Mostra tutti

Come e perchè devi mettere in sicurezza il tuo sito web

Come e perchè devi mettere in sicurezza il tuo sito web

Che cos’è e cosa si intende per sicurezza del sito web? La sicurezza del sito web si riferisce alla protezione dei siti web personali e organizzativi rivolti al pubblico da attacchi cibernetici.

Perché dovrei preoccuparmi della sicurezza del mio sito web?

Gli attacchi cibernetici contro i siti web rivolti al pubblico – indipendentemente dalle dimensioni – sono comuni. Un attacco al tuo sito web potrebbe:

  • Website Defacement
  • Denial-of-service (DoS)
  • Sensitive information – consentire all’aggressore di ottenere informazioni sensibili
  • Consentire all’aggressore di prendere il controllo del sito web interessato.

L’organizzazione e i siti web personali che cadono vittime di defacement o DoS possono subire perdite finanziarie a causa dell’erosione della fiducia degli utenti o di una diminuzione dei visitatori del sito web.

Un attacco informatico che causa una violazione dei dati mette a rischio di furto la proprietà intellettuale della vostra azienda e le informazioni personali dei vostri utenti (PII).

Perchè viene attaccato un sito web.

I cybercriminali informatici possono attaccare i siti Web a causa di incentivi finanziari come il furto e la vendita di proprietà intellettuale e PII, i pagamenti di ransomware e l’estrazione di valuta criptata (vedere Difesa contro l’attività di estrazione di valuta criptata illecita). I cybercriminali possono anche essere motivati ad attaccare i siti web per motivi ideologici, ad esempio per ottenere pubblicità e notorietà per un’organizzazione terroristica attraverso la deturpazione di un sito web governativo.

Quali minacce alla sicurezza sono associate ai siti web?

I possibili attacchi informatici contro il vostro sito web includono quelli comunemente riportati dai media, come il defacement del sito web e il DoS, che rendono i servizi informativi forniti dal sito web non disponibili per gli utenti (vedere Capire gli attacchi di negazione del servizio). Uno scenario di attacco al sito web ancora più grave può comportare la compromissione dei dati dei clienti (ad es. PII).

Queste minacce riguardano tutti gli aspetti della sicurezza – riservatezza, integrità e disponibilità – e possono danneggiare gravemente la reputazione del sito web e del suo proprietario.

Un attacco più sottile, che può non essere immediatamente evidente al proprietario o all’utente del sito web, si verifica quando un aggressore ruota da un server web compromesso alla rete aziendale del proprietario del sito web, che contiene un’abbondanza di informazioni sensibili che possono essere a rischio di esposizione, modifica o distruzione. Una volta che un aggressore utilizza un sito web compromesso per entrare in una rete aziendale, l’aggressore può disporre di altre risorse, comprese le credenziali dell’utente, PII, informazioni amministrative e vulnerabilità tecniche. Inoltre, compromettendo la piattaforma del sito web, l’aggressore può essere in grado di riutilizzare l’infrastruttura del sito web come piattaforma da cui lanciare attacchi contro altri sistemi.

Come migliorare la protezione della sicurezza informatica contro gli attacchi al sito web?

Le organizzazioni e gli individui possono proteggere i loro siti web (web security) applicando le seguenti “best practice” ai loro server web:

