Suggerimenti 7 per proteggere il tuo sito web dagli attacchi di hacking

Articolo scritto da:
  • Articoli consigliati
  • Aggiornato: maggio 06, 2019

Il Web non è solo business. Miliardi di pagine e post di blog vengono scritti ogni giorno, ogni secondo, da piccoli proprietari di siti Web e blogger che desiderano condividere le proprie opinioni con il mondo. Questo è il fascino del Web: fornisce uno spazio per tutti e per qualsiasi tipo di progetto.

Possibilità infinite.

Ma Internet è anche una giungla selvaggia: nasconde pericoli ad ogni angolo e nulla di quello che usi è anche solo vicino alla magia infallibile. In particolare, se gestisci un'attività senza scopo di lucro o un'attività individuale, ti rendi conto che trasferire tutte le transazioni sul Web può tradursi in un'attenzione particolare nei confronti dei tuoi servizi.

La sicurezza è un aspetto cruciale da prendere in considerazione quando si pianifica il proprio sito Web: come posso proteggere i miei contenuti e il duro lavoro contro gli aggressori? Come posso fornire la migliore esperienza utente possibile? Queste sono domande che dovresti porci ogni volta che aggiorni il tuo sito web.

Perché questo articolo e perché i suggerimenti 7?

Proteggere il tuo sito in modo semplice e intuitivo può essere più un'utopia che una realtà, ma ciò non significa che qualcuno che non è un programmatore o un informatico non possa aggiungere un po 'di sicurezza al proprio sito Web. Ho scelto sette suggerimenti che sono entrambi facili da applicare e abbastanza approfonditi da solleticare la tua curiosità sui problemi di sicurezza, in modo che TU diventerai - lentamente ma incessantemente - il tuo esperto di sicurezza web. Tutti i suggerimenti sono specifici per l'hacking Web e introdurrò anche tecniche che è possibile utilizzare per testare il sito Web per falle di sicurezza. Non preoccuparti: niente di troppo difficile da fare, ma è importante conoscere i semplici strumenti e le tecniche che possono scongiurare gli attacchi, per il bene dei tuoi progetti. :)

Divertiti!

Suggerimento #1 - Spendi un po 'più di mente per accendere le tue password

Il buco di sicurezza Web numero uno è l'uso della stessa password su più siti Web o servizi Web. Un hacker che riesce a capire una password avrà capito tutte le tue password e avrà un facile accesso a tutti i tuoi dati, che si tratti del tuo blog o del tuo conto PayPal. Mantenere un elenco delle tue password su carta o file non è neanche un'alternativa sicura (a meno che tu non protegga i tuoi file con password) perché qualcuno che hackera il tuo computer avrà facile accesso al tuo database.

Ma cosa succede se non riesci a trovare una password decente?

  1. Utilizza un forte generatore di password generare una password difficile da decifrare, comprensiva di simboli alfanumerici e alternativi. Più una sequenza di simboli è casuale o pseudo-casuale (ovvero i simboli della password non hanno memoria interna, non sono collegati tra loro, quindi ogni simbolo ha le stesse possibilità di seguirne un altro), più è sicuro.
  2. Utilizza Password Safe per salvare e crittografare tutte le tue password, che puoi sbloccare ricordando una passphrase. Il programma usa il Algoritmo Twofish per crittografare tutte le password Password Safe è un progetto open source di Windows sviluppato da Bruce Schneier. Se non usi Windows, Password Gorilla è un'alternativa valida open source a Password Safe.

Ecco una vista frontale di Password Safe con un database chiamato "Siti Web":

Password Vista programma sicura

Ecco i dettagli di un file all'interno del database "Siti Web":

Password Safe File View

Suggerimento #2 - Prenditi cura dei tuoi script

È noto che gli script dei siti Web e le piattaforme CMS sono il veicolo principale degli attacchi di hacking. Se si ospitano script scritti in PHP, ASP e JavaScript, sapere che potrebbero avere buchi e bug di sicurezza che i loro sviluppatori potrebbero aver trascurato. Oltre a contattare lo sviluppatore immediatamente dopo aver scoperto uno dei problemi sopra menzionati, ci sono metodi non tecnici che puoi usare per assicurarti che i tuoi script non ti danneggino:

  • Leggi attentamente il documento sulla versione del tuo script: spesso contiene dettagli su patch e correzioni di bug
  • Elenca gli avvisi del tuo installatore software o del pannello di amministrazione o persino di Google (tramite Strumenti per i Webmaster): se devi aggiornare o modificare / rimuovere un file, fallo
  • Non installare tutti i plug-in esistenti: controlla prima la compatibilità e le note di sicurezza.

Inoltre - e questo è forse il fattore più importante - mantieni sempre aggiornati gli script e i CMS. L'ultimo pacchetto di un software di solito contiene patch per i bug della versione precedente e problemi di sicurezza.

