Strumenti essenziali per la sicurezza del sito web. Li utilizzi?

Sviluppare e mantenere una sicurezza efficace per un sito web è un processo costante che spesso viene trascurato dai proprietari dei siti a causa della sua complessità, consumo di tempo e costi. Come azienda di hosting, lo sappiamo bene. 18 anni di esperienza nell’hosting e nella protezione di milioni di siti web ci hanno insegnato che la sicurezza è assolutamente fondamentale per ogni attività online. Abbiamo assistito alle conseguenze devastanti che un hack può avere su un sito e abbiamo dedicato seri sforzi nel prevenire e ridurre al minimo gli effetti dei tentativi di attacco.

Nel corso degli anni, abbiamo ottimizzato la sicurezza della nostra piattaforma sviluppando sofisticati sistemi di sicurezza, introducendo una varietà di strumenti, plugin e funzionalità e analizzando e monitorando costantemente il traffico e i modelli per riconoscere potenziali minacce. Sebbene tutto ciò ci abbia reso uno dei provider di hosting più sicuri e affidabili al mondo, sappiamo che la sicurezza della piattaforma da sola non è sufficiente. Il coinvolgimento di webmaster e proprietari di siti è altrettanto importante per proteggere adeguatamente un sito web. Ecco perché abbiamo compilato un elenco delle funzionalità di sicurezza più essenziali da abilitare, che possono fare la differenza tra un sito web hackerato e la tranquillità.

Usa un SSL 

Oggi un SSL è assolutamente essenziale per ogni sito web. Un certificato SSL crittografa la connessione tra i browser dei tuoi visitatori e il server del tuo sito web in modo che i dati trasmessi tra i due, come informazioni personali, dati della carta di credito, credenziali di accesso o altro, non possano essere intercettati dagli hacker.

I clienti SiteGround possono ottenere certificati SSL Standard e Wildcard gratuiti con tutti i piani di hosting, indipendentemente dal numero di siti. Assicurati di aver installato il tuo SSL e di aver reindirizzato correttamente il traffico tramite HTTPS da Site Tools > Sicurezza > Gestione SSL per garantire la crittografia della connessione.

Se hai un sito web aziendale o stai elaborando pagamenti online, puoi prendere in considerazione i nostri certificati Wildcard premium che vengono forniti con una garanzia sottoscritta di $10.000 e un sigillo dinamico del sito per creare credibilità e fiducia tra i tuoi visitatori.

Proteggi il tuo login

Le tue credenziali di login sono la porta di ingresso per il tuo account e le informazioni personali (e quando si parla di siti web, anche per il tuo dominio, sito ed email). Ci sono diverse cose che puoi fare per assicurarti che le tue credenziali di accesso siano sicure e protette e che solo tu o le persone che hai autorizzato abbiano accesso al tuo sito web: 

Rafforza le tue password

Nonostante tutta la consapevolezza creata al giorno d’oggi sulle password deboli e sull’importanza di non condividere mai le credenziali di accesso con nessuno, una delle modalità di hackeraggio delle credenziali più comuni è indovinare o forzare password facili da decifrare. Avere una password lunga, composta da più caratteri e combinazioni di parole, lettere, numeri e simboli è un modo semplice e super efficace per mantenere i tuoi account al sicuro. Ricorda di utilizzare password diverse per siti e app diversi e non condividere mai le tue password con nessuno, non scriverle in luoghi accessibili pubblicamente come i post-it sul tuo computer!

Usa l’autenticazione a 2 fattori

Indipendentemente da quanto sia complessa la tua password, c’è ancora la possibilità per un hacker di ottenerla attraverso un attacco di brute-force, virus, malware o altro. Con l’autenticazione a 2 fattori abilitata, chiunque tenti di accedere ai tuoi dati deve superare un passaggio secondario. La 2FA aggiunge un altro livello di autenticazione, solitamente tramite un codice temporaneo generato dinamicamente (accessibile solo dal tuo telefono o email, a seconda delle impostazioni), che non può essere indovinato o violato e rende la protezione del tuo login a prova di proiettile!

• Per l’Area Cliente di SiteGround, che è la porta di accesso ai tuoi domini e siti, puoi facilmente abilitare la 2FA da Area Cliente > Accesso e profilo.
• Per l’accesso alla tua applicazione WordPress, puoi installare e attivare il plugin SiteGround Security e abilitare la funzione 2FA. Scarica il plugin qui o installalo direttamente dall’area di amministrazione di WordPress.

