GO
English|Italiano |Français

Blog Edisfera

Web Hosting: infrastruttura informatica e sicurezza IT per dummies
12 aprile 2021

Web Hosting: infrastruttura informatica e sicurezza IT per dummies

-- Maria Letizia Serra, Content & Marketing Manager

Cybersecurity, hacker, sicurezza IT, pirateria informatica, privacy e protezione dei dati, hosting e data center, sono tutte parole chiave della nostra attualità.

Anche se si sa a grandi linee di cosa si parla, forse sarebbe bene chiarire alcuni concetti che stanno alla base della presenza e comunicazione online nel nostro tempo. È sufficiente avere un sito web per essere catapultati in un mondo virtuale in cui siamo esposti comunque agli attacchi dei criminali.

Attraverso il suo blog divulgativo sulle tematiche del web, edisfera vi propone un minicorso in 4 parti per spiegare anche ai più “negati” gli aspetti più importanti della sicurezza web e di una infrastruttura informatica che abbia le giuste caratteristiche per difendere i propri dati.


Siti web e sicurezza

Quando si progetta e si realizza un nuovo sito web, spesso la sicurezza sta in basso nell'elenco delle priorità delle cose da fare per la messa online.

La sfortunata verità è che le piccole e medie imprese, anche le startup, dovrebbero preoccuparsi per la sicurezza quanto un marchio aziendale che opera a livello globale.

Sulla stampa sentiamo le notizie che riguardano la violazione dei dati di grosse aziende, ma questo non vuol dire che non succeda anche alle PMI, senza che la notizia venga diffusa dai media, in quanto di poca risonanza.

Le statistiche ci dicono che circa il 43% degli attacchi informatici è rivolto alle piccole imprese, e tali attacchi includono sia le violazioni della rete che l’iniezione di codice nel sito Web, oppure parliamo di applicazioni mobili compromesse e altro ancora.

Si pensi che quando la sicurezza della rete e del sito Web viene violata, la maggior parte delle aziende può impiegare in media 200 giorni per accorgersene. In questo lasso di tempo i danni perpetrati sono tanti, motivo per cui le perdite per crimini informatici continuano a crescere.

Poiché i siti di eCommerce in genere trattano dati personali dei consumatori, la perdita da una violazione può essere significativa.

Ma anche se il vostro sito web non ha l’eCommerce, non pensate di essere al sicuro. In un sito aziendale tradizionale spesso si utilizzano plug-in o applicazioni che gestiscono le informazioni dell’utente di base, comprese le credenziali di accesso.

Il rapporto 2018 Trustwave Global Security ha rilevato che il 100% delle applicazioni web testate mostrava almeno una vulnerabilità nella sicurezza.

Perché i siti web vengono violati?

La cosa più importante da tenere a mente in merito alla sicurezza di un sito web è che gli hacker in genere non scelgono quale sito stanno per hackerare.

Sebbene pochi eletti possano scegliere come target uno specifico marchio aziendale o un sito web governativo, per un qualunque motivo, nella maggior parte dei casi i siti Web che scelgono di hackerare vengono attaccati in modo casuale.

Praticamente, gli hacker utilizzano script che cercano ampiamente nei siti Web le vulnerabilità comuni. E, a meno che non stiano cercando qualcosa in particolare, è più probabile che attacchino le vulnerabilità meno impegnative per ottenere un accesso rapido al sito.

Quando si analizzano le vulnerabilità, non si fanno distinzioni tra le dimensioni o l'età dell'azienda.

Ciò che rende così tante piccole imprese suscettibili di emergere e diventare obiettivi, è che i proprietari di piccole imprese in genere non considerano la sicurezza una priorità. Inoltre, spesso non hanno il budget per avere personale IT in grado di monitorare regolarmente o mantenere sistemi aggiornati e sicuri, a differenza dei grandi marchi aziendali.

