• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina

Il blog di HostingVirtuale

Hosting e Registrazione Domini

  • Facebook
  • Instagram
  • LinkedIn
  • Pinterest
  • RSS
  • Twitter
  • Youtube
  • Home
  • CMS
  • Social Media
  • Web Hosting
  • Web Design
  • Web Marketing
  • HostingVirtuale
    • Web Hosting
    • Cloud server
    • Server dedicati
    • Virtual Private Server
    • Sicurezza
Ti trovi qui: Home / Web Design / Siti web e sicurezza: quello che devi sapere – Prima parte

Siti web e sicurezza: quello che devi sapere – Prima parte

Pubblicato il 16 Maggio 2014 da Salvatore Capolupo 1 commento Contrassegnato con: google, malware, sicurezza

Siti web e sicurezza: quello che devi sapere

I problemi di sicurezza informatica sono all’ordine del giorno per tutti gli addetti ai lavori: è molto importante che in questi contesti anche l’utente “medio”, quello che installa, aggiorna ed utilizza blog e siti per lavoro o divertimento, sia informato.

Tanto per capirci, esistono numerosi gruppi di ricerca, esperti di informatica e attaccanti (molto impropriamente chiamati hacker) che vanno ad indagare maliziosamente sulla struttura del nostro sito, al fine di trovare una porta di ingresso secondaria per accedervi, buttarlo giù o cancellare i dati.

Vediamo quindi le principali tipologie di attacchi e come possiamo proteggerci.

Avvisi e vulnerabilità

Mediante Google ed alcuni particolari pattern di ricerca (denominati footprint), un attaccante ha la possibilità di scovare informazioni nascoste sui server che eseguono un certo tipo di servizio.

Un esempio di questi attacchi prevede la ricerca di particolari file in PHP/ASP, con i quali abusare dei privilegi, per via di sviste o errori di programmazione, per accedere illecitamente al database ed ai file del sito, manipolandoli o cancellandoli anche senza aver fatto login come amministratore.

Di solito questi errori, piuttosto difficili da schematizzare dato che cambiano molto caso per caso, si tengono a bada aggiornando sempre il software (WordPress, Joomla!) sia come core che come plugin all’ultima versione stable ed evitando di utilizzare CMS fallati (per scoprirlo basta consultare periodicamente gli ultimi bollettini sulla sicurezza, ad esempio di Joomla o WordPress).

Messaggi di errore

Da una notifica di errore l’attaccante ha la possibilità di capire che tipo di server sta girando, la versione del software ed eventuali punti di attacco o backdoor disponibili. In casi particolari inoltre, questi errori sono addirittura indicizzati da Google, per cui basta cercare quella particolare stringa per avere una lista di siti da attaccare.

Per risolvere questi problemi è bene non lasciare online per troppo tempo CMS ancora in corso di lavorazione (o almeno non farli indicizzare da Google) e ricordarsi sempre di disabilitare l’output degli script esplicito mediante le apposite direttive PHP (queste).

File online contenenti informazioni sensibili

In questa circostanza a chi gestisce un sito viene in mente di salvare sul server file sensibili, con la scusa che siano di pubblica utilità per vari collaboratori. In questo modo tuttavia, il crawler di Google finirà per mettere nel proprio indice questo genere di informazioni, rendendo pubblici il vostro business plan, i documenti riservati o altre informazioni utili per l’attaccante e così via.

Lo stesso dicasi per i file di log del sito che non vanno mai salvati all’interno di cartelle pubbliche dello stesso (public_html o htdocs), bensì in una sottocartella di sistema non accessibile liberamente.

In questi casi l’apporto di un informatico o di un sistemista esperto permette di aggirare questo tipo di problemi: o si evita del tutto di salvare online questi dati, oppure si proteggono con password complesse o, in alternativa, si criptano all’origine.

Si tenga conto che anche sui sistemi cloud non è abilitata di default alcuna protezione, che non sia la password dell’utente (se impostata) e che tecnicamente qualsiasi admin in malafede o attaccante potrebbe curiosare tra i vostri file.

File online contenenti password / username

Problema simile al precedente, con l’aggravante che si è salvato in un file pubblico un codice di accesso, una password e così via. In molti casi queste informazioni sono in chiaro (molto meglio criptarle con una chiave difficile da indovinare, se proprio si vuole o si deve salvarle online) o possiedono dei nomi riconoscibili o standard (pwd, password, users e così via).

Nella seconda parte dell’articolo andremo a descrivere altri tipi di attacco egualmente importanti.

Articoli correlati:

Siti web e sicurezza seconda parteSiti web e sicurezza: quello che devi sapere – Seconda parte Joomla e jDownloads: verificare le impostazioni di sicurezzaJoomla e jDownloads: verificare le impostazioni di sicurezza PHP e sicurezza: accorgimenti di basePHP e sicurezza: accorgimenti di base

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

Come diventare Web Designer Professionista

Crea il tuo sito web gratis

Scopri il nostro hosting gratuito FREE che comprende: dominio, 100 MB di spazio web, posta elettronica, database MySQL, certificato SSL e il pannello di controllo in italiano HVCP che consente anche l'installazione di WordPress con un click.

Scopri di più!

Web Designer alle prime armi?

Scarica l’Ebook e scopri le migliori tecniche e gli strumenti del mestiere usati dai Web Designer esperti.
Ti sveleremo:
- L’importanza del percorso formativo;
- I libri indispensabili;
- Gli strumenti migliori;
- Come trovare nuovi clienti;
- Come creare un preventivo efficace;
- Come creare un portfolio online;
- Come diventare pro con un mentore;
- Il pannello di controllo all-in-one.

Scarica l'ebook!
  • Le nuove funzioni di HVCP: crea il tuo sito web gratis
  • Le nuove funzioni di HVCP: Certificati SSL personali e per sottodomini
  • Le nuove funzioni di HVCP: IMAPSync, direttive php.ini, error log

Articoli recenti

  • I trend di web design per il 2023 21 Marzo 2023
  • Chat GPT: cos’è e a cosa serve 14 Marzo 2023
  • I plugin WordPress per la sicurezza del tuo sito web 7 Marzo 2023
  • Il design dei siti web per la Generazione Z 1 Marzo 2023
  • 7 trend di Content Marketing per il 2023 22 Febbraio 2023

Il tuo sito web è al sicuro?

Attiva il Cloud Backup con il 20% di sconto! Grazie al semplice pannello di controllo in italiano puoi salvare nel cloud storage di Amazon tutti i dati del sito web e del database MySQL.

Scopri di più!

Footer

HostingVirtuale

  • Registrazione domini
  • Web Hosting
  • Posta Elettronica Certificata
  • Cloud server
  • Server dedicati
  • Virtual Private Server
  • Hosting reseller
  • Sicurezza siti web
  • Cloud Backup

Tag Cloud

app backup business cloud content marketing cpanel domini ecommerce email email marketing facebook freelance google grafica hosting condiviso hosting gratuito hostinterview inbound marketing infografica instagram joomla malware mobile news pannello clienti pec personal branding pinterest plugin prestashop project management sconti seo server sicurezza smart working storytelling telegram tools tutorial twitter video marketing vps wordpress youtube

Articoli recenti

  • I trend di web design per il 2023
  • Chat GPT: cos’è e a cosa serve
  • I plugin WordPress per la sicurezza del tuo sito web
  • Il design dei siti web per la Generazione Z
  • 7 trend di Content Marketing per il 2023

© 2023 All Rights Reserved Hosting Virtuale srl Chieti Pescara Roma Partita IVA IT02586030690