Esempio: avviso di aggiornamento di WordPress da Softaculous

Softaculous Upgrade Warning

Suggerimento #3 - Esegue controlli regolari su cartelle e pannelli di amministrazione

A volte gli hacker si intromettono nel tuo sito in modo silenzioso, subdolo come i gatti, ma lasciano disastri dietro: spoof del sito, file multimediali contenenti virus, eseguibili e pagine Web ricodificate. Controlla le tue cartelle regolarmente, almeno una volta ogni due settimane, per assicurarti che non ci sia nulla di sbagliato nei tuoi file. Se dovessi individuare file che non riconosci, rimuovili immediatamente. Se il problema persiste, contatta il tuo host web e ottieni assistenza (questo è quando hai bisogno di un buon web host di più). In tali casi:

  • Cambia la password del pannello di amministrazione (e il nome utente, se possibile)
  • Esegui un controllo di tutti i file per vedere se sono stati danneggiati
  • Se hai installato un antivirus, eseguilo.

Suggerimento #4 - Autenticazione sicura

Gli esperti di sicurezza Web utilizzano molti metodi per fornire una sicurezza ottimale ai sistemi e alle transazioni Web su cui lavorano: crittografia a chiave pubblica, catene di fiducia, firme, SSL e TSL (Transport Layer Security). Mentre dovresti assolutamente imparare qualcosa sulla crittografia, è importante iniziare con l'apprendimento di come utilizzare semplici strumenti di autenticazione a più fattori predisposti dagli esperti:

Perché ti serve autenticazione a più fattori? Perché occorrerà conoscere il tuo nome utente, la password E il token use-once-then-dispose per accedere ai tuoi contenuti; in caso contrario, l'accesso verrà negato.

Se puoi, trova un esperto che ti assista mentre apprendi sulla sicurezza web o utilizza tutorial e corsi online.

Suggerimento #5 - Attenzione agli attacchi DDoS

Attacchi Denial of Service sono in rapida evoluzione e pericolosi, insieme al dirottamento del server e alla sostituzione dei servizi con spoofing.

Un attacco DDoS forza il server in uno stato in cui i suoi servizi normali non funzionano e l'intero sistema non è più disponibile per gli utenti finali.

Cosa potrebbe causare un attacco DDoS?

  • Una configurazione di rete aperta
  • Applicazioni con errori, non aggiornate
  • Configurazione del server non protetta
  • Nessuna manutenzione e / o monitoraggio dell'attività di rete

Informa il tuo ISP riguardo a questa forma di attacco e anche informati. Ciò che l'host del tuo sito Web può fare è configurare ciascun server con un elenco di indirizzi DNS alternativi, quindi quando il DNS predefinito diventa non disponibile, l'intero sito Web funzionerà ancora. Un hacker può avere successo nelle sue azioni solo quando riesce a bloccare TUTTI i server della lista - lavoro duro, non credi? Un'altra contromisura può essere il filtraggio di tutti i pacchetti in arrivo con temporizzazioni insolite e / o da indirizzi IP ad alto rischio. Il tuo host dovrebbe essere informato sugli attacchi di tipo Denial of Service, quindi discuti con loro sulla prevenzione DDoS.

Suggerimento #6 - Accesso FTP sicuro con SFTP

Nulla cambia per te, funziona come il normale FTP, ma SFTP, o Secure FTP, ha molti vantaggi, in termini di sicurezza:

  • Usa SSH per crittografare dati e comandi durante il trasferimento dei file
  • Utilizza le chiavi pubbliche del server del client per convalidare il server al momento della connessione, per garantire che non sia un intermediario
  • Rende impossibile agli hacker l'ascolto del traffico di rete

Il problema con il comando FTP "normale" è che non è crittografato: tutti i caricamenti e i download da e verso il server vengono trasmessi come dati chiari.

Per accedere all'FTP tramite riga di comando (se sei un utente Unix / Linux / Mac OS) puoi usare

sftp [e-mail protetto]

o semplicemente scaricare un programma FTP gratuito che supporti SFTP, come ad esempio fileZilla (Open-source).

Suggerimento #7 - Informazioni su SQL Injection per proteggere il tuo sito contro di esso

Fai attenzione a questo brutto metodo di hacking, mantieni aggiornati i tuoi script e contatta immediatamente lo sviluppatore degli script in caso di violazione della sicurezza. Ecco come eseguire un semplice test:

  • Inserisci il seguente codice SQL nel modulo web (nome utente e password):
    'OR' t '=' t '; -
    che diventa, a livello SQL:
    SELECT * FROM users WHERE userid = 'admin' AND password = '' OR 't' = 't'; - '
  • Restituisce il contenuto del tuo database?

Il codice potrebbe funzionare (dico 'might' perché potresti essere fortunato ad aver installato uno script molto sicuro) perché 't' = 't' è un'istruzione matematicamente vera, quindi la richiesta SQL verrà sempre eseguita. Un hacker esperto potrebbe costruire istruzioni SQL molto elaborate per raggiungere i suoi obiettivi, quindi assicurati di contattare lo sviluppatore dello script e ottenere assistenza se lo script che usi è facilmente attaccabile. O cambia lo script.

