9 minacce comuni alla sicurezza dei siti Web (e come contrastarle)
Pubblicato: 2023-10-25Mi dispiace dirtelo, ma il tuo sito web non è sicuro. Ciò non è necessariamente dovuto a qualcosa che hai fatto, ma semplicemente perché nulla su Internet è mai completamente sicuro. Ogni singolo sito Web deve affrontare minacce alla sicurezza che possono bloccarlo, danneggiarlo o peggio.
Questa è la brutta notizia. Il lato positivo è che ci sono molte cose che puoi fare per affrontare queste minacce e il primo passo è essere consapevoli della loro esistenza. Dopotutto, puoi proteggerti solo da qualcosa che sai che potrebbe rappresentare un rischio.
Per aiutarti a fare esattamente questo, questo articolo esaminerà le comuni minacce alla sicurezza dei siti Web per WordPress e non solo. Parleremo di quali sono le minacce, come funzionano e cosa puoi fare per evitare che si verifichino. Una volta terminata la lettura, vogliamo che tu ti senta in grado di mantenere il tuo sito Web WordPress sicuro e lontano dai pericoli, in modo che tu possa concentrarti su ciò che conta davvero.
Perché preoccuparsi delle minacce alla sicurezza dei siti Web?
La prima reazione che potresti avere è chiederti se questo è rilevante per te. Certo, si sente spesso parlare di violazioni e hack di big data, ma questo genere di cose di solito non accade solo alle grandi aziende? Sai, i tuoi Facebook, Twitter, Equifax e Yahoo, aziende che hanno informazioni che vale la pena rubare.
Mi dispiace far scoppiare la tua bolla, ma solo perché non sei un'azienda da un milione di dollari, ci sono ancora molte persone interessate a far crollare o violare il tuo sito web.
Gli attacchi informatici globali sono aumentati del 38% solo nel 2022 e, secondo un rapporto di Verizon del 2019, le piccole imprese sono state l’obiettivo numero uno, rappresentando il 43% di tutte le violazioni dei dati. Quando diventano vittime di un attacco informatico, il costo medio di queste aziende è di 25.000 dollari. Secondo l’FBI, nel 2022, i danni causati dalla criminalità informatica ammontavano a 10,2 miliardi di dollari solo negli Stati Uniti.
Tuttavia, non si tratta solo di costi diretti per affrontare e ripulire un attacco. Si paga anche in termini di abbandono dei clienti, tempi di inattività, interruzioni del lavoro, perdita di fiducia tra i clienti, blocco dei motori di ricerca e altro ancora.
Quindi, anche se hai un piccolo sito web, puoi essere un bersaglio. Ciò è dovuto soprattutto al fatto che la maggior parte degli attacchi vengono lanciati automaticamente da programmi che scansionano il web alla ricerca di vulnerabilità finché non trovano qualcosa. Quindi, se lasci loro un'apertura, qualcuno cercherà di approfittarne.
Vuoi sapere come proteggerti? Esaminiamo alcune delle minacce alla sicurezza più comuni in circolazione.
Minaccia n. 1 alla sicurezza del sito web: phishing
Fonte: Andrew Levine
Il phishing si verifica quando gli hacker tentano di indurti a visitare un sito Web dannoso, a fare clic su un collegamento pericoloso, a scaricare un allegato contaminato o a fornire informazioni sensibili come l'accesso al tuo sito Web. La maggior parte avviene sotto forma di e-mail che fingono di provenire da fonti legittime, tuttavia è possibile ricevere messaggi di phishing anche tramite SMS, app di messaggistica o pagine di accesso social false.
Potenziali pericoli di phishing
Ottenere le informazioni di accesso tramite phishing fa risparmiare molto tempo agli aggressori. Invece di dover cercare scrupolosamente di indovinare e di farsi strada con la forza bruta nel tuo sito, possono semplicemente utilizzare le credenziali che funzionano sicuramente.