Per questo vi consigliamo di considerare una soluzione in outsourcing che gestisca e si prenda cura della vostra struttura informatica, una sorta di consulenza calibrata sulle reali esigenze e dimensioni della piccola e media impresa. Approfondisci qui: https://www.edisfera.com/Servizi/Sicurezza-WEB

La maggior parte degli hacker, cerca principalmente 3 cose quando attacca un sito web:

  1. Aumentare le richieste del server SMTP, inviando massivamente email di spam e provocandone l’arresto.
  1. Reindirizzare il traffico del tuo sito verso altri siti.
  1. Distribuire malware e virus.

Solo se si conosce come viene compromessa la sicurezza e cosa cercano gli hacker, si può comprendere meglio la tecnologia di sicurezza utilizzata dai provider di hosting e cosa si può fare per migliorare la sicurezza di un sito web.

In che modo la sicurezza di un sito o un app viene solitamente compromessa?

Le vulnerabilità della sicurezza sono comuni tra le applicazioni web, anche quelle utilizzate dai proprietari di piccole imprese come ad esempio:

  • Strumenti di analisi dei dati web
  • Applicazioni e plugin di scrittura e grammatica
  • Plugin e applicazioni SEO
  • App di integrazione della posta elettronica
  • Applicazioni di integrazioni social di terze parti
  • Applicazioni di comunicazione come chat e moduli di contatto

E tantissime altre ancora, ciascuna con un potenziale di vulnerabilità che potrebbe compromettere la sicurezza dell’intero sito web.

Ecco alcune delle violazioni più comuni nei siti Web:

  • Iniezioni SQL: iniezione di codice che garantisce l'accesso o danneggia il contenuto del database, consentendo all'autore dell'attacco di leggere, scrivere o alterare in altro modo i dati.
  • Cross-site scripting: noto anche come XSS, questo metodo consente agli hacker di eseguire script nel browser in grado di dirottare la sessione di navigazione, alterare il contenuto del sito Web e reindirizzare l'utente a qualsiasi destinazione scelta.
  • Autenticazione interrotta: una cattiva gestione della sessione e un'autenticazione interrotta rendono facile per i dirottatori prendere il controllo di una sessione utente attiva e assumere l'identità dell'utente.
  • Sicurezza configurata in modo errato: quando si verificano errori di configurazione della sicurezza, un hacker può accedere a tutti i tipi di dati o funzionalità privati fino a includere un sito Web o una rete completamente compromessi.

Sebbene queste siano alcune delle vulnerabilità più comuni, c'è molto di più. Per fortuna, ci sono anche numerosi modi in cui affidabili aziende di hosting di siti web (https://www.edisfera.com/Azienda/GDPR-e-IT-il-nostro-impegno) lavorano attivamente per mantenere il sito web e i server di hosting al sicuro da violazioni e intrusioni.

I server per la sicurezza dei siti web e la protezione dei dati

I server per la sicurezza dei siti web e la protezione dei dati

Mentre il concetto di hosting è semplice - un'azienda ti concede spazio per archiviare file e dati visualizzati al pubblico come un sito Web - può diventare un po’ più complesso quando si inizia a gestire la sicurezza dei tuoi dati.

Le società di hosting fanno un grande sforzo per garantire che server e siti web rimangano protetti. Tuttavia, c'è una linea sottile tra dove finisce la tua responsabilità per la sicurezza e dove inizia la responsabilità della società di hosting del sito web.

Molto dipende dall’ambiente di hosting scelto.

Sicurezza del sito web e hosting condiviso

L'hosting condiviso è la piattaforma di hosting più comune e utilizzata più frequentemente da molti siti Web di avvio e piccole imprese. Sono più convenienti e facili da configurare. Uno dei motivi del risparmio sui costi è che la società di hosting di siti Web raggruppa diversi siti Web su un unico server. Da qui il nome "condiviso".

Questa configurazione ha continuato ad alimentare i miti e fake news che definiscono la piattaforma un ambiente di hosting insicuro solo per il fatto che è condivisa. Invece, l'hosting condiviso è un'opzione solida e conveniente sia per i siti di hobby personali sia per i siti Web aziendali. Finché si lavora con un host rispettabile che conosce bene la sicurezza del sito web, non occorre preoccuparsi.

Anche con una soluzione “condivisa” si è responsabili di ciò che si fa all'interno del proprio spazio hosting, comprese le applicazioni che si installano, gli script che si eseguono e alcune configurazioni di base.

