Che tu gestisca una brochure di una sola pagina o un sito web in stile biglietto da visita, un fiorente negozio di e-commerce o un blog WordPress incentrato sul tuo hobby preferito, la sicurezza del sito web è un must. Anche il più veterano degli sviluppatori web può trascurare le comuni tecniche di sicurezza del sito web, soprattutto se i vincoli di budget e di tempo sono limitati. Questo tutorial sullo sviluppo web ti guiderà attraverso alcuni elementi di base, ma spesso trascurati, di un sito web sicuro. Se il tuo sito non ha questi must per la sicurezza del sito web, assicurati di aggiungerli il prima possibile.
La sicurezza del sito web è importante per una serie di motivi. Per i principianti, avere un sito non sicuro può causare la diffusione di malware e virus a chiunque visiti la tua pagina (incluso te stesso) e può portare a furti di identità, problemi di privacy dei dati e malware o ransomware dannosi. I difetti nella sicurezza web possono anche portare a tempi di inattività del sito web, perdita di entrate, perdita di fiducia dei clienti e persino influire sull’ottimizzazione dei motori di ricerca o sul posizionamento nelle pagine dei risultati dei motori di ricerca (SERP).
Best practice per la sicurezza dei siti web per il 2021
I seguenti suggerimenti per la sicurezza del sito web possono essere applicati sia che tu possieda un sito web costruito su un Content Management System (CMS) – come WordPress, Drupal o Joomla – o un sito personalizzato costruito utilizzando HTML, JavaScript e CSS. Anche i siti web costruiti con framework web come Django o piattaforme commerciali come Wix o Shopify possono trarre vantaggio da questi suggerimenti di sicurezza.
Installa un Web Application Firewall
Firewall per applicazioni Web (WAF) sono un tipo di firewall per applicazioni utilizzato per bloccare, filtrare e monitorare il traffico HTTP diretto a un sito Web e da un sito Web. I firewall delle app Web ispezionano il traffico in entrata e in uscita per aiutare a prevenire attacchi dannosi volti a sfruttare exploit comuni o noti in un’app Web utilizzando tecniche come cross-site scripting, inclusione di file e SQL injection, solo per citarne alcuni.
Le scelte popolari per i fornitori di applicazioni web includono Barracuda Networks WAF, Citrix Netscaler Application Firewall, Fortinet FortiWeb, Qualys WAF, e Imperva SecureSphere.
Esistono anche opzioni cloud, comprese le popolari offerte WAF come Amazon Web Services (AWS WAF), CDNetworks, Cloudflare, Gateway applicazione Microsoft Azure con WAF, Succubi e VMware.
Esistono anche firewall per applicazioni web open source. Includono scelte come ModSecurity, WebKnight e Shadow Daemon.
Autenticazione a due fattori (2FA)
Se consenti l’accesso degli utenti al tuo sito web o agli account utente, dovresti considerare di richiedere l’autenticazione a due fattori o 2FA. 2FA è un processo in base al quale gli utenti devono utilizzare due diversi fattori per autenticare il proprio nome utente prima di accedere o accedere ai siti. I tipi di autenticazione iniziano con una password e quindi utilizzano un secondo processo come la risposta a un puzzle, la ricezione di un testo con un codice speciale o forme di autenticazione ancora più complesse come la scansione delle impronte digitali.
Oltre a richiedere l’autenticazione a due fattori, potresti anche richiedere agli utenti di creare password complesse. Le password complesse sono costituite da una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali (@ #! $% &, Ecc.). Poiché questi tipi di password possono essere difficili da ricordare, considera che i dipendenti o coloro che hanno accesso al tuo sito utilizzino una soluzione di password come LastPass.
Infine, assicurati di rimuovere qualsiasi account predefinito non utilizzato attivamente e, per lo meno, modifica la password predefinita. Quando i dipendenti lasciano la tua azienda, o se si trasferiscono in un reparto diverso dove non hanno più bisogno di accesso, assicurati di rimuovere anche il loro vecchio accesso.