BONUS Suggerimento #1 - Controlla regolarmente i log del tuo pannello di amministrazione

Sezione registri cPanel

Il tuo pannello di amministrazione (cPanel, Plesk, ecc.) È dotato di strumenti integrati per l'analisi del traffico, i registri di accesso e sicurezza che dovresti tenere d'occhio almeno una volta alla settimana.

Se usi cPanel, ti consiglio di controllare il tuo Statistiche analogiche strumento ogni due giorni, come lo strumento mostra report dettagliati uno:

  • Richieste HTTP
  • Rapporti mensili / giornalieri / orari di attività sul traffico
  • Referrer, browser e sistemi operativi da cui proviene il tuo traffico

Gli strumenti per i registri sono i primi a cui devi guardare quando ritieni che il tuo sito web sia stato attaccato.

Suggerimento BONUS #2 - Esegui backup bi-settimanali

Effettua il backup ogni due settimane o ogni settimana, se puoi. Con plugin come Supsystic e iThemes Sicurezza, potresti persino eseguire il backup ogni giorno o ogni tre giorni. Ciò che conta è che scarichi costantemente nuove copie dei tuoi contenuti, pronti per essere ripristinati se succede qualcosa di brutto lungo la strada. Questo articolo ti ha mostrato quali tipi di attacchi potrebbero subire il tuo sito web e come combatterli e prevenirli, ma la tua arma più forte è proprio questa: di riserva. È l'unico modo per riportare il tuo sito web al suo stato originale, come se un hacker non potesse mai giocare i suoi sporchi trucchi.

sommario

Quindi, cosa devi fare, essenzialmente?

  1. Imparare. Sapere è potere! Informazioni sulla crittografia, DDoS e SQL Injection, cross-site scripting (XSS) e altri tipi di attacchi. Tutto e tutto ciò che può aiutarti a sviluppare una visione completa di ciò che accade quando il tuo sito Web viene violato. Più sai, più puoi fare per contrattaccare.
  2. Tenere aggiornato. Con le scoperte, gli aggiornamenti degli strumenti e degli script. Questo articolo ha sottolineato l'importanza dell'aggiornamento e dell'aggiornamento del software del sito per garantire una protezione più solida contro gli aggressori.
  3. Eseguire controlli e backup regolari. Se fai il backup, puoi ripristinare!
  4. Rapporto. Quando le cose vanno fuori dal tuo controllo, segnala problemi agli sviluppatori di script, alle autorità e al tuo host. Possono fare ciò che non puoi.

Trucchi di sicurezza dall'ingegneria del software

L'ingegneria del software è un campo affascinante che tutti i bravi ingegneri e informatici devono imparare ad applicare quando sviluppano il software. Ma lo sapevi che funziona anche nel contrario? Tu - l'utente - puoi utilizzare i concetti di Ingegneria del software per fare scelte intelligenti tra i software del sito offerti dagli sviluppatori. Puoi:

  1. Comprendi che un bug può portare a un attacco violento dei tuoi sistemi e alla perdita di dati
  2. Scopri le dimensioni di affidabilità di 4 e usale a tuo vantaggio: disponibilità, affidabilità, sicurezza e sicurezza
  3. Identifica tutti i tuoi possibili problemi di sicurezza: perdita di dati sensibili / importanti, fallimento di determinati servizi, elevati costi di ricostruzione (tempo, denaro).

Che cosa dovreste chiedervi prima di installare e utilizzare uno script?

Affidabilità. Posso fidarmi di questo software?

  • Disponibilità La sceneggiatura è facilmente disponibile per me? Il suo sviluppatore è contattabile per ottenere aiuto?
  • Affidabilità La sceneggiatura funziona bene? Ha dei bug o mi dà problemi quando eseguo azioni pertinenti ai miei obiettivi?
  • Sicurezza I malfunzionamenti e gli errori influenzano gravemente la sicurezza e le prestazioni?
  • Security Il software ha un modulo di sicurezza integrato? È qualcosa che posso gestire?
  • riparabilità Se qualcosa va storto, posso gestirlo?
  • manutenibilità Sono in grado di mantenere questo software da solo?
  • Sopravvivenza Il software funzionerà ancora sotto attacco? Posso recuperare bene dall'attacco?

Tabella delle vulnerabilità

  • Software insetti; trasmissione trasparente dei dati; errori; registri pubblici
  • Umano password a bassa resistenza; directory non protette; divulgazione di dati sensibili; mancanza di manutenzione del sistema e aggiornamento / aggiornamento

A proposito di Luana Spinetti

Luana Spinetti è una scrittrice e artista freelance con base in Italia e una studentessa di informatica. Ha conseguito un diploma di scuola superiore in psicologia e pedagogia e ha frequentato un corso annuale 3 in Comic Book Art, da cui si è laureata su 2008. Come una persona sfaccettata come lei, ha sviluppato un grande interesse per SEO / SEM e Web Marketing, con una particolare inclinazione ai Social Media, e sta lavorando a tre romanzi nella sua lingua madre (italiano), che spera di pubblicare indie presto.