Con questo in mano, hanno campo libero sul tuo sito web, soprattutto se le credenziali hanno privilegi utente elevati. Possono creare nuovi utenti, aggiungere contenuti e collegamenti, manipolare file, creare backdoor e persino eseguire codice. Inoltre, se sul tuo sito sono salvate informazioni sensibili, come i dati dei clienti in un negozio online, anche un hacker può accedervi.
Naturalmente, se ciò accade e diventa pubblico, è un vero duro colpo per la tua reputazione. Inoltre, a seconda delle leggi sulla privacy in base alle quali operi, possono essere previste sanzioni aggiuntive.
Come affrontarlo
Il modo migliore per prevenire gli attacchi di phishing è svilupparne la consapevolezza. Se ricevi un messaggio che ti chiede informazioni sensibili, dovrebbe farti immediatamente riflettere. Non inviare nulla in risposta, non fare clic su alcun collegamento né scaricare ed eseguire gli allegati. Per lo meno, controlla se l'indirizzo email del mittente è legittimo. Inoltre, informati sulle tattiche di phishing e fai lo stesso con altre persone nella tua azienda.
Fonte: Techopedia
Minaccia alla sicurezza del sito web n. 2: attacchi (D)DoS
DoS sta per “denial of service”, ovvero “negazione di servizio”, ovvero quando qualcuno tenta di rimuovere il tuo sito web inondandolo di traffico illegittimo. L'obiettivo è sopraffare il tuo server di richieste in modo che non possa più farcela e smetta di funzionare.
Gli attacchi DoS vengono spesso effettuati tramite botnet, ovvero computer in cui sono stati infiltrati virus o cavalli di Troia e che gli hacker possono controllare da remoto. In questo caso si parla anche di “Distributed Denial of Service” o DDoS.
Fonte: Everaldo Coelho e YellowIcon / LGPL
Attacchi di questo tipo hanno lo scopo di danneggiare un'azienda o un sito Web o di ricattarli per denaro. Essi vengono effettuati anche per motivi ideologici, perché l'aggressore non è d'accordo con ciò che il sito in questione sostiene o per una dichiarazione pubblica fatta da un'azienda. Tuttavia, in altri casi, gli attacchi DDoS possono essere utilizzati anche come diversivo per distrarvi mentre gli hacker tentano di entrare nel vostro sito.
Quali sono i risultati?
L'effetto di un attacco DDoS è che il sito web in questione non risponde e diventa inaccessibile ai clienti e ai visitatori reali. Il server ha troppo da fare per elaborare correttamente le visite e si carica molto lentamente o non si carica affatto per i visitatori legittimi.
Naturalmente, per la maggior parte delle aziende, il sito web è una delle risorse principali. Quando diventa irraggiungibile, porta alla perdita di affari e di entrate. Gli attacchi DDoS possono anche danneggiare la tua reputazione perché alcuni visitatori penseranno che la qualità del tuo sito web semplicemente non sia buona.
Come prevenire gli attacchi DDoS
Uno dei modi migliori per contrastare le minacce dei siti Web di questo tipo è aggiungere un ulteriore livello di sicurezza sotto forma di firewall o firewall per applicazioni Web. Questi sono progettati per filtrare il traffico dannoso prima che raggiunga il tuo sito. In questo modo l'attacco non arriva nemmeno al tuo sito web e non può causare danni. Inoltre, se l’attacco DDoS è solo una distrazione per un’irruzione, i firewall offrono protezione anche in questo caso. Buoni fornitori qui sono Sucuri e Cloudflare.
Fonte: Cloudflare
Un altro buon investimento per proteggersi da questa minaccia alla sicurezza del sito Web è una rete di distribuzione dei contenuti o CDN. Posiziona copie del tuo sito su server diversi, il che rende più difficile eliminarlo completamente dal web. Può anche tenere l'attacco lontano dal tuo server principale. Molti CDN includono la protezione DDoS.
Se ospiti il tuo sito web su WP Engine, puoi sfruttare entrambi questi metodi contemporaneamente utilizzando Global Edge Security. Si tratta di un componente aggiuntivo per prestazioni e sicurezza di livello aziendale che include un firewall per applicazioni Web gestito, protezione DDoS avanzata e una CDN globale. In breve, tutto ciò che ti serve per tenere a bada le minacce esterne alla sicurezza.
