si riferisce a qualsiasi software progettato per causare interruzione, danneggiare o acquisire accesso a un sistema. Sono numerosi i modi in cui il malware può diffondersi: dall’inserire un’unità USB infetta ai download accidentali da siti Web infetti. I virus, lo spyware e i “worm” sono normalmente compresi nella definizione di malware.

Cross-site Scripting

Cross Site Scripting (XSS, script da altri siti) è un tipo di vulnerabilità sfruttata dagli hacker per inserire script malevoli nelle pagine Web. Anche se questo tipo di vulnerabilità è presente ormai da molto tempo, stando a quanto riportato da ZDnet nel 2017 essa rappresenta ancora un vettore minaccia talmente grande che gran parte delle azienda hanno “bug bounty program” (detti anche Vulnerability Rewards Program”) che coprono la vulnerabilità XSS.

SQL Injection

Un attacco SQL injection quando un form di sito Web non protegge contro vari caratteri o comandi speciali, consentendo a terzi malevoli di accedere ai dati di un database, di modificarli o di eliminarli dal database.

Attacchi man-in-the-middle

L’attacco man-in-the-middle è quando un hacker intercetta i messaggi tra due utenti, facendo loro credere che stanno comunicando tra loro (ad es. tra il browser di un utente finale e un web server). Questo metodo è simile agli attacchi di intercettazione a livello rete di dati privati come password e dati di carte di credito.

Come puoi proteggere il tuo sito Web?

Data la natura estremamente vasta delle minacce, occorre adottare varie precauzioni: l’utilizzo di strumenti automatizzati e l’applicazione delle migliori prassi.

Proteggi i tuoi account e le tue password

È ovvio che devi mantenere al sicuro la tua password di web hosting. Se una persona non autorizzata accede al tuo Pannello di controllo, può causare vari danni. Ad esempio, un “bad actor” può eseguire il defacement del tuo sito Web, può reindirizzarlo a un sito della concorrenza o persino rubare i dati clienti di cui sei responsabile. Devi pertanto stare attento a chi ha accesso ai tuoi dati di login e attenerti scrupolosamente alle migliori prassi atte a garantire la massima protezione della tua password: cambia la tua password periodicamente e non riutilizzare le stesse password in siti differenti.

Di recente abbiamo introdotto delle misure di sicurezza addizionali e un supporto aggiunto per il recupero della password tramite un numero di telefono e un indirizzo e-mail secondari. Anche se la tua cassetta postale risulta compromessa, puoi sempre resettare la tua password one.com e proteggere il tuo business online.

Mantieni aggiornati il tuo sito Web e il certificato CMS

Nel mondo della sicurezza cibernetica, far fronte alle nuove vulnerabilità che mettono in pericolo i siti Web è un lavoro senza fine. Ecco perché devi mantenere il tuo sito Web aggiornato con le ultime versioni di software, quali WordPress o PHP. Di recente, abbiamo trasferito i nostri clienti da una versione obsoleta di PHP per la quale non venivano più emesse correzioni per la protezione. Questo ha comportato per i clienti non solo un miglioramento della performance, ma anche la certezza di non essere più vulnerabili ai nuovi attacchi verso la versione obsoleta.

Se utilizzi Website Builder or E-commerce di One.com, non hai nulla di cui preoccuparti in quanto il nostro team di esperti installa costantemente le patch di protezione.

Un backup aggiornato sempre a disposizione

La frustazione è grande quando si danneggiano i dati accidentalmente, inserendo un plugin dannoso o facendo clic su un link malevole e non c’è alcun rimedio. Eseguire backup periodici può essere di aiuto e ti offrono tranquillità. Disporre di un backup aggiornato giornaliero vuol dire poter ripristinare il tuo sito Web alla versione precedente, perdendo solo i dati di giorno, anziché tutti i dati.

Conserviamo i backup di tutti i dati dei nostri clienti attivi per 14 giorni con una funzione di ripristino disponibile su richiesta o come parte di un piano premium.

Crittografa i dati condivisi tra il tuo visitatore e il tuo sito Web con SSL

La tecnologia SSL (Secure Socket Layer) codifica tutti i dati forniti dai visitatori del tuo sito Web, ad es. dati della carta di credito, indirizzi e-mail e nomi. La tecnologia SSL impedisce gli attacchi man-in-the-middle: se un hacker fosse in grado di intercettare i dati, essi verrebbero crittografati e sarebbe possibile decrittografarli solo per mezzo di una chiave privata. Proteggere i dati utenti è importante per one.com. Tutti i pacchetti comprendono certificato SSL gratuito che viene abilitato automaticamente senza necessità di ulteriore configurazione.

Disattiva il protocollo FTP e utilizza invece il protocollo SFTP or File Manager

Sono ormai più di 30 anni che si utilizza il protocollo “File Transfer Protocol “(FTP) che non è mai stato progettato per essere sicuro. Include numerose vulnerabilità e non offre alcuna crittografia, per cui un “bad actor” può catturare dati e password.
Ti consigliamo di utilizzare SFTP, che trasferisce i file attraverso una connessione SSH sicura. I clienti di one.com possono utilizzare inoltre File Manager, una funzione ampiamente sicura, integrata nel Pannello di controllo.

Rimani vigilante eseguendo periodicamente l’antivirus sul tuo sito Web

Così come tu hai controlli periodici dal medico, il tuo sito Web deve essere periodicamente analizzato da ricerca malware/virus. A tal fine ci sono varie opzioni gratuite o premium. Stiamo collaborando con esperti in sicurezza di SiteLock, un’azienda leader dell’industria, per fornire ai nostri clienti soluzioni avanzate di sicurezza per siti Web.

Imposta avvisi su attività sospette

Con la sottoscrizione a Premium Mail, una delle nuove funzioni di sicurezza di cui disponi ti offre la possibilità di abilitare gli “avvisi SMS” che vengono emessi, qualora la tua posta elettronica venga “attaccata” dall’estero. In caso di attacco, puoi disabilitare rapidamente la tua posta elettronica prima che l’hacker (il pirata informatico) causi danni gravi. Scopri di più gli avvisi SMS di Premium Mail.

Previeni trasferimenti di domini indesiderati

Blocco Dominio è una funzione di sicurezza che abbiamo aggiunto di recente per i nostri clienti. Consente loro di impostare protezioni aggiuntive che impediscono trasferimento dei domini indesiderato (ovvero senza loro previa autorizzazione) grazie a una processo di verifica costituito da 2 passaggi.