Come proteggere il tuo sito con il servizio di sicurezza Site Scanner

Dato che gli hacker diventano sempre più ingegnosi, la protezione del tuo sito web è un lavoro costante. Per aiutarti a migliorare ulteriormente la sicurezza del tuo sito web, abbiamo recentemente migliorato il nostro servizio Site Scanner aggiungendo nuove funzionalità e introducendo un piano Premium per la massima sicurezza del sito. Poiché riceviamo costantemente domande su questo servizio, abbiamo chiesto a Daniel Kanchev, Product and Technology Lead in SiteGround, di rispondere in questo articolo alle domande più frequenti su Site Scanner.

Perché dovresti proteggere il tuo sito web?

Contrariamente a quanto si pensa, tutti i siti web, grandi o piccoli, sono bersaglio degli attacchi degli hacker. Alla fine, agli hacker non importa se hai un sito vetrina o un grosso eCommerce, se hai poche centinaia di utenti o centinaia di migliaia di visitatori. Il loro obiettivo è massimizzare l’impatto dell’attacco, causando danni sia alla tua attività che ai tuoi utenti. Alcuni attacchi includono il furto dei dettagli della carta di credito, l’invio di spam, il rilascio di malware sul tuo sito, il caricamento di file dannosi sul tuo account, etc.

Il punto è che tutti sono un bersaglio e possono essere colpiti. Ecco perché è importante sapere come proteggere il tuo sito web. In SiteGround, siamo fanatici della sicurezza dei siti ospitati sulla nostra piattaforma. Adottiamo un approccio multilivello per proteggere i tuoi siti a livello di infrastruttura, server e applicazione, ma poiché la sicurezza di un sito web è anche responsabilità del proprietario del sito, aggiungiamo costantemente nuove funzionalità e servizi per aiutarti in questo processo e risparmiare tempo, fatica e denaro. Questo perché affrontare le conseguenze di un attacco richiede tempo, genera perdite e richiede determinate competenze tecniche.

Come SiteGround si prende cura della sicurezza del mio sito?

In SiteGround ci prendiamo cura in modo completo dei siti web ospitati sulla nostra piattaforma. Ecco alcune delle cose che facciamo:

Misure generali di sicurezza del sito

• L’isolamento dell’account di hosting assicura che il tuo sito sia protetto e non venga influenzato nel caso in cui un altro sito sullo stesso server venga hackerato. La funzionalità isola il tuo sito da tutti gli altri siti. Se il sito web di un altro cliente viene hackerato, ciò non influirà sul tuo sito. È bene tenere presente, tuttavia, che più applicazioni all’interno dello stesso sito (ad esempio in cartelle diverse o sottodomini dello stesso sito) richiederanno un po’ più di attenzione, poiché condividono lo stesso spazio isolato. L’hacking di uno di essi potrebbe portare ad esporre anche l’altra applicazione. Pertanto, è una buona idea proteggere tutti i tuoi siti con password complesse e il nostro plugin SiteGround Security per i siti WordPress, ad esempio.

• Le regole WAF (Web Application Firewall), scritte dai nostri esperti di sicurezza, impediscono che il tuo sito venga hackerato a causa di una falla di sicurezza in un popolare plugin, tema, etc. Scriviamo le regole firewall per una percentuale davvero grande di plugin WordPress, temi e altre applicazioni.

• Il sistema di IA anti-bot analizza tutti i server, i siti e il traffico, bloccando le richieste illegittime al sito, oppure mostra un CAPTCHA quando non è sicuro al 100% che le richieste siano legittime. Il nostro sistema anti-bot si occupa anche degli attacchi brute-force.

• Backup distribuiti geograficamente per avere i tuoi dati a disposizione in modo sicuro in un’altra posizione, nel caso succeda qualcosa al tuo server e al tuo data center.

• Monitoraggio dei server 24/7 da parte dei nostri sistemisti per prevenire attacchi alla sicurezza, mitigare i DDOS e reagire in modo tempestivo contro qualsiasi minaccia nota o sconosciuta.

Misure di sicurezza specifiche per siti WordPress

• Offriamo aggiornamenti automatici del core e dei plugin di WordPress per assicurarci che il tuo sito web sia aggiornato e sicuro.

