Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Principali modalità di compromissione dei siti web da parte degli spammer

Capire in che modo il tuo sito è stato compromesso è un requisito importante per proteggerlo da eventuali attacchi. In questo articolo parleremo di alcune vulnerabilità della sicurezza che possono causare la compromissione di un sito.

Password compromesse

I malintenzionati possono utilizzare varie tecniche per decifrare la password, ad esempio provando a inserire password diverse finché non trovano quella corretta. Gli attacchi basati sulla decifrazione delle password possono essere sferrati con metodi diversi, ad esempio inserendo password comuni o provando a utilizzare combinazioni casuali di lettere e numeri finché non si scopre la password. Per evitare questi attacchi, scegli una password complessa che risulti difficile da decifrare. Nell'articolo del Centro assistenza di Google puoi trovare suggerimenti per la creazione di una password complessa.

Ci sono due aspetti importanti da tenere a mente. Per prima cosa, è importante evitare di utilizzare le stesse password per più servizi. Dopo aver identificato una combinazione di password e nome utente funzionante, i malintenzionati cercheranno di utilizzarla con il maggior numero possibile di servizi. Pertanto, se utilizzi password diverse in servizi diversi, puoi evitare la compromissione degli account relativi ad altri servizi.

In secondo luogo, se l'opzione è disponibile, usufruisci di una tecnica di autenticazione a due fattori, come la verifica in due passaggi di Google. L'autenticazione a due fattori prevede un secondo livello di credenziali di accesso, solitamente sotto forma di un codice inviato tramite SMS o di un altro PIN generato dinamicamente, che riducono la possibilità che un malintenzionato riesca ad accedere al tuo account solo con una password rubata. Alcuni fornitori di sistemi di gestione dei contenuti offrono indicazioni su come configurare l'autenticazione a due fattori. Consulta la documentazione relativa a Joomla! , WordPress o Drupal.

Mancata esecuzione degli aggiornamenti di sicurezza

Le versioni obsolete dei software possono presentare vulnerabilità di sicurezza molto pericolose, che consentono ai malintenzionati di compromettere un sito intero. I malintenzionati cercano attivamente software obsoleti con vulnerabilità. Ignorare una vulnerabilità nel tuo sito aumenta la probabilità che divenga oggetto di un attacco.

Nota: per porre rimedio alle vulnerabilità, è indispensabile verificare periodicamente la presenza di aggiornamenti software per il tuo sito. Ancor meglio sarebbe configurare gli aggiornamenti automatici per il software, laddove possibile, e iscriversi agli elenchi di annunci relativi alla sicurezza per tutti i software attivi e in esecuzione.

Tra i software che è consigliabile tenere sempre aggiornati, ad esempio, sono inclusi:

  • I software per i server web, se esegui server di tua proprietà
  • I sistemi di gestione dei contenuti, ad esempio release di sicurezza di Wordpress, Drupal e Joomla!
  • Tutti i plug-in e i componenti aggiuntivi utilizzati sul tuo sito

Plug-in e temi non sicuri

Con i temi e i plug-in puoi aggiungere funzionalità avanzate molto utili a un sistema di gestione dei contenuti. Tuttavia, la presenza di temi e plug-in obsoleti o privi di patch costituisce un'importante fonte di vulnerabilità nei siti web. Se il tuo sito utilizza temi o plug-in, assicurati di tenerli sempre aggiornati e di rimuovere i temi o i plug-in che non sono più mantenuti dai loro sviluppatori.

Fai molta attenzione ai temi o ai plug-in gratuiti che provengono da siti non attendibili. Una tattica comune dei malintenzionati consiste nell'aggiungere codice dannoso alle versioni gratuite di temi o plug-in a pagamento. Quando rimuovi un plug-in, verifica di non averlo soltanto disattivato, ma di avere rimosso tutti i relativi file dal tuo server.

Ingegneria sociale

L'ingegneria sociale sfrutta le debolezze umane per aggirare un'infrastruttura di sicurezza sofisticata. Questo tipo di attacco inganna gli utenti autorizzati per estorcere informazioni riservate, come le password. Una forma comune di ingegneria sociale, ad esempio, è il phishing. Durante un tentativo di phishing, un malintenzionato invia un'email nella quale si spaccia per un'organizzazione legittima, richiedendo di fornire informazioni riservate.

Nota: in base a una ricerca condotta da Google in materia di ingegneria sociale, alcune delle più efficaci campagne di phishing hanno una percentuale di successo del 45%.

Non fornire mai dati sensibili, come la password, il numero della carta di credito, le informazioni bancarie o perfino la tua data di nascita, se non sei sicuro dell'identità del richiedente. Se il tuo sito è gestito da più persone, ti consigliamo di organizzare corsi di formazione che promuovano la consapevolezza riguardo ai problemi di sicurezza posti dagli attacchi di ingegneria sociale. Nel Centro assistenza di Gmail puoi trovare alcuni suggerimenti di base per proteggerti dal phishing.

Falle nelle policy di sicurezza

Se sei un amministratore di sistema o gestisci un sito, tieni presente che l'impostazione di policy di sicurezza non adeguate può consentire ai malintenzionati di compromettere il tuo sito. Ecco alcuni esempi di policy:

  • Consentire agli utenti di creare password deboli
  • Concedere l'accesso come amministratore agli utenti che non devono averlo
  • Consentire agli utenti di eseguire l'accesso utilizzando metodi HTTP senza aver attivato la modalità HTTPS sul tuo sito
  • Consentire il caricamento dei file da parte di utenti non autenticati o senza sistemi di controllo del tipo

Di seguito sono riportati alcuni suggerimenti di base per proteggere il tuo sito:

  • Verifica che sul tuo sito siano configurati controlli di sicurezza avanzati disattivando i servizi inutili
  • Verifica i privilegi degli utenti e i controlli di accesso
  • Utilizza la crittografia per le pagine che gestiscono dati sensibili, come le pagine di accesso
  • Controlla regolarmente i log per individuare l'eventuale presenza di attività sospette.

Divulgazione dei dati

La divulgazione dei dati si verifica quando un errore di configurazione rende disponibili al pubblico le informazioni riservate caricate online. Le funzioni di messaggistica e gestione degli errori in un'applicazione web, per esempio, possono potenzialmente causare la diffusione dei dati relativi alla configurazione in un messaggio di errore non gestito. I malintenzionati, grazie a un metodo noto come "dorking", possono sfruttare le funzionalità dei motori di ricerca per trovare questi dati.

Per verificare che i dati sensibili non vengano divulgati a utenti non autorizzati, svolgi controlli periodici e adotta policy di sicurezza che limitino l'accesso ai dati riservati solo alle entità attendibili. Se ti accorgi che il tuo sito mostra dati sensibili da rimuovere urgentemente dai risultati di Ricerca Google, puoi utilizzare lo strumento di rimozione URL per rimuovere singoli URL da Ricerca Google.