La sicurezza di un sito web è un fattore che pochi considerano, mentre dovrebbe invece essere una delle caratteristiche da valutare più attentamente, visto che basterebbe una falla di un software o di un servizio del sito per dare l’accesso a indesiderati, che, nel peggiore dei casi, potrebbero mettere a soqquadro il nostro sito o renderlo più o meno inaccessibile.
Le conseguenze potrebbero essere disastrose, nel caso di siti web personali ed ancora di più nel caso di siti aziendali o marchi, che subirebbero un calo abnorme della propria autorevolezza e della considerazione generale nei loro confronti.
Con l’enorme volume di minacce sempre nuove che giornalmente si verificano nel web, è quindi fondamentale rispettare alcune semplici regole di sicurezza. Le vogliamo elencare qui di seguito:

1- Utilizzare script e codici sicuri
Una soluzione ideale è quella di utilizzare script e CMS open source che hanno attorno una comunità di professionisti e programmatori esperti che aggiornano continuamente il sistema e risolvono in tempo reale tutti gli eventuali bug riscontrati, fornendo gratuitamente fix e un supporto in grado di aiutarvi. Un chiaro esempio di professionalità e sicurezza di un sito web è quello che si verifica con l’uso di CMS come Joomla, WordPress, Drupal, Dolphin, Magento ecc ecc, con una grandissima quantità di utilizzatori e di developers con un occhio in più di riguardo sulla sicurezza.
Difficilmente questi sistemi vengono bucati o danneggiati da malintenzionati. Per la massima sicurezza è bene mantenere aggiornati moduli, plugin, blocchi ed estensioni installate, scaricando le relative patch e bugfixes ufficiali.

2- Utilizzare password complesse
Le password non dovrebbero mai riprendere il tuo nome o qualcosa che ti riguardi, ma dovrebbero essere formate da almeno una parte di caratteri più o meno casuali, composti da lettere, numeri e segni. L’errore di tanti webmaster è quello di impostare password semplici da ricordare per loro stessi, senza stare troppo a pensare che esse risulteranno però più semplici da trovare anche per gli eventuali tentativi di intrusione. Non utilizzate la stessa password per più servizi web.
Sempre meglio scegliere una password composta da più caratteri alfanumerici, non di senso compiuto, e non riconducibile in nessun modo a voi e al vostro sito web. Se avete il timore di dimenticarvela, segnatevela in un foglio; la cosa migliore. Esistono diversi strumenti online che permettono di generare password complesse, ed altri ancora che mostrano il valore di sicurezza della password scelta.
Vogliamo segnalare forse il miglior servizio esistente per la gestione totale delle proprie password, con funzioni davvero formidabili in tale contesto: LastPass

3- Indirizzo e-mail di amministratore ben protetto
Tenere l’indirizzo di posta elettronica utilizzato per accedere all’area amministrativa del vostro server web, CMS, banca dati ecc lontano dagli occhi del pubblico. Utilizzare un indirizzo completamente diverso da quello della vostra pagina dei contatti aumenta abbondantemente la sicurezza del vostro sito online. Ad esempio, questo aiuterà a non essere ingannati da un’azione di e-mail phishing che potrebbe cercare di camuffarsi come la vostra società di hosting o registrar di domini o ISP che sia. E’ scontato dire che il login di accesso da admin dovrebbe contenere anche una password molto complessa. Se possibile, sarebbe una buona cosa anche avere la pagina amministrativa in un’area non accessibile agli utenti, ad esempio modificando la directory di destinazione (standard in tutti i vari CMS) o aggiungendo un’ulteriore password a scadenza per la visualizzazione della pagina di accesso admin.
Ad ogni modo, sappiate che la parte più importante dell’intero sito web è quella amministrativa, ed è violando quella che l’intero sito subirebbe le peggiori conseguenze, anche irreparabili. Non a caso, anche vista la difficoltà di penetrare sistemi informatici sempre più sicuri, risulta che quasi tutti i più gravi problemi nascono a causa di password non sicure e facilmente agganciabili, che danno facilmente il controllo root remoto.
Perdere un po di tempo per rendere sicure tutte le vostre aree amministrative, può salvarvi da conseguenze molto gravi, come è successo anche a grandi società del web, che, tralasciando questo importante aspetto (pensando magari a cose più tecniche) si sono ritrovati con interi database e server saccheggiati da sconosciuti, con informazioni sensibili e dati di estrema importanza in mano a persone non autorizzate ma col completo controllo.