Monitora il tuo sito web 

Esegui scansioni regolari in cerca di malware

Esistono numerosi modi in cui un sito web può essere infettato da malware: credenziali di accesso compromesse, plugin e temi infetti o contraffatti, software danneggiato e altro ancora. Un malware può avere un grave impatto sul tuo sito e sulla tua attività online. La migliore prevenzione è una piattaforma di web hosting sicura e un monitoraggio costante. Se sei un cliente SiteGround, puoi attivare Site Scanner, un servizio che esegue la scansione del tuo sito web su base giornaliera e ti informa di potenziali malware e altre minacce. Proprio di recente, Site Scanner ha aiutato a salvare migliaia di siti WordPress da un malware particolarmente dannoso.

Blocca il traffico sospetto 

Ci sono casi in cui solo la persona che gestisce un sito può notare schemi specifici o attività sospette. Abbiamo fornito potenti strumenti di facile utilizzo per bloccare indirizzi IP specifici o interi paesi, consentendo ai nostri clienti di controllare chi accede al loro sito web e prevenire visitatori indesiderati.

Fai backup regolari del tuo sito

Sebbene i backup non ti proteggano direttamente dagli hacker, ti tengono al sicuro da altri eventi imprevisti: un aggiornamento del sito che potrebbe essere andato storto, un sito infetto che deve essere ripristinato a una versione pulita e qualsiasi altra situazione in cui una copia del tuo il sito web è tutto ciò che ti serve per riportarlo online. Sappiamo quanto spesso i backup possono salvare una situazione altrimenti terribile, quindi eseguiamo backup giornalieri automatici di tutti i siti ospitati presso di noi e li conserviamo per un massimo di 30 giorni. Puoi ripristinare facilmente il tuo sito web, file o database gratuitamente in pochi click da Site Tools > Sicurezza > Backup.

Prenditi cura del tuo WordPress 

Essendo il CMS più popolare al mondo, WordPress è anche uno degli obiettivi più comuni per gli hacker. Sebbene tutti i consigli di cui sopra si applichino a WordPress, ci sono alcune cose aggiuntive che puoi fare per assicurarti che il tuo sito WordPress sia ben protetto da malintenzionati e da software dannoso.

Mantieni il tuo WordPress aggiornato 

Mantenere aggiornato il tuo WordPress è essenziale per la sicurezza del tuo sito web. Se il tuo sito è ospitato con SiteGround, ce ne occupiamo noi per te. Tutti i siti WordPress ospitati da noi vengono aggiornati automaticamente all’ultima versione stabile di WordPress (solo dopo che l’abbiamo testata a fondo). Anche i plugin gratuiti vengono aggiornati automaticamente, a seconda delle impostazioni dell’utente

Aggiungi un ulteriore livello di protezione con un plugin di sicurezza affidabile

Esistono exploit e vulnerabilità specifici di WordPress che vengono gestiti meglio all’interno di WordPress stesso. Alcuni dei nostri migliori ingegneri di WordPress hanno sviluppato il plugin SiteGround Security (gratuito per tutti) che consiste in una serie di strumenti e funzionalità progettati per mantenere il tuo WordPress sicuro e protetto. Aiuta i proprietari di siti a disabilitare XML-RPC se non se ne ha bisogno, aggiungere la protezione XSS, proteggere le cartelle di sistema dall’inserimento di file dannosi con un solo click e molto altro.

Evita username comuni come “Admin” 

Il tuo login è composto da due parti: un nome utente e una password. In molte occasioni il nome utente viene generato automaticamente dalla piattaforma in cui ti registri e non hai alcun controllo su di esso, ma in altre, come la tua applicazione WordPress, hai il pieno controllo sui tuoi nomi utente. Se non fosse che tutte le installazioni di WP vengono fornite con l’utente “Admin” per impostazione predefinita. E gli hacker lo sanno, il che significa che sono un passo più vicini all’accesso al tuo sito! Ecco perché ti suggeriamo di disabilitare tutti gli utenti Admin sui tuoi siti e di creare utenti con username diversi e permessi uguali all’Admin. Puoi disabilitare l’uso di Admin e altri nomi utente comuni con il plugin SiteGround Security gratuito.

Limita i tentativi di accesso

Un comportamento standard degli utenti non autorizzati è provare a indovinare la tua password (o nome utente e password) nel modulo di accesso effettuando più tentativi consecutivi. Puoi facilmente evitarlo limitando il numero di tentativi di accesso consecutivi non riusciti che possono effettuare. Dopo aver raggiunto il numero impostato, l’IP da cui accedono viene bloccato per 1 ora. Utilizza il plugin SiteGround Security gratuito per attivare questa funzione per i siti WordPress.