Sicurezza del sito web e server privati virtuali (VPS)

Gli ambienti VPS sono spesso preferiti quando si tratta di sicurezza IT e sono preferiti dagli amministratori di rete professionisti, in quanto considerati più sicuri di un tipico piano di hosting condiviso o di un sito web self-hosted. In questo caso bisogna prevedere qualcuno che abbia le conoscenze tecniche, in grado di seguire questo tipo di infrastruttura, come un amministratore di sistema esperto e affidabile, anche un’azienda esterna che in outsourcing che si preoccupi di gestire l’infrastruttura informatica.

Il vantaggio dei server VPS è che offrono molte più opzioni di sicurezza e variazioni nella configurazione, ma solo a chi sa dove mettere le mani.

In che modo i data center rafforzano la sicurezza del sito web?

I data center sono essenzialmente la spina dorsale tecnologica delle società di web hosting. Le loro sedi esistono in tutto il mondo, con molte aziende che gestiscono il proprio spazio o affittano spazi all'interno di più data center.

I data center possono ospitare sia piccole infrastrutture con spazio minimo ed esigenze di server di piccole dimensioni (si pensi a una piccola impresa con un data center privato) fino a strutture di magazzino di grandi dimensioni ( ad esempio i data center di Google e Amazon Web Services).

Quando si memorizza una quantità significativa di hardware, elaborando e gestendo un flusso continuo di dati aziendali personali e proprietari, sono necessari alcuni passaggi per garantire sicurezza e protezione degli stessi.

Mentre il proprietario del sito web è il responsabile del proprio spazio designato all'interno di un server, il data center fa di tutto per gestire la sicurezza fisica (e digitale) e la sicurezza dei server stessi. Ciò comprende:

  • Controlli ambientali che mantengono le apparecchiature in funzione a una temperatura sicura.
  • Backup che mantengono operativi i server, anche quando la rete elettrica si interrompe per motivi imprevisti.
  • Sistemi di sorveglianza per monitorare l'interno e l'esterno del data center e l'attività di tutti in loco.
  • Metal detector nelle sale di accesso ai server per garantire che l'hardware non entri o esca senza approvazione.
  • Stanze Mantrap che utilizzano una combinazione di biometria, accesso di sicurezza, porte a ingresso singolo (una persona alla volta), guardie e sorveglianza per garantire che l'accesso sia limitato al data center. (Google utilizza una sicurezza simile e meno dell'1% dei dipendenti vede mai l'interno del data center.)
  • Le gabbie dei server vengono utilizzate all'interno dei data center per racchiudere e proteggere server o gruppi di server specifici, separando i dati e le apparecchiature sensibili dai dati non sensibili. Queste gabbie a volte includono la sorveglianza CCTV per un monitoraggio aggiuntivo.
  • La sicurezza architettonica può includere vetri antiproiettile, protezione dagli agenti atmosferici, zone cuscinetto limitate per i veicoli, barriere antiurto ad alto impatto e ampi sistemi antincendio.

I data center si preoccupano dunque della sicurezza fisica e delle minacce in loco. Ma questo lascia ancora aperto il problema delle minacce e delle vulnerabilità più comuni e ovvie per la sicurezza dei siti Web: hacking e attacchi basati su software, minacce dalle quali devono proteggere le aziende di hosting.

Funzionalità per la sicurezza comuni in un sito Web

Funzionalità per la sicurezza comuni in un sito Web

Solo una protezione cumulativa fornita da una vasta gamma di funzionalità contribuirà al massimo livello di sicurezza di un sito web.

Ecco alcune delle funzionalità che dovrebbero essere presenti nell’offerta di hosting e alcuni problemi di sicurezza fondamentali che dovrebbero essere affrontati dal provider.

Firewall

I firewall sono software progettati per monitorare e filtrare l'attività prima che raggiunga il server web. Una volta configurato, viene creato un insieme di regole e applicato a tutto il traffico in entrata e in uscita al fine di proteggere i sistemi e i dati.