• Abbiamo sviluppato un plugin di sicurezza per WordPress gratuito, disponibile anche per chi non è nostro cliente – il plugin SiteGround Security. Ti consente di aggiungere ulteriori livelli di sicurezza al tuo sito e all’applicazione.

Perché hai bisogno del nostro servizio di sicurezza Site Scanner?

Anche con tutte le misure di sicurezza citate, c’è sempre la possibilità che il tuo sito possa essere hackerato da un utente che ha trovato un modo di accedervi.

Immaginiamo che tu sia connesso a una rete wifi pubblica e che tu stia accedendo al tuo account FTP da essa. Se l’hacker si trova sulla stessa rete wifi ed è una rete aperta, può intercettare il traffico e vedere il tuo nome utente e password. Questo è solo uno dei numerosi esempi di come gli hacker possono “entrare” nella backdoor del tuo sito web.

Ecco perché il nostro Site Scanner è utile: anche se succede qualcosa al tuo sito, ti avviserà del problema e sarai in grado di reagire, poiché:

• Verifica regolarmente la presenza di minacce ai siti web e rileva i malware
• Ti invia notifiche immediate sulle minacce
• Ti offre strumenti per reagire se il tuo sito è sotto attacco

Site Scanner è un ottimo componente aggiuntivo a tutto ciò che già facciamo, perché ti dà visibilità e controllo se sta succedendo qualcosa di sospetto nel tuo sito web e ti fornisce un meccanismo di reazione tempestiva per limitare la portata di un attacco.

Domande frequenti su come funziona Site Scanner

Site Scanner offre due diversi piani: Basic e Premium che forniscono al tuo sito web varie funzionalità di sicurezza. Qui di seguito troverai le risposte alle domande più frequenti su queste funzionalità.

Con quale frequenza Site Scanner effettua le scansioni?

Entrambe le versioni del servizio di sicurezza Site Scanner eseguono scansioni giornaliere degli URL, mentre la versione Premium include scansioni giornaliere automatiche anche dei file caricati per quel sito web.

Site Scanner esegue la scansione anche dei sottodomini o solo del sito web principale?

Con il piano Basic, se hai richiesto una scansione per un determinato sito tuonome.com, Site Scanner eseguirà la scansione delle pagine di questo sito. Se disponi di sottodomini come blog.tuonome.com, non verranno scansionati da Site Scanner in questo modo: il servizio aprirà solo il sito principale in un browser e lo analizzerà.

Con Site Scanner Premium, le scansioni dei file funzioneranno invece anche per tutti i sottodomini del sito web. Questo perché dal punto di vista della struttura delle cartelle, tutte le cartelle HTML pubbliche (le cartelle radice dei siti web) si trovano in un unico sito.

Può Site Scanner scansionare file come index.php, .htaccess, .txt? Come funziona con vecchi siti HTML?

Non importa se si tratta di un file PHP, .html, CSS, JavaScript, Python, Pearl, Go o di un altro tipo, la scansione del file verrà eseguita comunque. Il nostro Site Scanner scansiona e cerca pattern dannosi attraverso l’intero file system, indipendentemente dal tipo di file nelle cartelle.

Se hai un sito HTML, è probabile che non sarai bersaglio di un attacco così spesso rispetto a un sito web dinamico; tuttavia, i siti web HTML possono essere hackerati e il codice dannoso può essere inserito nell’HTML. Ad esempio, se hai un index.html, qualcuno potrebbe iniettare JavaScript dannoso in quelle pagine html, ma Site Scanner le rileverà.

Site Scanner influisce sulla velocità del sito o sull’utilizzo della CPU?

Site Scanner è leggero e consiste di due parti principali. La prima è la scansione dal punto di vista del browser e viene eseguita su un’infrastruttura diversa, non sul tuo server. Ogni giorno, apre il tuo sito e sfoglia alcune pagine, generando circa 10 o 15 visite di pagina al giorno, il che è abbastanza minimo e può essere ignorato. In secondo luogo, ci sono le scansioni dei file e le scansioni del caricamento dei file. Queste sono azioni che vengono eseguite sul tuo server di hosting, ma sono leggere e consumano pochissimo tempo della CPU. Pertanto, né la velocità di caricamento del sito, né l’utilizzo della CPU sono interessati da Site Scanner.