Usa un fornitore di hosting affidabile con un approccio centrato sulla sicurezza

Come accennato all’inizio, proteggere il tuo sito web è uno gioco di squadra e sulla nostra piattaforma la sicurezza dei tuoi siti web è la nostra priorità numero uno. Qui vogliamo ricapitolare alcune delle cose che facciamo e nel caso tu non sia un cliente SiteGround, potresti prendere in considerazione questi elementi essenziali di sicurezza come requisito per qualsiasi provider di hosting con cui lavori:

Web Application Firewall a livello server

Il web application firewall monitora il traffico e blocca agli hacker le opportunità di sfruttare molte falle di sicurezza comuni delle applicazioni. Sebbene esistano molte soluzioni come plugin WordPress o servizi di terze parti per soddisfare tale esigenza, un WAF a livello di server è della massima importanza poiché funziona con big data e in tempo reale. Questo è il motivo per cui il nostro team dedicato alla sicurezza monitora costantemente vari bollettini sulla sicurezza per rilevare exploit e vulnerabilità e crea immediatamente regole di sicurezza personalizzate, che aggiungono al nostro Web Application Firewall intelligente e gestito internamente. Protegge immediatamente tutti i siti ospitati da noi.

Prevenzione Brute-force

Siteground ha un sofisticato sistema di prevenzione brute-force basato sull’intelligenza artificiale che per anni ha fermato milioni di tentativi di brute-force al giorno (anche all’ora)! E mentre questo già di per sé è impressionante, di recente l’abbiamo reso ancora migliore. Dopo il recente aggiornamento del sistema, siamo riusciti a ridurre del 95% la quantità di traffico dannoso che raggiunge il tuo sito, riducendo così al minimo i tentativi di brute-force effettivi! Non è richiesta alcuna azione da parte dei nostri clienti, lo stanno già utilizzando 🙂

Protezione DDOS

Gli attacchi DDOS vengono spesso utilizzati dagli hacker per bloccare i siti per diversi motivi: richieste di riscatto, concorrenza economica o commerciale, motivi politici o semplice vandalismo. Abbiamo un sistema di meccanismi software e hardware che deviano gli attacchi DDOS, mitigano il loro impatto e alla fine li fermano. E la cosa migliore è che non devi fare nulla: proteggiamo tutti i siti ospitati sulla nostra piattaforma!

PHP gestito

Mantenere aggiornato PHP è essenziale per mantenere sicuro il tuo sito web. Le versioni precedenti di PHP sono spesso una porta di ingresso per vulnerabilità e malware e molti provider di hosting tendono a trascurarlo per rendere più semplice la gestione di PHP. Abbiamo sviluppato una soluzione PHP gestita e sicura che aiuta i nostri clienti a mantenere il loro PHP aggiornato all’ultima versione stabile di PHP.

Blocco del traffico su richiesta (Blocco IP e blocco su base geografica)

Ci sono casi in cui solo la persona che gestisce un sito può notare schemi specifici o attività sospette. Abbiamo fornito potenti strumenti di facile utilizzo per bloccare indirizzi IP specifici o interi paesi, consentendo ai nostri clienti di controllare chi accede al loro sito web e prevenire visitatori indesiderati.

Accesso intelligente all’area cliente e al Site Tools 

Tutti gli account SiteGround sono protetti da un accesso intelligente, che abbiamo sviluppato per riconoscere comportamenti sospetti e imporre ulteriori verifiche del cliente quando viene rilevato uno schema irregolare. Il nostro sistema di accesso apprende dal tuo comportamento, ad esempio i dispositivi che utilizzi abitualmente o le posizioni da cui accedi spesso, e sa se un tentativo di accesso proviene da te o da un impostore. In quest’ultimo caso, viene introdotta una sfida, facile da superare per il vero proprietario dell’account e molto difficile per chiunque altro.

Report mensili di sicurezza

C’è un’altra cosa che spesso viene trascurata, ma è importante includerla nella strategia di sicurezza del tuo sito web. Devi assicurarti di monitorare regolarmente lo stato di sicurezza del tuo sito, ma questo può richiedere molto tempo, impegno e denaro. I clienti di SiteGround ricevono report mensili sulla sicurezza gratuitamente,  direttamente nella propria casella di posta.

Eseguiamo controlli di sicurezza automatizzati dei siti dei nostri clienti e forniamo loro i risultati di riepilogo in un formato di facile utilizzo, insieme a suggerimenti attuabili su come ridurre il rischio di attacchi dannosi, se identifichiamo eventuali aree di miglioramento.

Questi sono gli strumenti essenziali per la sicurezza del tuo sito web. Se li hai tutti abilitati, siamo fiduciosi che il tuo sito web sia ben protetto, e puoi avere la tranquillità di aver fatto tutto il possibile per proteggere la tua attività online. Ci piacerebbe sapere quali di queste funzionalità stai già utilizzando e quali sono quelle che hai appena scoperto.