• Passa alla navigazione primaria
  • Passa al contenuto principale
  • Passa alla barra laterale primaria
  • Passa al piè di pagina

Il blog di HostingVirtuale

Hosting e Registrazione Domini

  • Facebook
  • Instagram
  • LinkedIn
  • Pinterest
  • RSS
  • Twitter
  • Youtube
  • Home
  • CMS
  • Social Media
  • Web Hosting
  • Web Design
  • Web Marketing
  • HostingVirtuale
    • Web Hosting
    • Cloud server
    • Server dedicati
    • Virtual Private Server
    • Sicurezza
Ti trovi qui: Home / Web Design / Siti web e sicurezza: quello che devi sapere – Prima parte

Siti web e sicurezza: quello che devi sapere – Prima parte

Pubblicato il 16 Maggio 2014 da Salvatore Capolupo 1 commento Contrassegnato con:google, malware, sicurezza

Siti web e sicurezza: quello che devi sapere

I problemi di sicurezza informatica sono all’ordine del giorno per tutti gli addetti ai lavori: è molto importante che in questi contesti anche l’utente “medio”, quello che installa, aggiorna ed utilizza blog e siti per lavoro o divertimento, sia informato.

Tanto per capirci, esistono numerosi gruppi di ricerca, esperti di informatica e attaccanti (molto impropriamente chiamati hacker) che vanno ad indagare maliziosamente sulla struttura del nostro sito, al fine di trovare una porta di ingresso secondaria per accedervi, buttarlo giù o cancellare i dati.

Vediamo quindi le principali tipologie di attacchi e come possiamo proteggerci.

Avvisi e vulnerabilità

Mediante Google ed alcuni particolari pattern di ricerca (denominati footprint), un attaccante ha la possibilità di scovare informazioni nascoste sui server che eseguono un certo tipo di servizio.

Un esempio di questi attacchi prevede la ricerca di particolari file in PHP/ASP, con i quali abusare dei privilegi, per via di sviste o errori di programmazione, per accedere illecitamente al database ed ai file del sito, manipolandoli o cancellandoli anche senza aver fatto login come amministratore.

Di solito questi errori, piuttosto difficili da schematizzare dato che cambiano molto caso per caso, si tengono a bada aggiornando sempre il software (WordPress, Joomla!) sia come core che come plugin all’ultima versione stable ed evitando di utilizzare CMS fallati (per scoprirlo basta consultare periodicamente gli ultimi bollettini sulla sicurezza, ad esempio di Joomla o WordPress).

Messaggi di errore

Da una notifica di errore l’attaccante ha la possibilità di capire che tipo di server sta girando, la versione del software ed eventuali punti di attacco o backdoor disponibili. In casi particolari inoltre, questi errori sono addirittura indicizzati da Google, per cui basta cercare quella particolare stringa per avere una lista di siti da attaccare.

Per risolvere questi problemi è bene non lasciare online per troppo tempo CMS ancora in corso di lavorazione (o almeno non farli indicizzare da Google) e ricordarsi sempre di disabilitare l’output degli script esplicito mediante le apposite direttive PHP (queste).

File online contenenti informazioni sensibili

In questa circostanza a chi gestisce un sito viene in mente di salvare sul server file sensibili, con la scusa che siano di pubblica utilità per vari collaboratori. In questo modo tuttavia, il crawler di Google finirà per mettere nel proprio indice questo genere di informazioni, rendendo pubblici il vostro business plan, i documenti riservati o altre informazioni utili per l’attaccante e così via.

Lo stesso dicasi per i file di log del sito che non vanno mai salvati all’interno di cartelle pubbliche dello stesso (public_html o htdocs), bensì in una sottocartella di sistema non accessibile liberamente.

In questi casi l’apporto di un informatico o di un sistemista esperto permette di aggirare questo tipo di problemi: o si evita del tutto di salvare online questi dati, oppure si proteggono con password complesse o, in alternativa, si criptano all’origine.

Si tenga conto che anche sui sistemi cloud non è abilitata di default alcuna protezione, che non sia la password dell’utente (se impostata) e che tecnicamente qualsiasi admin in malafede o attaccante potrebbe curiosare tra i vostri file.

File online contenenti password / username

Problema simile al precedente, con l’aggravante che si è salvato in un file pubblico un codice di accesso, una password e così via. In molti casi queste informazioni sono in chiaro (molto meglio criptarle con una chiave difficile da indovinare, se proprio si vuole o si deve salvarle online) o possiedono dei nomi riconoscibili o standard (pwd, password, users e così via).

Nella seconda parte dell’articolo andremo a descrivere altri tipi di attacco egualmente importanti.

Articoli correlati:

Siti web e sicurezza seconda parteSiti web e sicurezza: quello che devi sapere – Seconda parte Joomla e jDownloads: verificare le impostazioni di sicurezzaJoomla e jDownloads: verificare le impostazioni di sicurezza PHP e sicurezza: accorgimenti di basePHP e sicurezza: accorgimenti di base

Interazioni del lettore

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Barra laterale primaria

  • Il miglior hosting gratuito con dominio di secondo livello
  • Programma di affiliazione hosting: guadagna pubblicizzando i servizi HostingVirtuale

Crea il tuo sito web gratis

Scopri il nostro hosting gratuito FREE che comprende: dominio, 100 MB di spazio web, posta elettronica, database MySQL, certificato SSL e il pannello di controllo in italiano HVCP che consente anche l'installazione di WordPress con un click.

Scopri di più!

Articoli recenti

  • Design Usability: 5 principi per un design usabile davvero 20 Gennaio 2021
  • 5 principi di design da rispettare per un sito di successo 15 Gennaio 2021
  • Content Design: come conquistare il tuo utente 8 Gennaio 2021
  • Sei un Web Designer? Ecco perché hai bisogno di un mentore 30 Dicembre 2020
  • Marketing Communication Mix: le leve della comunicazione di marketing 22 Dicembre 2020

Il tuo sito web è al sicuro?

Attiva il Cloud Backup con il 20% di sconto! Grazie al semplice pannello di controllo in italiano puoi salvare nel cloud storage di Amazon tutti i dati del sito web e del database MySQL.

Scopri di più!

Scopri l’hosting dedicato

Il servizio di hosting dedicato è a metà strada tra un hosting condiviso e un cloud server! Dominio gratis, 15 GB di spazio web, 25 email, illimitati database MySQL, una email PEC, certificato SSL, Cloud Backup, IP e risorse dedicate, assistenza telefonica.

Scopri di più!

Footer

HostingVirtuale

  • Registrazione domini
  • Web Hosting
  • Posta Elettronica Certificata
  • Cloud server
  • Server dedicati
  • Virtual Private Server
  • Hosting reseller
  • Sicurezza siti web
  • Cloud Backup

Tag Cloud

app backup business cloud content marketing cpanel domini ecommerce email email marketing facebook freelance ftp google grafica hosting condiviso hosting gratuito hostinterview inbound marketing infografica instagram joomla malware mobile news pannello clienti pec personal branding pinterest plugin prestashop reseller sconti seo server sicurezza smart working storytelling telegram tools tutorial twitter video marketing vps wordpress

Articoli recenti

  • Design Usability: 5 principi per un design usabile davvero
  • 5 principi di design da rispettare per un sito di successo
  • Content Design: come conquistare il tuo utente
  • Sei un Web Designer? Ecco perché hai bisogno di un mentore
  • Marketing Communication Mix: le leve della comunicazione di marketing

© 2021 All Rights Reserved Hosting Virtuale srl Chieti Pescara Roma Partita IVA IT02586030690