Installa un certificato SSL
Certificati SSL – o certificati Secure Sockets Layer – non sono solo per i siti di e-commerce. Sono per qualsiasi sito che contenga informazioni sensibili, inclusi nomi utente, password, informazioni sulla carta di credito, indirizzi dei clienti, e-mail e così via. I certificati SSL funzionano trasformando i tuoi siti HTTP in un sito web sicuro HTTPS. Ciò si ottiene mediante crittografia; tutti i dati sul tuo sito web saranno crittografati e, quindi, meno vulnerabili allo sfruttamento.
Un altro buon motivo per ottenere un certificato SSL per il tuo sito web ha a che fare con l’ottimizzazione dei motori di ricerca. Google ha un aspetto più favorevole sui siti Web protetti e ti aiuta anche a evitare di ricevere l’avviso di “sito Web non sicuro” di Google. Puoi ottenere certificati SSL, più comunemente, dalla tua società di hosting, come Vai papà o BlueHost.
Aggiorna i siti web frequentemente
Se gestisci un sito Web utilizzando un sistema di gestione dei contenuti come WordPress, assicurati di aggiornare la tua versione di WordPress Core quando gli aggiornamenti diventano disponibili. Lo stesso si può dire per plugin, temi, estensioni e così via. Se disponi di temi o plug-in che non vengono aggiornati da molto tempo, valuta la possibilità di rimuoverli o sostituirli con un’opzione simile. Allo stesso modo, se vuoi installare un plugin, assicurati che sia stato scaricato un buon numero di volte, che venga aggiornato frequentemente, che sia supportato dal suo sviluppatore e che funzioni con l’ultima versione di WordPress o qualsiasi CMS tu sia utilizzando.
Gli hacker cercano plug-in, estensioni, temi e core CMS che non vengono aggiornati per sfruttare gli exploit noti. L’aggiornamento di queste risorse può aiutare a limitare la capacità di un hacker di infiltrarsi nel tuo sito web.
Questo non è solo limitato ai siti Web che vengono eseguiti su sistemi di gestione dei contenuti. L’aggiornamento alla versione più recente di PHP, ad esempio, può anche aiutare a ridurre le vulnerabilità.
Cambia configurazioni predefinite
I criminali informatici e gli hacker spesso si affidano ai bot per trovare vulnerabilità comuni nei siti web. Un’area che viene spesso trascurata anche dagli sviluppatori web più esperti sono le impostazioni di sicurezza della configurazione predefinita dei loro siti. Una volta che un bot trova queste impostazioni, può utilizzarle per ottenere l’accesso ai tuoi file, dove possono modificare ulteriormente cose come i permessi dei file, i permessi di lettura / scrittura, le impostazioni dei commenti, i controlli utente e una serie di altre impostazioni che espongono le informazioni dell’utente e aggiungere l’accesso.
Monitoraggio e backup di siti Web
L’utilizzo di strumenti per monitorare l’accesso al tuo sito web, le modifiche ai file e simili sono fondamentali per la sicurezza del tuo sito web. Questo è noto come monitoraggio continuo nel mondo della sicurezza. Il software di sicurezza per il monitoraggio continuo cerca segni che indicano che la sicurezza del tuo sito web potrebbe essere stata violata e avvisa i team di sicurezza. I segni di una minaccia alla sicurezza includono cambiamenti negli account utente, modifica, eliminazione e aggiunta di file all’insaputa dello sviluppatore web, problemi di prestazioni del sito web, rapidi aumenti o diminuzioni del traffico e avvisi di Google relativi a contenuti dannosi o inseriti nella lista nera.
Una volta rilevate, le soluzioni possono essere distribuite, come la scansione dei file, la loro rimozione e la modifica delle autorizzazioni. Un altro vantaggio degli strumenti di monitoraggio della sicurezza dei siti Web è che puoi farli scansionare i file del tuo sito Web per individuare vulnerabilità e difetti noti nella configurazione della sicurezza. Questo è uno strumento inestimabile perché può aiutarti a risolvere i problemi prima che diventino un problema importante.
Infine, una delle misure di sicurezza più importanti che puoi adottare è eseguire frequentemente il backup dei file del tuo sito web. Nel caso in cui non sia possibile ripristinare il sito Web o è necessario ripristinarlo a una versione precedente, un backup sarà il tuo migliore amico. Se esegui un sito Web su un CMS, sono disponibili molti plug-in di backup. Per i siti Web non CM, è possibile eseguire il backup dei file tramite FTP o altri strumenti di backup del sito Web.