Un Provider sicuro è in grado di resistere agli attacchi degli hacker in autonomia senza bisogno di accorgimenti particolari da parte degli utenti, ma spesso sono proprio gli utenti a determinare la debolezza dei propri siti e applicazioni web.
Il principale punto di debolezza è il mancato aggiornamento dei software in uso (in particolare per i CMS).
Un fattore secondario da tenere anch’esso sott’occhio sono le password usate per i vari progetti.
Infatti una password non sicura è destinata, prima o poi, ad essere scoperta e a quel punto il malintenzionato riuscirà a fare i suoi comodi sulla nostra proprietà.
Generalmente ci sono due tipi di hacker che sfruttano queste debolezze:
- quelli che disattivano un sito completamente forzandone le logiche e lasciando in bella vista il loro operato
- quelli che inseriscono codice malevolo (generalmente redirect, link o iframe) nel nostro sito senza farsi notare
Nel primo caso è facile verificare l’arrivo di un hacker; il sito non funziona e ha evidenti tracce di manomissione.
Nel secondo caso invece la questione è più difficile: spesso si nota che il nostro sito su google viene segnalato come non attendibile oppure sulle statistiche web si nota del traffico in uscita strano che non dovrebbe esserci.
Come risolvere?
Appena individuato il problema è necessario provvedere immediatamente a localizzare da dove sono entrati i malintenzionati. Per fare ciò è necessario avere, oltre all’accesso ftp del server anche un hosting con log del server.
A questo punto è necessario verificare quando è stata fatta l’ultima modifica ai nostri file (un sistema pratico per vederlo è passare attraverso l’ftp usando un qualunque programma ftp anche gratuito come filezilla) e verificare sul log del server cosa è successo in quel periodo.
Localizzata la sorgente della minaccia si deve provvedere a modificare l’attuale protezione come ad esempio potenziare un eventuale firewall o anche solo cambiare la password dell’ftp.
A questo punto è necessario ripristinare i nostri file in maniera tale che la situazione torni alla normalità.
Se abbiamo a disposizione una copia di backup dei file possiamo ricaricarla direttamente, altrimenti file per file, dovremo procedere a modifiche manuali.
Qual’ora il nostro sito sia stato segnalato da Google come non attendibile dovremo premurarci inoltre di andare su Strumenti per i WebMaster e segnalare che il problema è stato risolto, descrivere la procedura adottata per la risoluzione e confermare che è stata cambiata la password ftp.
Entro 48 ore Google dovrebbe rimuovere l’avviso e ripristinare la normale visualizzazione del sito nella SERP.
Nel caso sia stato attaccato direttamente il database è necessario avere un servizio hosting che fornisca il backup dello stesso altrimenti i dati corrotti non saranno recuperabili a meno che non si possieda una versione aggiornata del database.
Buone pratiche di prevenzione:
- usare password complesse di almeno 8 caratteri contenenti numeri e lettere, possibilmente inserendo anche almeno un simbolo o lettera maiuscola
- aggiungere al proprio hosting un servizio di backup e una protezione
- evitare di usare programmi e script di dubbia origine che possono avere vulnerabilità