Site Scanner è white-label?

Se stai rivendendo i servizi, i tuoi utenti finali vedranno l’interfaccia di Site Scanner all’interno di Site Tools (in white-labeled), ma non riceveranno i report via email. Questi report verranno consegnati solo al proprietario del sito web (il cliente SiteGround proprietario del sito). I tuoi clienti potranno anche utilizzare l’opzione di quarantena, potranno vedere la cronologia delle scansioni, poiché anche queste sono white-label.

Come attivare Site Scanner?

Puoi semplicemente accedere alla tua Area Cliente di SiteGround > Marketplace > Servizi di hosting > Servizi aggiuntivi e selezionare Site Scanner. Vedrai quindi la tabella di confronto tra i piani Basic e Premium tra cui scegliere, insieme ai rispettivi prezzi.

Site Scanner vs. plugin SiteGround Security

Site Scanner protegge il tuo sito rilevando minacce, attacchi e vulnerabilità, invia notifiche e fornisce strumenti per reagire. Il plugin SiteGround Security d’altra parte ti dà la possibilità di aumentare il livello di sicurezza del tuo sito WordPress inserendo più regole di firewall (ad esempio puoi abilitare la 2FA, bloccare un indirizzo IP che sta tentando di accedere al tuo sito web troppe volte, etc.).

Mentre il plugin aumenta la sicurezza del tuo sito WordPress, Site Scanner funziona anche per siti non WordPress. Se hai un sito WordPress, ti consigliamo di installare SiteGround Security per aumentare la sicurezza del tuo sito e anche di aggiungere Site Scanner per avere la tranquillità che se succede qualcosa, sarai avvisato e in grado di reagire facilmente tramite l’interfaccia di Site Scanner.

La 2FA funziona anche per chi fruisce dei contenuti su WordPress?

Nel plugin SiteGround Security, la 2FA può essere abilitata solo per utenti con privilegi elevati, come amministratori, autori, editori, etc. Una volta abilitata la 2FA, questi utenti dovrebbero inserire un token, generato sulla loro applicazione Google Authenticator, per poter procedere con l’accesso.

Consigliamo sicuramente di abilitare la 2FA per i tuoi utenti registrati. L’unica cosa che devi tenere a mente è che ciò potrebbe richiederti di dedicare più tempo al supporto degli utenti finali, quando non hanno accesso al loro indirizzo email o al numero di telefono.

Alla fine, dipende dalla tua attività: se vuoi che i tuoi clienti abbiano un facile accesso al tuo sito web e alle informazioni che fornisci, non ha molto senso abilitare la 2FA. Se il sito fornisce l’accesso a informazioni riservate che dovrebbero essere protette, ha invece molto senso abilitare la 2FA per gli utenti finali del sito.

SiteGround ha una funzione di blacklist che limita i tentativi di accesso?

Abbiamo questa funzione nel plugin SiteGround Security e si è dimostrata efficace per prevenire attacchi brute-force.

Puoi utilizzare Site Scanner e il plugin SiteGround Security, se il tuo sito web è ospitato altrove?

Il nostro servizio Site Scanner può essere utilizzato solo per i siti ospitati sulla nostra piattaforma. Tuttavia, il plugin SiteGround Security può essere utilizzato per qualsiasi sito WordPress, indipendentemente dal provider di hosting, quindi installarlo è il minimo che tu possa fare per la sicurezza del tuo sito WordPress.

Qual è il modo migliore per impedire ai visitatori o ai bot di inviare email che sembrano provenire dal dominio del tuo sito web?

Quando gli hacker falsificano nel campo “Da” l’indirizzo email, si parla di spoofing email. Non c’è modo di prevenirlo completamente, ma puoi limitarlo. Per farlo, devi specificare nella zona DNS di ciascuno dei tuoi domini quali server di posta/IP sono autorizzati a inviare email per conto di quel dominio, creando questi record DNS: SPF, DKIM, DMARC. In questo modo i server di posta dei destinatari potranno distinguere meglio se le email sono legittime, ovvero che sono state inviate dalle tue caselle di posta, o se sono tentativi di phishing.