  • Attuare il principio del minimo privilegio.
    Assicurarsi che tutti gli utenti abbiano il minor numero di privilegi necessari sul server web (compresi gli utenti finali interattivi e gli account di servizio).
  • Utilizzare l’autenticazione multifattoriale.
    Implementare l’autenticazione multifattore per gli accessi degli utenti alle applicazioni web e all’infrastruttura web sottostante.
  • Cambiare i nomi utente e le password di default del fornitore.
    Le credenziali predefinite del fornitore non sono sicure: di solito sono facilmente disponibili su Internet. La modifica dei nomi utente e delle password predefinite previene un attacco che sfrutta le credenziali predefinite.
  • Disattivare gli account non necessari.
    Disattivare gli account che non sono più necessari, come gli account degli ospiti o i singoli account utente che non sono più in uso.
  • Utilizzare le liste di controllo della sicurezza.
    Verificare e consolidare le configurazioni basate su checklist di sicurezza specifiche per ogni applicazione (ad esempio, Apache, MySQL) sul sistema.
  • Utilizzare la whitelisting delle applicazioni.
    Utilizzare la whitelisting delle applicazioni e disabilitare i moduli o le funzionalità che forniscono funzionalità non necessarie per le esigenze aziendali.
  • Utilizzare la segmentazione e la segregazione della rete.
    La segmentazione e la segregazione della rete rende più difficile per gli aggressori spostarsi lateralmente all’interno delle reti collegate. Ad esempio, collocare il server web in una zona demilitarizzata (DMZ) correttamente configurata limita il tipo di traffico di rete consentito tra i sistemi della DMZ e i sistemi della rete aziendale interna.
  • Proteggere le risorse sul server Web.
    Proteggere le risorse sul server web con diversi livelli di difesa (ad esempio, accesso limitato degli utenti, crittografia a riposo).
  • Eseguire backup di routine e testare scenari di disaster recovery.
  • Configurare la registrazione estesa e inviare i log a un server di log centralizzato.

Quali sono gli ulteriori step  per proteggere il mio sito dagli attacchi web?

  • Aumentare la disponibilità delle risorse. Configurare la cache del sito web per ottimizzare la disponibilità delle risorse. L’ottimizzazione della disponibilità delle risorse del tuo sito web aumenta la possibilità che il tuo sito web resista a quantità inaspettatamente elevate di traffico durante gli attacchi DoS.
  • Implementare le protezioni cross-site scripting (XSS) e cross-site request forgery (XSRF).
    Proteggete il sistema del vostro sito web, così come i visitatori del vostro sito web, implementando le protezioni XSS e XSRF.
  • Implementare una Content Security Policy (CSP).
    I proprietari di siti web dovrebbero anche prendere in considerazione l’implementazione di un CSP. L’implementazione di un CSP riduce le possibilità di un aggressore di caricare ed eseguire JavaScript dannoso sul computer dell’utente finale.
  • Controllare il codice di terze parti.
    Controllare i servizi di terze parti (ad esempio, annunci, analisi) per verificare che nessun codice inaspettato venga consegnato all’utente finale. I proprietari di siti web dovrebbero valutare i pro e i contro della verifica del codice di terze parti e del suo hosting sul server web (invece di caricare il codice da parte di terzi).
  • Implementare il protocollo di trasferimento ipertestuale sicuro (HTTPS) e la rigorosa sicurezza dei trasporti HTTP (HSTS).
    I visitatori del sito web si aspettano che la loro privacy sia protetta. Per garantire che le comunicazioni tra il sito web e l’utente siano criptate, applicare sempre l’uso di HTTPS e, ove possibile, l’uso di HSTS. Per ulteriori informazioni e indicazioni, consultare la pagina web del Chief Information Officer (CIO) del Consiglio dei direttori generali della Confederazione sul sito web HTTPS-Only Standard.

sicurezza, sito web, web security,Attuare ulteriori misure di sicurezza per il tuo sito web che comprendono:

  • Esecuzione di scansioni di sicurezza statiche e dinamiche rispetto al codice e al sistema del sito web
  • Distribuzione di firewall di applicazioni web
  • Sfruttando le reti di distribuzione dei contenuti per proteggersi dal traffico Web dannoso
  • Fornire il bilanciamento del carico e la resilienza a fronte di grandi quantità di traffico.

Puoi approfondire il tema sulla protezione del tuo sito web se usi WordPress consultando:

Ricerche correlate: sicurezza siti wordpress, sicurezza wordpress plugin, rendere sicuro il sito webverifica sicurezza sito internet, sito protetto da password, sito non sicuro come risolvereinstallazione sito web sicurasos sito web, sicurezza sito web, attaco sito web

libro vita da hacker