freelancecamp Associazione
Sicurezza del tuo sito con Emanuele Barbato di Siteground
Condividi su

La sicurezza del tuo sito: come proteggerlo da hacker, bot e spam

Scritto da Silvia Versari il 3 Giugno 2021
Durante uno degli appuntamenti del nostro ZoomClub abbiamo parlato di sicurezza del sito web insieme a SiteGround, uno dei 3 provider raccomandati da WordPress.org e che al momento ospita l'hosting per oltre 2 milioni di domini. Il sito web è uno strumento importante nella cassetta degli attrezzi di ogni freelance: Emanuele Barbato ci ha parlato di come proteggerlo da attacchi, spam e ospiti indesiderati, con accorgimenti alla portata di tutti e applicabili da subito, senza toccare il codice. Questo post è un estratto del nostro incontro.

Essere freelance vuol dire, nella stramaggioranza dei casi, avere bisogno di un proprio sito Internet per raccontarsi, promuoversi, vendere i propri servizi. Questo implica però anche un po’ di lavoro e di attenzione per mantenere la sicurezza del tuo sito e tenerlo al sicuro da ospiti ed eventi indesiderati.

Il primo passo per la sicurezza del tuo sito: l’hosting

Il primo passo per avere un sito sicuro è sicuramente di avere un buon hosting. Sul blog di Digital Update puoi trovare un post molto utile (con video) di Luca Rodino sull’hosting spiegato in modo semplice.

Una delle domande che mi pongono più spesso è: quale hosting è il migliore?
Non solo non esiste una risposta a questa domanda ma, come si suol dire, la domanda stessa è mal posta. Sarebbe come chiedere “Quale automobile è la migliore?”. Innanzitutto devi capire quali sono le tue esigenze. Per scegliere l’hosting più adatto a te devi conoscere il tuo sito web, che sia già realizzato o anche solo un progetto.

Trovi le 3 domande essenziali a cui rispondere prima di scegliere un hosting, la spiegazione dei vari tipi di hosting fra cui scegliere (gratuito, condiviso, cloud, specializzato) e di come scegliere un provider.

Cos’è la sicurezza di un sito

La sicurezza è un processo continuo, non è qualcosa che puoi semplicemente installare e dimenticare. Occorre avere cura del proprio sito e tenerlo sempre monitorato. Tutto parte quindi dalla consapevolezza e quindi dall’evitare alcuni errori. Fra i gravi peccati (di ingenuità) che commettiamo i più comuni sono:

  • Mandare password e dati importanti via e-mail
  • Abboccare a plugin e software fasulli e installare invece brutti malware
  • Credere a mail in cui ti chiedono di fare un login in pagine di phishing che rubano i tuoi dati.

Chi attacca il tuo sito

Il tuo sito può essere attaccato da persone o da bot. Non pensiamo di essere inattaccabili perché piccoli e “poco interessanti” o perché “non è mai successo prima”. Questi ragionamenti magari valgono per le persone, cioè per gli hacker, che in effetti potrebbero non trovare interessante il blog o il sito professionale di un freelance.
Ma non vale di sicuro per i bot: la verità è che se il tuo sito è vulnerabile, allora sarà un obiettivo dei bot, che sono software costruiti appositamente per essere lanciati nella rete e individuare e attaccare dove trovano vulnerabilità di codice.

Perché si viene attaccati

Un bot (o un hacker) può avere varie ragioni per attaccare un sito. Le principali:

  • Ransomware: ti chiede un riscatto per non diffondere o eliminare dati personali.
  • Reindirizzamento: inserisce link che reindirizzano a contenuti esterni, spesso a malware.
  • Phishing e furto di dati: ingannano i tuoi visitatori con finte pagine per poter rubare dati sensibili (ad esempio carte di credito).

Effetti e conseguenze di un attacco al nostro sito

Uno degli effetti è sicuramente sulla nostra reputazione: anche solo il sospetto che un sito non sia sicuro allontana (giustamente) i potenziali clienti.
Ne risente tantissimo anche la reputazione con Google e i motori di ricerca: il posizionamento (ranking) viene molto penalizzato.
Non dimentichiamo anche i costi materiali: risolvere i problemi causati da un attacco costa denaro. Un sito danneggiato può diventare molto lento o, nei casi più gravi, totalmente inutilizzabile.

Best practice per proteggere il tuo sito in autonomia

Gli elementi di sicurezza a cui prestare attenzione sono principalmente 4: password, aggiornamenti, backup, SSL. Vediamoli uno alla volta.

Imposta password sicure

Il 40% delle piccole aziende intervistate in questa ricerca ha affermato che hanno subito un attacco a causa della compromissione delle password del propri dipendenti. Ma quindi come deve essere una password sicura?

  • La password deve essere lunga: che vuol dire almeno 16 caratteri. Più sono lunghe più è difficile che il bot riesca a individuarle.
  • Non usare la stessa password per più siti: hackerata una, diamo accesso anche ad altri siti!
  • Non usare informazioni personali nelle password (nomi e date di nascita, per esempio), sono le prime che il bot prova.
  • Per riuscire a rispettare i consigli precedenti, ci può essere d’aiuto usare un password manager (Come 1Password, LastPass, ecc.), un software che permette di salvare le nostre password e ricordarcele quando dobbiamo fare l’accesso.

