Il tuo sito è al sicuro? Verifica questi 10 punti

In questo articolo riportiamo alcuni suggerimenti basilari per la sicurezza dei vostri siti web.

  1. Ridurre il numero di possibilità di attacchi dall’esterno, facendo in modo di attivare firewall (se disponibili sul vostro piano di hosting): questo suggerimento è utile in particolare per i piani di hosting più elevati, quelli basilari sono protetti di loro a questo livello, anche se è possibile potenziarne la sicurezza mediante servizi aggiuntivi.
  2. Scegliere con cura una password difficile da indovinare dall’esterno, evitando parole singole e combinando, se possibile, parole, numeri e caratteri non alfabetici.
  3. Cambiare le proprie password di accesso al sito (lato amministrazione di WordPress o Joomla!, ad esempio), almeno una o due volte al mese.
  4. Aggiornare periodicamente i propri CMS, avendo cura di fare lo stesso sui sistemi operativi qualora si disponga ad esempio di un piano VPS o server dedicato.
  5. Effettuare periodicamente dei backup che, per nostra tranquillità, dovrebbero essere salvati in locale oppure memorizzati in un cloud (magari in forma criptata per maggiore sicurezza): i backup manuali comportano uno spreco di tempo e di risorse per cui è possibile pianificarli in automatico (si veda qui per ulteriori dettagli).
  6. Modificare/non rendere visibile l’utente administrator di Joomla! e admin di WordPress, perchè un potenziale attaccante potrebbe accedere al vostro sito indovinando la password: se usiamo un nome utente per l’amministratore molto originale, saranno decisamente ridotte le possibilità di vedersi il sito fuori uso, o addirittura spammato o cancellato.
  7. Se possibile effettuate le vostre connessioni a FTP mediante SFTP (protetto) oppure mediante SSH (da console di comando, se disponibile sul vostro piano di hosting), in modo tale da ridurre le possibilità di “spionaggio” dall’esterno del vostro traffico dati.
  8. Fate in modo di ridurre al minimo il livello di ruoli degli utenti del vostro sito, evitando quindi di conferire – ad es. per MySQL – roles inutili, o troppo poco restrittive. In molti casi il permesso di lettura e scrittura sarà più che sufficente, senza bisogno di dare all’utente il permesso di eseguire script. Per quanto riguarda il CHMOD ci sono delle regole basilari che abbiamo descritto in questo articolo dell’altro ieri – evitare il CHMOD 777, limitarsi al massimo al 755 e così via. In termini tecnici ciò equivale a rispettare il principio del privilegio minimo, ovviamente senza compromettere il normale funzionamento del sito.
  9. Eliminare dal proprio CMS moduli, plugin, estensioni e anche temi che non vengano utilizzati dal sito: questo potrà ridurre la possibilità per un attaccante di manipolare subdolamente file mediante URL, ad esempio, ed accedere a sezioni interne del vostro sito.
  10. Limitare l’accesso pubblico alle directory del vostro sito, ad esempio in WordPress, cosa che è possibile fare con un plugin come Better WP Security.

Nessuno di questi provvedimenti vi fornisce garanzie assolute, il campo della sicurezza WEB è in continua evoluzione e vi terremo sempre aggiornati sugli ultimi sviluppi: è richiesta comunque la massima attenzione da parte dei webmaster di ogni CMS per garantire continuità del servizio, privacy e quant’altro. Gli articoli correlati riportati qui sotto potranno essere utili per potenziare ulteriormente la sicurezza e saperne di più sull’argomento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button