I firewall funzionano attraverso uno o più metodi, incluso il filtraggio (analisi di tutti i dati passati attraverso il firewall rispetto a una serie di filtri), ispezione (ispezione dei dati in entrata) e proxy (acquisizioni non approvate o cattivo traffico prima che raggiunga il tuo sito).

È normale che un singolo firewall venga configurato per essere applicato a un intero server con hosting condiviso, quindi i singoli account di hosting non hanno praticamente alcun controllo sulla configurazione del firewall.

Con altri piani di hosting è possibile eseguire l'aggiornamento a un firewall dedicato, che consente di creare regole specifiche che stabiliscono chi può (e non può) accedere al tuo sito web.

Backup dei dati, ripristino e backup hardware ridondanti

Anche con il contenuto del sito gestito con attenzione, qualsiasi tipo di incidente, inclusa una violazione, potrebbe portare ad una perdita di dati. Ecco perché occorre affidarsi ad una società di hosting di siti Web che abbia anche un servizio di back up e di ripristino che consentano di tornare ad una versione precedente utile.

I backup hardware ridondanti sono banchi di server aggiuntivi che trasportano un mirror delle versioni attuali dei server live e sono integrati in modo che, in caso di guasto del server, il traffico possa essere instradato istantaneamente a un backup ridondante per evitare tempi di inattività e perdita di dati minima.

Sviluppo “dev”

L'esecuzione di qualsiasi tipo di aggiornamento o manutenzione del sito può lasciare l'intero sito web vulnerabile agli attacchi, soprattutto se si stanno installando e testando nuove applicazioni o si stanno apportando modifiche a uno script. Un ambiente sandbox o dev offre un modo sicuro per testare tutte le modifiche in un ambiente live (ma non rivolto al pubblico) piuttosto che apportare modifiche direttamente ai file accessibili al pubblico.

Accesso utente e controlli della password

È comune per le piattaforme di hosting offrire vari livelli di controllo dell'accesso degli utenti e gestione delle password. Poiché questi account presentano vari livelli di accesso ai file principali del sito web, dovrebbero essere riservati esclusivamente ai membri del team.

A seconda della natura del sito, si può gestire anche la configurazione dell'accesso utente per clienti, registrati e autori ospiti, ciascuno con le proprie password private per il login. Poiché l'accesso degli utenti può variare dai semplici diritti di pubblicazione di contenuti all'accesso illimitato ai file, è sempre consigliabile di impostare le autorizzazioni minime necessarie per ogni ruolo specifico.

È una buona regola pratica creare un criterio per le password in base ai tipi di account e al numero di altri utenti. Ad esempio, gli account che possono avere un impatto molto maggiore sul funzionamento e sull'aspetto pubblico del sito dovrebbero avere linee guida molto più rigide e requisiti di password molto più complessi.

In casi di siti di organizzazioni complesse, esistono programmi software di gestione delle password che generano password sicure, archiviandole in un deposito crittografato.

L’azienda che si occupa dell’hosting del sito web può fornire o consigliare un software che gestisce le password. In caso contrario, sono disponibili diverse applicazioni affidabili che sono sicure e non memorizzano i dati delle password nel cloud.

L'accesso utente e le password sono responsabilità del cliente, quindi un monitoraggio accurato e regolare degli account utente è importante quanto la configurazione iniziale.

Crittografia dei dati / SSL

I certificati SSL ( https://www.edisfera.com/Servizi/Sicurezza-WEB/Certificati-SSL) sono una parte fondamentale dei siti di eCommerce e, dopo i recenti aggiornamenti al browser Chrome di Google, sono anche un componente essenziale di qualunque sito web per garantire una navigazione sicura nel suo insieme.

Questi certificati sono piccoli file di dati registrati e associati a un dominio e ai dettagli dell'organizzazione. Quando attivato e configurato su un sito Web, il certificato attiva il protocollo https (al contrario di http) che consente di stabilire una connessione sicura tra il server e il browser dell'utente.