4- Aggiungere un prefisso alla tabella del database
Anche qui, il CMS di norma utilizza spesso lo stesso prefisso per le tabelle del database. Se si utilizza un CMS, un blog o un forum, modificare allora il prefisso usato di default per le tabelle del database. Ad esempio, nel caso di WordPress, il prefisso predefinito delle tabelle è “wp“, nel caso di Joomla è “jom“. Quindi, se un hacker trova il modo di estrarre i dati da un database, i prefissi default delle tabelle gli serviranno tutto in un piatto d’argento. Applicare una password unica per l’accesso alla gestione dei database aumenterà ancora di più la sicurezza.

5- Eliminare sempre la cartella d’installazione
Una volta che l’installazione è stata eseguita non vi è alcuna utilità nel mantenere la cartella di installazione nel server. Sarebbe facilissimo per un normale visitatore o malintenzionato rieseguire il programma di installazione ancora una volta, svuotare il database e prendere il controllo del sito e del suo contenuto. Per non incorrere in questo, basterà semplicemente eliminare definitivamente tale directory, o, se per qualche motivo questo non è possibile, almeno rinominarla.

6- Modificare i permessi di files e cartelle

Alcuni script richiedono l’accesso completo in lettura e scrittura durante l’installazione. Ciò si può ottenere utilizzando il codice 777 per le cartelle fondamentali come config, admin ecc. Dopo l’esecuzione dell’installazione, si potrebbero ripristinare le iniziali autorizzazioni dei files e delle cartelle reimpostando i permessi, ad esempio a 755 o 644. Un file o una cartella con il permesso di lettura e di scrittura offre un facile accesso ed è più a rischio di ricevere codice nocivo con tecniche di inject.

7- Limitare l’accesso root

Sia per quanto riguarda l’FTP che il database, è sempre sconsigliato dare il privilegio root (amministratore globale) a troppi utenti. Limitare l’accesso ad alcune cartelle di sistema solo a coloro che sanno quel che fanno e a chi davvero ne ha bisogno per le operazioni più importanti di amministrazione.

8- Codificare il codice a rischio

Spesso tanti codici sono di vecchia data, e potrebbero non essere più stati aggiornati ed essere quindi a rischio di attacco. Se possibile, è bene utilizzare la codifica del codice, ad esempio PHP o JS, che permette di ottenere un alto grado di protezione del codice originale, che sarà difficilmente rintracciabile, anche per i migliori decrypter. Se codificato nel modo giusto, il codice lavorerà bene e senza nessun problema. I CMS più comuni offrono tanti plugins che permettono di controllare la compressione e la codifica del codice.

9- Aggiungere il file robots.txt

Il file robots.txt da istruzioni speciali agli spider dei motori di ricerca, istruendoli su quali cartelle devono essere indicizzate e quali no. Ad esempio, cartelle con dati sensibili, documenti, ed immagini possono in questo modo essere tenuti segreti ed esclusi dalle ricerche pubbliche provenienti dall’esterno.

10- Controllare periodicamente i file di log

I file di log sono quasi sempre visualizzabili dal proprio pannello di controllo dell’hosting. Consultandoli, si potrebbero individuare degli eventuali tentativi di attacco, di spam, di collegamenti indesiderati o proxy.

