Sappiamo che il sito web è un elemento cardinale nella strategia di comunicazione aziendale: si possono presentare idee e offerte, dare informazioni di contatto e vendere prodotti. La presenza online, però, porta in dote responsabilità legate alle procedure di sicurezza, per evitare i rischi di attacchi e frodi, che possono colpire sia chi gestisce il sito, sia i visitatori.
Per avere un giudizio e una classifica di priorità sulle best practices da mettere in atto quando si gestisce un sito abbiamo chiesto a chi di sicurezza informatica per il web se ne occupa in prima linea, i responsabili di 1&1, uno tra i principali web hosting provider europei. Melanie Schweitzer, PR manager di 1&1, ci ha riepilogato in dieci punti i passi fondamentali da compiere per elevare la sicurezza del proprio sito, sulla base dell’esperienza maturata sul campo da questo provider.
Se un sito web è bersaglio di un attacco informatico, il rischio più immediato è che venga completamente oscurato. In questo caso si perdono visitatori e potenziali clienti fino a quando il problema non sarà risolto, ma è un’emergenza ‘minore’. Più devastante è invece l’eventuale furto di dati sensibili o un attacco al sito web con virus che si installano automaticamente sui computer degli utenti. In questo caso non solo si perdono visitatori, ma si rischia un grave danno di immagine e conseguenze penali.
I siti web di piccole e medie imprese sono particolarmente vulnerabili agli attacchi. Gli hacker sfruttano il fatto che le aziende più piccole spesso non possono permettersi esperti informatici interni e capita che i sistemi non siano protetti in modo professionale. La mancanza di competenze può essere causa di vulnerabilità e i criminali informatici hanno vita facile.
Ecco la classifica dei dieci consigli che si possono seguire facilmente, contribuendo in modo concreto a rendere un sito più sicuro.
1. Utilizzare soluzioni provenienti da fornitori affidabili
Sembra banale, ma in realtà non è facile distinguere quale, tra le offerte che il mercato propone, fa al caso proprio. Quando si cerca un provider affidabile meglio leggere con attenzione i test, le valutazioni lasciate dai clienti precedenti, da partner tecnologici, eventuali riconoscimenti e premi ricevuti per i prodotti o per il servizio clienti e magari mettere personalmente alla prova quest’ultimo chiedendo informazioni tecniche dettagliate sui servizi offerti e sulle procedure di sicurezza incluse nelle offerte.
2. Effettuare un controllo periodico di sicurezza
Per scoprire se un sito è già stato infettato da software dannosi si possono effettuare i classici site-check. Un controllo con scansione multiengine (cioè conpiù virus checker ) è offerto dal sito VirusTotal. Gli utenti di WordPress, il più popolare sistema di gestione dei contenuti, inoltre, possono utilizzare il WordPress Security Scan, appositamente sviluppato per questa piattaforma.
L’Association of the Internet Industry tedesca offre un tool per effettuare gratuitamente test di sicurezza, registrando il proprio indirizzo internet e un indirizzo e-mail valido. Nel momento in cui viene rilevato un attacco al sito, si riceveranno via e-mail le istruzioni per rimuovere il malware identificato.
3. Crittografare il sito con SSL
Il modo più importante per proteggere lo scambio di dati su un sito web è la protezione tramite un certificato SSL. SSL sta per “Secure Socket Layer” e descrive un protocollo di rete per la trasmissione sicura dei dati. Questa tecnologia cripta il trasferimento dei dati da e per un sito web in modo che persone non autorizzate non possano in alcun modo accedere alle informazioni in transito. Specialmente in caso di richiesta di informazioni sensibili, come password, indirizzi e-mail o coordinate bancarie, si ha la possibilità quindi di proteggere totalmente la privacy dei visitatori del sito.
4. Utilizzare informazioni di accesso sicure
Non vorremmo sembrare banali, ma ancora oggi molti navigatori purtroppo utilizzano password deboli. La password più utilizzata al mondo è la semplice sequenza di tasti “123456”. Le regole di base per una password sicura sono:
- Non usare una parola presente in alcun dizionario
- Non utilizzare combinazioni di numeri o lettere in ripetizione (111aaa) o sequenze di tastiera (QWERTY)
- Deve avere una lunghezza di almeno otto caratteri, differenziati tra caratteri speciali e numeri, lettere maiuscole e minuscole
- Deve essere usata solo per un sito o per un solo servizio web.
Strumenti online come 1Password e LastPass aiutano a generare e gestire password sempre diverse e complesse. Inoltre, si raccomanda di cambiare il nome utente di default del CMS o del sistema di gestione, il classico “admin” o “user“.