Attraverso questa connessione sicura tutti i dati vengono crittografati, in particolare le informazioni sensibili come i dati delle carte di credito dei consumatori, le informazioni di contatto personali, i file proprietari e altro ancora. Sebbene i certificati SSL non siano richiesti per la maggior parte dei siti web, il browser Chrome di Google ha iniziato a visualizzare messaggi che indicano che un sito non è sicuro se il sito web include qualsiasi tipo di modulo per inviare dati senza un certificato SSL.

Per i siti di eCommerce, il certificato SSL è un componente di sicurezza necessario. Non solo garantisce la crittografia delle informazioni sensibili, ma è anche richiesto per la conformità PCI, un requisito necessario se si desidera accettare pagamenti con carta di credito online.

Google ha affermato che un sito Web sicuro con crittografia appropriata (un certificato SSL) viene classificato positivamente dai suoi algoritmi e pertanto più visibile e in alto nel ranking dei suoi risultati della ricerca. Se siete privi di certificato SSL è possibile che la concorrenza con SSL vi superi nei motori di ricerca.

Protezione DDoS

DDoS, o Distributed Denial of Service, è un metodo utilizzato per inviare un enorme volume di traffico / dati a un sito Web nel più breve lasso di tempo possibile. Questo sovraccarico di dati impedisce al server di elaborare il traffico in entrata e può portare offline un sito Web o un server non protetto.

Un provider di hosting affidabile fornirà una protezione DDoS documentata. Con questa protezione in atto, il server può monitorare e filtrare il traffico DDoS in modo che tutti i successivi attacchi DDoS vengano catturati e rifiutati dal server mentre il traffico legittimo può passare normalmente.

Rilevamento della forza bruta

Un attacco di forza bruta è un metodo utilizzato dagli hacker nel tentativo di ottenere l'accesso a un server tramite un accesso autentico con accesso legittimo. Piuttosto che cercare di individuare le vulnerabilità, gli aggressori utilizzeranno un software automatizzato che esegue un numero enorme di tentativi consecutivi (combinazioni di nome utente e password) per cercare di ottenere l'accesso.

I provider di hosting in genere offrono il rilevamento della forza bruta per monitorare questi tipi di invio rapido di combinazioni di nome utente/password. Ci sono anche passaggi che si possono intraprendere a livello di utente per aiutare a prevenire attacchi di forza bruta, principalmente attraverso un migliore controllo delle password.

Password complesse e lunghe con un'elevata variazione di lettere e numeri possono essere estremamente utili.

Altre precauzioni che potrebbero essere disponibili includono:

  • Inserire di blocchi dopo tentativi di password dimenticata;
  • Aumentare il periodo di tempo in cui un account viene bloccato;
  • Bloccare degli account utente individuali;
  • Impedire al sito di rivelare quando un nome utente è valido negli errori di accesso;
  • Bloccare automaticamente i tentativi di registrazione o di accesso come nomi utente specifici se non esistono, come "admin" o "info".

Autenticazione a più fattori

L'autenticazione a più fattori è il processo di aumento dei passaggi necessari per l'accesso, in cui questi passaggi aggiuntivi implicano applicazioni strettamente controllate per la verifica. Nella configurazione ideale, solo il proprietario dell'account originale per un nome utente specifico avrebbe accesso al secondo livello di autenticazione.

Protezione dai virus

I server Web funzionano in modo simile a un PC domestico; entrambi utilizzano un sistema operativo per essere eseguiti. E proprio come un PC di casa, un server web è suscettibile agli attacchi di virus e malware. Sebbene alcuni possano essere relativamente innocui, la maggior parte dei virus e dei malware sono sviluppati per intenti dannosi e progettati per diffondersi lontano e velocemente.

Per fortuna, la scansione antivirus e antimalware è diventata uno standard per la maggior parte delle società di hosting di siti Web.

come mantenere il tuo sito web al sicuro?

In conclusione: come mantenere il tuo sito web al sicuro?

Sebbene il provider di hosting web e i data center data center si impegnino a fondo per proteggere i dati dei propri clienti, è chiaro che una parte della responsabilità ricada sul titolare per garantire che i dati rimangano al sicuro.

Ricapitolando quanto illustrato e chiarito negli articoli precedenti, una volta scelto il miglior hosting del sito web, ecco una carrellata di attività da fare per migliorare la protezione dei dati.