11- Testare il sito web con appositi strumenti

Nuovi bug possono venire ogni giorno alla luce, e nuove tecniche nascono giorno dopo giorno. Per questo motivo è bene ogni tanto effettuare qualche controllo e verifica di corretto funzionamento del proprio sito, che sventerà la minaccia degli attacchi remoti più usati, come l’SQL injection e l’XSS (cross-site-scripting).
Anche in questo caso, ricordiamo che le maggiori intrusioni avvengono a causa di password impostate che sono insicure, e che con attacchi di tipo brute-force possono essere facilmente ed in poco tempo scoperte.
Gli strumenti per il controllo dei bug e per la verifica della sicurezza del sito sono un’infinità, ognuno principalmente utile a qualcosa. Vogliamo citare uno strumento che, pur essendo utilizzato per altro, risulta essere comunque molto adatto a controlli diretti di sicurezza. Parliamo degli Strumenti per i webmaster di Google. All’interno, vi è infatti un blocco che permette di monitorare il crawling del proprio sito, avvisando nel caso esso rilevi qualche exploit, virus o malware iniettato nelle pagine web. Quindi, dopo aver autorizzato Google, esso offrirà già di suo una scansione costante e sempre attiva nel sito, consultabile online.

Anche l’informazione diretta può essere fondamentale per un buon approccio con la sicurezza nel web. Esistono diversi portali e comunità in cui si discute dei nuovi attacchi e dei nuovi rischi che si presentano nella sfera web-informatica. Questo sarà utile per venire a conoscenza degli ultimi bug e vulnerabilità, trovando in tempo il rimedio da adottare.
Ci potrebbero essere dei ritardi prima che le patch vengano rilasciate, ma queste informazioni vi aiuteranno comunque a proteggere il vostro sito web mettendolo temporaneamente offline nel caso ci sia una minaccia molto seria, o escludendo il codice a rischio dalle proprie pagine, magari fino all’aggiornamento di sicurezza che avverrà poco dopo.
Il blog Online Security di Google è uno dei portali che è conveniente leggere per venire a conoscenza dei bug delle applicazioni del momento.

12- Utilizza protocolli sicuri

Se il vostro ISP li supporta, è bene utilizzare i protocolli di sicurezza quali SSH, SFTP e SSL. Protocolli come Telnet e FTP, un tempo unicamente usati, sono piuttosto in disuso, rimpiazzati ottimamente da protocolli ben più sicuri perchè criptati nell’autenticazione. Prediligere pergiunta il loro utilizzo al posto degli altri due è sicuramente un ottimo accorgimento.
Il protocollo SSL (Secure Socket Layer) va acquistato a parte da una Certificate Authority, e permette di trasformare le pagine web in HTTPS. Specialmente per le pagine con dati sensibili, come conti bancari o parametri di fondamentale importanza, l’uso di tale protocollo risulterà utile e ben visto; esso trasmetterà tutte le comunicazioni tra server e client in modo crittografato, quindi tutti i dati dovranno prima autenticarsi attraverso il tunnel di sicurezza SSL ed utilizzare la connessione con HTTPS.

13- Non usare script e temi contraffatti

La pirateria di script commerciali e temi a pagamento è la più semplice e comune tra tutte le forme di abuso di files. Spesso questi download contengono stringhe di codice nascosto nei files o malware atti ad insinuarsi nel vostro codice di base, che diverrà corrotto senza che inizialmente voi ve ne accorgiate. Potrebbero verificarsi malfunzionamenti, disservizi o operazioni non richieste da voi, fino a conseguenze più gravi come perdita di contenuti, accesso incontrollato di estranei/malintenzionati e furto d’identita o di dati sensibili.

Purtroppo, a differenza del software desktop pirata in cui l’antivirus riesce a rimuovere il malware nascosto, spesso non c’è modo di sfuggire alle backdoor che penetrano e si insinuano automaticamente nel codice. Anche per un programmatore esperto, risulterebbe impossibile controllare attraverso migliaia di righe di codice per controllare se e dove lo script contiene la o le righe maligne. Codice che potrebbe anche riguardare una minuscola parte, difficilmente rintracciabile.
Uno script annullato o un tema con una backdoor potrebbe garantire senza problema l’accesso al peggiore dei malintenzionati. Il rischio in questo caso è sempre dietro l’angolo, ma è facilmente evitabile rispettando la legge, che impedisce i download pirata.

Quando si tratta di sicurezza online, ci sono e ci saranno sempre infiniti metodi per proteggere un sito web. Condividere informazioni utili nelle aree dedicate non potrà che portare benefici a tutti gli utilizzatori di internet.