Inoltre, è piuttosto pratico. Devi semplicemente aggiungerlo al tuo piano, indirizzare i tuoi record DNS al server giusto e il resto sarà pensato per te. Vai tranquillo. Infine, è una buona idea impostare il monitoraggio del tempo di attività, ad esempio con UptimeRobot. In questo modo, vieni avvisato rapidamente quando il tuo sito non è più raggiungibile e puoi agire immediatamente.
Minaccia alla sicurezza del sito web n. 3: attacchi di forza bruta e credential stuffing
Gli attacchi di forza bruta sono in qualche modo simili agli attacchi DDoS in quanto attaccano automaticamente una parte del tuo sito. Tuttavia, invece di bloccare il traffico, prendono di mira la tua pagina di accesso e tentano di accedere al sito web indovinando le tue informazioni di accesso. Programmi di questo tipo provano molte diverse combinazioni comuni di password e nome utente al secondo finché non riescono ad accedere.
Una variante leggermente più sofisticata è il cosiddetto credential stuffing. In questo caso, invece di informazioni di accesso casuali, gli aggressori utilizzano combinazioni di email/password già note per altre violazioni dei dati. Questi attacchi si basano sul fatto che molte persone riutilizzano le proprie informazioni di accesso.
Se un utente malintenzionato riesce a indovinare le tue credenziali di accesso, il risultato è praticamente lo stesso discusso nella sezione "phishing".
Scoraggiare gli attacchi all'accesso
Esistono diversi modi per proteggersi dagli attacchi alla tua pagina di accesso:
- Limita i tentativi di accesso e blocca gli utenti che falliscono troppo spesso, ad esempio tramite Limita tentativi di accesso ricaricati
- Non riutilizzare le tue credenziali, utilizza password individuali per ogni account che possiedi
- Limita il numero di utenti sul tuo sito WordPress e offri loro solo le funzionalità di cui hanno bisogno per il loro lavoro
- Forzare password complesse, ad esempio tramite Password Policy Manager
- Meglio ancora, usa l'autenticazione a più fattori
- Disattiva l'editor del tema e del plugin in modo che gli aggressori non possano manipolare i tuoi file dalla dashboard di WordPress
Minaccia alla sicurezza del sito web n. 4: Cross-Site Scripting (XSS)
Nel cross-site scripting, un hacker induce un sito Web a fornire script dannosi al browser di una vittima. A causa dell'origine, il browser si fida ed esegue lo script. Ciò avviene spesso attraverso i campi di input, come in un modulo di contatto. L’attacco può però provenire anche dal database di un sito web compromesso.
Possibili risultati
In caso di successo, un utente malintenzionato può utilizzare il cross-site scripting per rubare dati di accesso, installare malware, reindirizzare l'utente a un altro sito e persino manipolare la pagina che sta visualizzando. Potrebbero anche accedere al sito in questione come un altro utente e leggere i propri dati. Inoltre, potrebbero essere in grado di installare software sul computer della vittima.
Credito: Michel Bakni
Nel complesso, il cross-site scripting rappresenta per i tuoi visitatori un pericolo maggiore rispetto al sito stesso. Tuttavia, se proviene dalla tua presenza sul web, naturalmente, questo non ti farà una buona luce. Pertanto, devi a te stesso e ai tuoi visitatori rendere sicuro il tuo sito.
Come prevenire gli attacchi XSS
A livello tecnico, il passaggio più importante per prevenire il cross-site scripting è disinfettare e convalidare i dati immessi. Ciò significa negare caratteri e simboli speciali per evitare l'iniezione di codice, ad esempio assicurarsi che l'input non possa contenere cose come script, oggetti o collegamenti. Linguaggi di programmazione come PHP e JavaScript offrono a questo scopo funzioni standard e WordPress dispone anche di un proprio markup per questo scopo.
Se non sei uno sviluppatore, il tuo ruolo è usare il buon senso per tenere lontano dal tuo sito il codice che non aderisce a queste regole. Ciò significa ottenere temi e plugin da fonti affidabili e assicurarsi che siano ben supportati e mantenuti. Inoltre, non installare sul tuo sito snippet di codice che non capisci.
Minaccia alla sicurezza del sito web n. 5: SQL Injection
Le iniezioni SQL sono simili allo scripting cross-site. Funzionano anche utilizzando campi di input per eseguire codice SQL dannoso sul tuo sito Web e ottenere l'accesso al database.
Se il tuo sito web è vulnerabile alle SQL injection, un utente malintenzionato può utilizzare questa tecnica per danneggiarlo in diversi modi:
- Crea nuove identità con diritti di amministratore e ottieni l'accesso al tuo sito
- Accedi direttamente a tutti i dati sul server
- Distruggere/modificare il database per renderlo inutilizzabile
Naturalmente, nessuna di queste è una buona notizia.
Contrastare le SQL Injection
Questa minaccia alla sicurezza del sito Web richiede un'attenzione simile a quella del cross-site scripting. Disinfetta, filtra, escludi e convalida l'input dei dati e assicurati di crittografare le informazioni riservate. Molti framework web lo fanno automaticamente.
In qualità di non sviluppatore, mantieni aggiornati WordPress e i suoi componenti e utilizza un plug-in di sicurezza WordPress. Molti di essi sono dotati di funzionalità per prevenire le iniezioni SQL. Puoi trovare informazioni più dettagliate su questo argomento in un articolo dedicato di WP Engine.
Minaccia n. 6 alla sicurezza del sito web: ransomware/defacement
Il ransomware è un tipo di software che blocca l'accesso al tuo sito web o ad altre risorse aziendali e lo sblocca nuovamente solo se paghi denaro all'aggressore, e talvolta nemmeno in quel caso.
Il defacement è simile in quanto rovina il design o il contenuto del tuo sito web o lascia su di esso un messaggio di un attacco hacker riuscito.
In ogni caso, qualcuno in qualche modo è riuscito ad accedere al tuo sito, il che può comportare una serie di risultati negativi:
- Il costo del riscatto (se lo paghi, che può essere costoso)
- Spese per la pulizia
- Vendite perse e perdita di reputazione
- Perdite di produttività del personale dovute all’impossibilità di svolgere il proprio lavoro
- Classifiche ridotte nei motori di ricerca a causa della blocklist
Come proteggersi
Il modo per prevenire attacchi ransomware e defacement è seguire le altre best practice menzionate in questa guida per bloccare l'accesso al tuo sito web e al tuo server. Mantieni le tue informazioni di accesso al sicuro, il tuo sito aggiornato e implementa una soluzione di backup in modo da poter tornare a una versione precedente del tuo sito.
Minaccia alla sicurezza del sito web n. 7: malware e spyware
Questo non è tanto un pericolo per i siti Web stessi, ma qualcosa che può accadere al tuo sito. Quando un utente malintenzionato riesce ad accedervi, potrebbe installare malware e spyware che infettano i computer dei tuoi visitatori. Il tuo sito web compromesso finisce per fungere da veicolo per promuovere l'agenda dell'hacker.
Cosa può succedere?
Il malware rappresenta un grosso pericolo per la tua reputazione. Quando un browser o un programma antivirus lo rileva, impedirà ai visitatori di accedere al tuo sito.
Inoltre, i motori di ricerca possono inserirti nella blocklist e rimuoverti dal loro indice poiché non vogliono indirizzare i propri utenti a siti Web che li danneggiano.
Naturalmente, entrambi possono comportare una massiccia perdita di traffico e talvolta è difficile uscire dalle liste bloccate anche dopo aver risolto il problema. Senza traffico, non ci sono entrate, contatti, clienti, affari.
Prevenire le infezioni da malware
Ancora una volta, segui le pratiche menzionate in questa guida per tenere lontane dal tuo sito altre minacce alla sicurezza del sito web. In particolare, utilizza credenziali forti e autenticazione a più fattori, mantieni aggiornati i componenti del sito Web e fai attenzione a ciò che installi sul tuo sito.
Inoltre, mantieni pulito il tuo computer utilizzando un software antivirus e scansiona regolarmente il tuo sito Web alla ricerca di malware, ad esempio tramite Sucuri Sitecheck.
Minaccia alla sicurezza del sito web n. 8: attacco man-in-the-middle
Questi tipi di attacchi sono comuni sui siti Web che non utilizzano la crittografia per il proprio traffico. In questo caso l'aggressore intercetta dati non protetti e può così accedere a dati di login, di pagamento o ad altre informazioni riservate. Gli attacchi man-in-the-middle si verificano anche nelle reti Wi-Fi non protette.
Come proteggersi
Sui siti Web, il metodo numero uno per contrastare questa minaccia è utilizzare la crittografia. Installa un protocollo TLS/SSL sul tuo sito e passa a HTTPS. Questo crittografa automaticamente tutte le informazioni inviate tra il tuo sito e i browser dei visitatori, impedendo il successo degli attacchi man-in-the-middle.
Inoltre, proteggi il tuo Wi-Fi di lavoro e di casa con una password complessa e modificando le credenziali predefinite. Inoltre, fai particolare attenzione quando usi il Wi-Fi pubblico. Utilizza una VPN per proteggere il tuo traffico e accedi al tuo sito dal Wi-Fi pubblico solo quando assolutamente necessario.
Minaccia alla sicurezza del sito web n. 9: attacchi alla catena di fornitura
Un attacco alla catena di fornitura si verifica quando un utente malintenzionato si infiltra in un sito Web tramite software di terze parti. Ad esempio, quando qualcuno si intromette in un prodotto SaaS che si integra con molti siti Web e quindi ottiene l'accesso a tali siti nel processo.
Negli ultimi anni abbiamo assistito ad attacchi alla catena di fornitura in WordPress. In un caso, gli aggressori hanno intenzionalmente arricchito i plugin con codice dannoso. Un’altra volta, sono entrati nel server di distribuzione affinché un’estensione di WordPress facesse lo stesso.
Nella maggior parte dei casi questi attacchi sono stati scoperti rapidamente e i plugin in questione sono stati bannati o patchati. Ma è ancora qualcosa di cui essere consapevoli.
Come prevenirlo
La ricetta migliore per prevenire gli attacchi alla catena di fornitura è seguire le migliori pratiche per l'uso di plugin e codice di terze parti sul tuo sito web:
- Utilizza solo fonti affidabili per estensioni come plugin e temi
- Mantieni le tue integrazioni al minimo, installa solo ciò di cui hai veramente bisogno
- Controlla regolarmente il tuo sito per verificare che tutti i contenuti di terze parti siano ancora pertinenti
- Utilizza un registro delle attività per individuare comportamenti sospetti in corso sul tuo sito
Tieni a bada le minacce del sito web
Le minacce alla sicurezza sono qualcosa che ogni proprietario di un sito web deve affrontare. Sono una sfortunata realtà dell'operare su Internet. Per fortuna, molti di questi possono essere prevenuti implementando alcune buone pratiche basate sul buon senso:
- Fai attenzione ai messaggi che ricevi, ai link su cui fai clic e agli allegati che scarichi
- Investi in un firewall, una CDN e un monitoraggio dei tempi di attività
- Utilizza password complesse, limita le funzionalità dell'utente e i tentativi di accesso e imposta l'autenticazione a più fattori
- Riduci al minimo la quantità di plugin e temi sul tuo sito e assicurati di ottenerli da fonti legittime
- In qualità di sviluppatore, disinfetta e convalida i tuoi dati
- Mantieni aggiornato il tuo sito web e tutto ciò che ad esso appartiene
- Utilizza HTTPS per crittografare il traffico del tuo sito web
- Avere una soluzione di backup in atto nel caso qualcosa vada storto
- Non inserire informazioni sensibili in reti non protette
Seguirli dovrebbe essere sufficiente per proteggersi dalla maggior parte delle comuni minacce alla sicurezza dei siti Web. Rimani vigile!
Quali altri modi per proteggere il tuo sito web dalle minacce alla sicurezza consigli? Condividi i tuoi pensieri nei commenti qui sotto!