Capire in che modo il tuo sito è stato compromesso è un aspetto importante per proteggerlo dagli attacchi. In questa pagina vengono descritte alcune vulnerabilità di sicurezza che possono comportare la compromissione del tuo sito.
Il seguente video illustra i diversi tipi di attacchi e i modi in cui gli hacker possono assumere il controllo del tuo sito.
Password compromesse
Gli utenti malintenzionati possono usare tecniche di identificazione delle password provando password diverse finché non indovinano quella giusta. Gli attacchi di identificazione delle password possono essere condotti con vari metodi, ad esempio la ricerca di password comuni o la scansione di combinazioni casuali di lettere e numeri fino a quando la password viene scoperta. Per evitare questi attacchi, scegli una password complessa che risulti difficile da decifrare. Puoi trovare i suggerimenti per la creazione di una password efficace nell'articolo del Centro assistenza Google.
Ci sono due aspetti importanti da tenere a mente. Innanzitutto, è importante evitare di riutilizzare le password per più servizi. Una volta che gli autori di attacchi sono in grado di identificare una combinazione di nome utente e password funzionante, cercheranno di utilizzarla per il maggior numero possibile di servizi. Pertanto, l'utilizzo di password diverse in servizi diversi può impedire la compromissione di altri account su altri servizi.
Secondo, se l'opzione è disponibile, sfrutta l'autenticazione a due fattori (2FA), come la verifica in due passaggi di Google. L'autenticazione a due fattori consente un secondo livello di credenziali di accesso, solitamente tramite un codice SMS o un altro PIN generato dinamicamente, che riduce la capacità di un utente malintenzionato di accedere al tuo account solo con una password rubata. Alcuni fornitori di CMS offrono indicazioni sulla configurazione dell'autenticazione a due fattori (2FA). Consulta la documentazione per Joomla!, WordPress o Drupal.
Aggiornamenti della sicurezza persi
Le versioni precedenti del software possono essere influenzate da vulnerabilità di sicurezza ad alto rischio che consentono a utenti malintenzionati di compromettere un intero sito. Gli aggressori cercano attivamente software obsoleti con vulnerabilità. Ignorare una vulnerabilità del tuo sito aumenta le possibilità che il sito venga attaccato.
Ecco alcuni esempi di software che è consigliabile tenere aggiornati:
- Software server web, se esegui server di tua proprietà.
- Il tuo sistema di gestione dei contenuti (CMS). Esempio: release di sicurezza di Wordpress, Drupal e Joomla!.
- Tutti i plug-in e i componenti aggiuntivi che utilizzi sul tuo sito.
Temi e plug-in non sicuri
I plug-in e i temi a un CMS aggiungono preziose funzionalità avanzate. Tuttavia, temi e plug-in obsoleti o privi di patch sono una delle principali fonti di vulnerabilità sui siti web. Se utilizzi temi o plug-in sul tuo sito, assicurati di mantenerli aggiornati. Rimuovi temi o plug-in che non sono più gestiti dai loro sviluppatori.
Fai molta attenzione ai temi o ai plug-in senza costi che provengono da siti non attendibili. È una tattica comune per gli utenti malintenzionati aggiungere codice dannoso alle versioni senza costi di temi o plug-in a pagamento. Quando rimuovi un plug-in, assicurati di rimuovere tutti i relativi file dal server anziché disattivarlo.
Ingegneria sociale
L'ingegneria sociale sfrutta lo sfruttamento della natura umana per aggirare una sofisticata infrastruttura di sicurezza. Questi tipi di attacco inducono gli utenti autorizzati a fornire informazioni riservate come le password. Una forma comune di ingegneria sociale è il phishing. Durante un tentativo di phishing, un malintenzionato invia un'email fingendosi un'organizzazione legittima e richiede informazioni riservate.
Ricorda di non rivelare mai informazioni sensibili (ad esempio password, numeri di carte di credito, dati bancari o persino la tua data di nascita), a meno che tu non sia sicuro dell'identità del richiedente. Se il tuo sito è gestito da più persone, valuta la possibilità di offrire formazione per sensibilizzare sulla sicurezza contro gli attacchi di ingegneria sociale. Per suggerimenti di base per la protezione dal phishing, consulta il Centro assistenza Gmail.
Falle nelle policy di sicurezza
Se sei un amministratore di sistema o gestisci il tuo sito, ricorda che criteri di sicurezza scadenti possono consentire a utenti malintenzionati di compromettere il tuo sito. Ecco alcuni esempi:
- Consente agli utenti di creare password inefficaci.
- Concedere l'accesso amministrativo agli utenti che non lo richiedono.
- Non attivare HTTPS sul tuo sito e non consentire agli utenti di accedere tramite HTTP.
- Consentire il caricamento di file da utenti non autenticati o senza controllo del tipo.
Di seguito sono riportati alcuni suggerimenti di base per proteggere il tuo sito:
- Assicurati che il tuo sito web sia configurato con controlli di sicurezza elevati disattivando i servizi non necessari.
- Testare i controlli dell'accesso e i privilegi utente.
- Utilizza la crittografia per le pagine che gestiscono informazioni sensibili, come le pagine di accesso.
- Controlla regolarmente i tuoi log per verificare la presenza di eventuali attività sospette.
Divulgazione dei dati
Le fughe di dati possono verificarsi quando vengono caricati dati riservati e una configurazione errata rende disponibili pubblicamente le informazioni riservate. Ad esempio, la gestione degli errori e la messaggistica in un'applicazione web possono far trapelare le informazioni di configurazione in un messaggio di errore non gestito. Utilizzando un metodo noto come "dorking", gli utenti malintenzionati possono sfruttare le funzionalità del motore di ricerca per trovare questi dati.
Assicurati che il tuo sito non riveli informazioni sensibili a utenti non autorizzati eseguendo controlli periodici e limitando i dati riservati alle persone giuridiche attendibili mediante criteri di sicurezza. Se ti imbatti in informazioni sensibili visualizzate sul tuo sito che devono essere davvero rimosse dai risultati della Ricerca Google, puoi utilizzare lo strumento per la rimozione di URL per rimuovere singoli URL dalla Ricerca Google.