Applicare “patch” al software obsoleto

Indipendentemente dal fatto che si disponga di un sito personalizzato o di un sistema di gestione dei contenuti (CMS), è necessario mantenere aggiornati tutti gli script e il software.

I patch (letteralmente rattoppi) sono aggiornamenti che spesso risolvono i problemi di sicurezza riscontrati nelle versioni precedenti, che se non sistemati lasciano il sito vulnerabile agli attacchi.

Occorre assicurarsi che plug-in, estensioni, applicazioni, carrelli della spesa e persino i moduli online, siano inclusi negli aggiornamenti regolari e nella manutenzione del sito per ridurre le vulnerabilità.

Creare una policy per le password

Una policy per impostare password complesse è la chiave per evitare le intrusioni da attacchi di forza bruta. La policy dovrebbe affrontare una serie di fattori, tra cui la lunghezza e la complessità delle password (10 caratteri, lettere e numeri, caratteri speciali, maiuscole), la frequenza con cui le password vengono modificate / aggiornate (cioè ogni 90 giorni), il modo in cui le password vengono memorizzate (specialmente con dispositivi mobili), ecc. La password policy deve essere rigorosamente mantenuta in tutta l’azienda.

Privacy del dominio

Sebbene la privacy del dominio possa non sembrare un problema di sicurezza critico, meno informazioni ha un utente malintenzionato, meglio è. La privacy del dominio maschera i dati whois di un sito Web, comprese le informazioni di contatto personali e i dati sulla posizione, che potrebbero essere utilizzati in modo fraudolento.

Installare software antivirus

I computer locali dovrebbero essere tutti dotati di software antivirus per proteggere i dati e il sito web. Questi software possono impedire a programmi dannosi e virus di fornire agli hacker l'accesso ai sistemi aziendali in cui sono archiviate informazioni proprietarie.

Controllare le vulnerabilità del sito web

Poiché i siti web spesso presentano codice personalizzato in varie forme, è una buona idea eseguire controlli regolari sul sito. Non è necessario farlo manualmente. Non mancano software e strumenti online che possono essere utilizzati per scansionare il sito web alla ricerca di vulnerabilità. Tuttavia, nessuno strumento è affidabile al 100%; l'approccio migliore ai controlli di sicurezza è lavorare con un professionista (https://www.edisfera.com/Servizi/Sicurezza-WEB/Vulnerability-Assessment-Scan) in grado di fornire una revisione dettagliata del sito web e spiegare i passaggi che si devono compiere per proteggerlo.

Eseguire backup manuali

Le aziende che forniscono un servizio di hosting affidabile forniscono backup automatici, anche se non bisogna mai affidarsi completamente al sistema per proteggere i dati. Meglio creare una pianificazione per backup manuali regolari dei dati del sito web, inclusi i database. Il provider di hosting dovrebbe offrire un'opzione all'interno del pannello di controllo per creare backup manuali.

Usare i sistemi AVS e CVV

Per i siti Web di eCommerce, occorre massimizzare la sicurezza, soprattutto quando si tratta dei dati dei consumatori. Per questo occorre includere sempre i campi AVS (Address Verification System) e CVV (Credit Verification Value) nel checkout. Con i sistemi AVS e CVV, è molto meno probabile che i tentativi fraudolenti abbiano successo, poiché l'acquirente dovrà disporre di informazioni complete sull'indirizzo e il codice sul retro delle carte di credito per completare l'acquisto.

Conclusione

Solo perché siete una piccola impresa o un privato non significa che non dovrete preoccuparvi di hacker, violazioni o attacchi informatici. Il traffico verso il sito web, i dati dei clienti e la connessione ad altri utenti sono tutti dati preziosi per gli hacker e questo rende qualsiasi sito web un potenziale bersaglio.

La scelta del giusto provider di hosting che offre una solida suite di funzionalità di sicurezza in combinazione con la protezione proattiva del sito Web e dei dati è il modo migliore per mitigare i rischi, chiudere le vulnerabilità e proteggere il sito Web aziendale.