La sicurezza di un sito web
Molto spesso, troppo spesso, non vengono presi in considerazione i rischi collegati all’avere un sito web, specialmente se questo è stato realizzato con un CMS (WordPress, Joomla, Prestashop etc..).
Questo accade perché è “sentire comune” l’idea che un danno di immagine al proprio sito web non sia poi così rilevante, mentre se qualcuno ci segnalasse la presenza di un video pornografico, una offesa o comunque un contenuto non “idoneo” sulla nostra pagina Facebook, correremmo subito a cercare di riparare ad un danno d’immagine “immenso”.
Il sito web di una azienda invece vale moltissimo, sia in ottica di visibilità ma anche di reputazione (non solo online) e quindi va difeso da tutti quei pericoli che possano in qualche modo danneggiarla.
I casi più comuni di attacchi informatici ad un sito possono essere così raggruppati:
- Deface – I “cattivi” hanno sostituito il contenuto della prima pagina (o di tutte le pagine) con altre cose, tipo immagini di guerriglieri, etc..
- Virus / Malware – Il nostro sito è diventato un pericoloso untore di programmi malevoli
- Spam – Questa volta i “cattivi” usano il nostro sito per inviare messaggi di spam
- