Lavora sulla sicurezza web dal primo giorno per prevenire gli attacchi al tuo sito
Indice
La sicurezza del proprio sito dovrebbe essere uno dei primi pensieri di ogni proprietario di sito. Non importa se il tuo sito è grande o piccolo: se è importante per la tua attività, devi tenerlo al sicuro. In qualità di proprietario di un sito WordPress, ho creato una lista che esamino ogni volta che creo un nuovo sito per me o per un cliente. La condividerò con te nella speranza che tu possa captare alcune nuove idee. Diamo un’occhiata a cosa serve per proteggere un sito web.
Scegliere un hosting sicuro
Dovrebbe essere ovvio, ma la sicurezza inizia con il tuo fornitore di hosting. Ho usato di tutto, dagli “hosting fai-da-te” agli “hosting premium”. Il trucco è trovare il servizio di cui hai bisogno e il supporto con cui ti senti a tuo agio.
Controlla il supporto offerto
La prima cosa che faccio quando considero un nuovo hosting è controllare il supporto che offre e i tempi di risposta. Mi iscrivo per provarlo, creo un sito e quindi contatto il supporto per porre una domanda. La rapidità con cui rispondono e quanto bene capiscono la domanda mi dà indizi su cosa posso aspettarmi se ospiterò il mio sito con loro.
Controlla le funzionalità di sicurezza
Controllo quindi il loro sito web e i piani di hosting per vedere quali strumenti e funzionalità di sicurezza forniscono. Ricerco cose essenziali come un certificato SSL per crittografare e proteggere i dati del mio sito web, la privacy del dominio per nascondere le mie informazioni personali dai database Whois pubblici, l’autenticazione a 2 fattori per proteggere il mio sito web da accessi non autorizzati, backup distribuiti geograficamente per avere una copia di sicurezza del mio sito web nel caso qualcosa vada storto.
Un’altra misura di sicurezza chiave che vorrei venisse usata dal mio hosting provider è un Web Application Firewall (un software che si trova davanti al mio sito web e lo protegge dal traffico dannoso) per mantenere il mio server al sicuro da exploit software. Controllo se viene fornita una protezione dagli attacchi DDOS e brute-force e un’opzione per gli aggiornamenti automatici alle ultime versioni di PHP e WordPress per proteggere il sito dai malware.
Se l’hosting fornisce più strumenti di sicurezza, meglio ancora. Ad esempio, oltre a tutte queste funzionalità, disponibili sulla piattaforma SiteGround, offrono anche il servizio Site Scanner e un plugin di sicurezza gratuito e integrato per WordPress, SiteGround Security, per assicurarsi che il tuo sito sia il più sicuro possibile.
Controlla il blog del provider
Il terzo passaggio, quando seleziono un hosting, è sempre leggere gli ultimi 5 articoli nel loro blog.
- Sono recenti?
- Parlano di sicurezza?
- Il blog ti sembra essere utile?
No, non tutti gli articoli riguarderanno la sicurezza, ma è meglio che riesca a trovarne uno recente. Il panorama della sicurezza cambia rapidamente, quindi è necessario pubblicare regolarmente.
Controlla il prezzo
Infine, controllo le loro fasce di prezzo cercando di capire in quale potrebbe ricadere il mio sito. Il prezzo è l’ultima cosa che controllo perché se i primi due punti del mio elenco non sono soddisfatti, il prezzo non ha importanza. Potrebbero darti il servizio gratuitamente e non lo userei comunque.
Crea il tuo sito in modo che sia sicuro fin dall’inizio
Una volta che hai gettato le basi per il tuo sito, è il momento di iniziare a costruirlo. Ad ogni passaggio, devi assicurarti che la sicurezza sia “integrata” e non inclusa a forza quando possibile.
La sicurezza è integrata quando ci pensi prima di iniziare a costruire il tuo sito web.
Non lo è quando invece crei l’intero sito e decidi poi di aggiungere semplicemente un plugin incentrato sulla sicurezza per prendere precauzioni.
La soluzione integrata è sempre la migliore.
Cosa significa integrare la sicurezza?
Installa un certificato SSL non appena hai configurato il sito web
Non aspettare di essere pronto a pubblicare il tuo sito prima di ricordarti di installare il tuo certificato SSL. Al giorno d’oggi un sito web sicuro in pochi click. Prenditi del tempo per farlo subito e poi assicurati di forzare tutto il traffico affinché sia tramite https. Per quegli utenti che ospitano il sito con SiteGround, il Site Tools semplifica la configurazione e la forzatura dell’SSL. Pochi click e sei pronto.
Imposta una policy di password complessa prima di iniziare ad aggiungere utenti
Le password sono il lucchetto sulla porta d’ingresso del tuo sito. Quando crei il tuo sito, metti una serratura resistente alla porta d’ingresso richiedendo a tutti gli utenti di utilizzare password complesse. Se lo fai prima di consentire agli utenti di iniziare a entrare nel tuo sito, ti assicurerai che nessun utente imposti password deboli.
Richiedi l’autenticazione a 2 fattori (2FA) per qualsiasi utente che disporrà di diritti di amministrazione
Sì, una password complessa è importante per chiunque debba accedere al sito, ma per ottenere accesso a cose come informazioni finanziarie o gestione degli utenti, dovresti impostare anche una seconda serratura di rinforzo. Mantieni il tuo sistema sicuro implementando la 2FA per tutti i tuoi amministratori. Il plugin SiteGround Security semplifica la configurazione della 2FA.
Configura un sistema di backup che eseguirà regolarmente il backup dell’intero sito e memorizzerà i backup in modo sicuro
Hai bisogno di un sistema di backup di 30 giorni implementato dal giorno 1. Non 1 giorno, non 7 giorni, 30 giorni. Il motivo è che se il tuo sito viene hackerato, potresti non accorgertene immediatamente. Una volta che te ne sarai accorto, vorrai pulire il tuo sito e uno dei modi migliori per farlo è ripristinare il sito da un backup pulito.
Il Site Tools di SiteGround fornisce uno strumento intuitivo per la pianificazione dei backup notturni e il loro ripristino quando necessario.
Già che parliamo di backup, non dimenticare di fare un backup prima di qualsiasi aggiornamento, redesign del sito o installazione di un nuovo plugin. Non fa mai male avere un nuovo backup nel caso le cose vadano male.
Rispetta il principio del privilegio minimo
Prima di iniziare a far entrare gli utenti nel tuo sistema, pensa ai ruoli che svolgeranno. Un ruolo è un insieme di autorizzazioni o privilegi e quello che devi dare a ciascun utente è il livello minimo assoluto di privilegio di cui ha bisogno per utilizzare il tuo sito
Regolarmente, almeno una volta all’anno, rivedi questi privilegi per assicurarti che siano ancora validi e che a nessun ruolo sia stato concesso un privilegio di cui non ha bisogno.
La maggior parte degli utenti non cerca di fare cose nocive, ma dobbiamo presumere che lo farebbero se potessero. Aderire al principio del privilegio minimo aiuterà a garantire che malintenzionati o utenti curiosi non possano fare nel tuo sito ciò che non dovrebbero.
Utilizza solo software attendibili
Nello sviluppo del software, come nella costruzione di una casa, la reputazione del tuo fornitore è fondamentale per il successo del tuo progetto. Se utilizzi un fornitore di basso livello per i materiali della tua casa, l’intero progetto ne risentirà. Peggio ancora, risolvere in seguito questi problemi ti costerà di più che acquistare in principio buoni materiali.
Creare il tuo sito con materiali di qualità come plugin e temi di fornitori affidabili di solito ti costerà denaro nel breve periodo. Tuttavia, sapere che ci sono aziende che stanno dietro ai loro prodotti e li aggiornano quando sorgono problemi vale il denaro speso.
Sì, puoi scegliere un plugin o un tema gratuito su cui costruire una funzionalità critica del tuo sito web. Tuttavia, cosa fai se scopri che c’è un difetto di sicurezza? Peggio ancora, cosa fai quando scopri quel difetto e che l’autore ha abbandonato il progetto? A quel punto hai 2 opzioni, nessuna delle due buona.
- Assumere uno sviluppatore per correggere il difetto di sicurezza
- Eliminare il plugin, trovarne un altro che faccia la stessa cosa, implementarlo e apportare le modifiche necessarie.
Entrambe possono essere proposte costose, che potrebbero essere evitate semplicemente facendo scelte sagge all’inizio.
SiteGround ha recentemente esaminato i dati di molti siti web compromessi. Quello che hanno scoperto è che la maggior parte dei siti web è stata compromessa perché usava plugin senza patch che presentavano difetti di sicurezza. Per la maggior parte si trattava di versioni gratuite di plugin a pagamento scaricati da fonti inaffidabili. Scarica plugin e temi solo da siti affidabili come WordPress.org o fornitori di cui ti fidi.
La repository dei plugin di WordPress è una fonte affidabile. WordPress.org ha implementato un processo di revisione per aiutare a filtrare i plugin che presentano potenziali problemi di sicurezza o violano in altro modo la policy di WordPress.
Scansiona il tuo sito regolarmente
Proprio come implementi un sistema di sicurezza nella tua casa, vorrai impostare uno scanner di sicurezza per il tuo sito web non appena lo crei. Gli scanner di sicurezza esaminano il tuo sito sia internamente che esternamente per assicurarsi che non vi siano vulnerabilità note. Nessuno scanner per la sicurezza è perfetto, proprio come nessun sistema di sicurezza domestica è perfetto. Ma il tuo sito web sarà più sicuro usandone uno.
Un buon scanner cercherà cose come le vulnerabilità di Cross Site Scripting tra le altre cose. Queste vulnerabilità possono far sì che il tuo sito venga usato per attacchi ad altri siti o attacchi all’utente finale stesso.
SiteGround ha un ottimo sistema di scansione. Ricevo regolarmente email che mi dicono quali siti ha scansionato e anche se sono tutti puliti o se c’è un problema che devo risolvere…immediatamente.
Fai attenzione alle truffe di phishing relative al tuo sito
Una volta che hai costruito una nuova casa, non dai le chiavi a chiunque te le chieda, anche se afferma di avere una buona ragione per volerle. Allo stesso modo, vorrai assicurarti che se ricevi un’email che afferma provenire dal tuo sito, non clicchi automaticamente sul link.
Dovresti conoscere ogni email che il tuo sistema è in grado di inviare. Quando ne ricevi una che non ricordi di aver impostato, devi indagare. Non cliccare, inizia a revisionarla. Controlla le intestazioni, guarda l’URL esatto a cui puntano tutti i link. Soprattutto, metti in quarantena l’email utilizzando il tuo software di rilevamento dei virus.
Le email sconosciute che fingono di provenire dal tuo sito sono solo un altro modo in cui gli hacker cercano di entrare nel tuo sito. Questi attacchi di phishing provengono da server che non sono sotto il tuo controllo, quindi non puoi fermarli. Puoi tuttavia prestare attenzione, in modo che una volta ricevuti, li elimini. In quasi tutti i casi, se non clicchi, l’email stessa non può causare alcun danno.
Strumenti che utilizzo regolarmente per integrare la sicurezza nei miei siti
Mantenere sicuro un sito WordPress non deve essere un lavoro a tempo pieno se integri la sicurezza fin dall’inizio. Per fare ciò, ci sono un paio di strumenti che utilizzo su quasi tutti i siti WordPress che ho.
Il plugin SiteGround Security è il primo plugin che installo su qualsiasi nuovo sito che creo. Lo installo, aggiungo un certificato SSL e configuro tutto in modo che sia sicuro prima di fare qualsiasi altra cosa. Se imposto bene questa parte, tutto il resto è più facile.
Il plugin SiteGround Optimizer è un ottimo modo per rendere più veloce il mio sito, ma è anche dove attivo la “Forzatura HTTPS”. In questo modo tutto il traffico sul mio sito passa su HTTPS anche se in origine non lo era. Avere un certificato SSL è importante, è altrettanto importante è applicarlo a tutto il traffico.
Il Site Tools di SiteGround ha fantastiche opzioni per semplificare la gestione di un sito web. Lo strumento che utilizzo sin da subito quando imposto il tutto è il backup. Dopo aver impostato e configurato SiteGround Security e SiteGround Optimizer, ho tutto pronto: faccio quindi un backup. Questa è la mia soluzione di ripiego nel caso in cui sbaglio qualcosa durante la creazione del mio sito.
Quindi, prima di installare qualsiasi plugin o tema, creo un nuovo backup. Nomino questi backup “PRIMA DI” + il nome del plugin o del tema. In questo modo posso tornare indietro a qualsiasi punto del processo.
Conclusioni
Se crei fondamenta sicure per il tuo sito web e pensi alla sicurezza in ogni momento, puoi dormire sonni tranquilli, sapendo che il tuo sito è il più sicuro possibile. Nessun sito web, tuttavia, è a prova di proiettile. Pertanto, l’ultimo passaggio è creare il tuo piano di emergenza. Quali passi farai se il tuo sito viene hackerato?
Il plugin SiteGround Security ha una serie di passaggi che puoi eseguire in tale situazione. Non è un piano di ripristino di emergenza completo, ma quando lo combini con 30 giorni di backup, sei sulla buona strada.
Grazie! Il tuo commento è trattenuto per moderazione e verrà pubblicato a breve, se correlato a questo articolo del blog. I commenti con richieste di assistenza o risoluzione problemi non verranno pubblicati. In tal caso, ti preghiamo di segnalarli tramite
Inizia la discussione
Grazie! Il tuo commento è trattenuto per moderazione e verrà pubblicato a breve, se correlato a questo articolo del blog. I commenti con richieste di assistenza o risoluzione problemi non verranno pubblicati. In tal caso, ti preghiamo di segnalarli tramite