Tieni il tuo sito sempre aggiornato

Dobbiamo scegliere di installare sempre software aggiornati e recenti. Se per esempio hai un tema di default di WordPress del 2015, 2016 o 2017, non va bene. Il codice non aggiornato è fonte di di vulnerabilità e di falle di codice che i bot e gli hacker sfrutteranno per entrare con facilità nel nostro sito.
Prima di scegliergli, e per controllare quanto sono recenti e la loro affidabilità, leggiamo sempre le recensioni e affidiamoci al supporto dedicato. Per esempio, se utilizziamo WordPress, possiamo controllare la data di rilascio dell’ultima versione su WordPress.org accedendo alla pagina del tema o del plugin che vogliamo installare.

Una volta installati i software giusti, controlliamo con regolarità se vengono rilasciati nuovi aggiornamenti: gli sviluppatori lavorano costantemente per colmare bug e falle che possono rendere vulnerabile il nostro sito.

Fai backup regolari per la sicurezza del sito

Innanzitutto: che cos’è un backup? È una copia del tuo sito, che devi conservare e che puoi recuperare nel caso qualcosa vada storto, per poter ripristinare il funzionamento del sito e tutto il suo contenuto. Puoi fare:

  • Un backup locale: scarichi i tuoi dati o file sui tuoi dispositivi (sempre meglio su tutti i dispositivi possibili). La frequenza dipende anche da quanto spesso aggiorniamo i nostri contenuti, ma in linea di massima una frequenza consigliabile è di una o due volte al mese.
  • Un backup remoto: utilizza un sistema di hosting che include backup automatici. Ha l’indiscutibile vantaggio che non lo dobbiamo fare noi, quindi non ci dobbiamo ricordare periodicamente di farlo. Non sostituisce comunque il backup locale, che rimane una buona pratica da fare periodicamente.

Il certificato di sicurezza del sito SSL

SSL è l’acronimo di Secure Sockets Layer. Questo protocollo crittografa i dati (come i dettagli di accesso) che passano in entrambi i lati dal tuo sito ai tuoi visitatori. Non protegge il sito dall’hackeraggio, ma protegge i dati che ci sono contenuti, è quindi una bella garanzia per i tuoi visitatori, soprattutto se hai un e-commerce.
I siti sprovvisti di SSL oltretutto sono indicati già all’apertura come “siti non sicuri”, avviso che in genere mette in allerta i visitatori e li fa spesso desistere dall’aprire il sito.

È importante anche per il ranking: Google premia i siti con SSL, tende invece a penalizzare quelli sprovvisti.

L’ultima parte del webinar è dedicata a come bloccare gli attacchi alla sicurezza del tuo sito (senza essere un programmatore). Per vederlo puoi iscriverti al club e recuperarlo (insieme a tanti altri incontri interessanti e utili) nel nostro archivio.

Altre cose che puoi vedere su questo argomento:

  • Scegliere l’hosting per il tuo sito – post di Luca Rodino su Digital Update.
  • Hosting, le domande più frequenti – talk di Francesca Marano e Mattia Contri al Freelancecamp Marina Romea 2019: tutto ciò che vorresti sapere sull’hosting e che ancora non hai chiesto al Customer Care di SiteGround.
  • SiteGround e Google Cloud – Prendere decisioni basate sui trend di settore – talk di Francesca Marano al Freelancecamp online 2020: all’inizio del 2020, SiteGround ha iniziato a usare l’infrastruttura Google Cloud. Come si prende una decisione enorme come questa? Cosa significa per noi e per i clienti? Parliamo di: minacce, opportunità, prestazioni ed energia rinnovabile. Tutto in meno di dieci minuti.
  • L’ABC del sito per freelance – talk di Francesca Marano al Freelancecamp Roma 2018: Le cose che si devono avere nel sito e quelle che non servono un granché; infine, come è facile installare WordPress.org con SiteGround.
  • Sicurezza per il tuo sito senza una riga di codice – talk di Francesca Marano al Freelancecamp Marina Romea 2018: Come puoi rendere il tuo sito più sicuro, per te e per chi lo visita senza dover smanettare con codice o installare plugin – i consigli di SiteGround.
  • Il tuo sito WordPress è abbastanza veloce? Perché dovresti preoccupartene? – talk di Mattia Contri a Roma 2019. Performance del tuo sito web: la velocità è di grande importanza per chi visita il sito e per chi si occupa di crearlo e gestirlo. SiteGround offre diversi servizi pensati apposta per WordPress, ma l’ottimizzazione parte ancora prima, nella progettazione del sito e dei contenuti.
  • Come ottenere un supporto efficace – talk di Laura Sacco a Marina Romea 2019: 5 suggerimenti per ottenere un supporto efficace e ridurre l’ansia da aggiornamento software: servizio di hosting, temi, plugin, app… e il panico di fronte al pulsante “Aggiorna”.
  • Siamo sicuri di essere al sicuro? – talk di Angelo Ghigi al Freelancecamp Marina Romea 2019: Strumenti base per migliorare la propria sicurezza informatica: password manager, backup hardening del sito in WP, riconoscere le mail fasulle.

Newsletter

Iscriviti e ricevi subito il corso Diventare freelance migliori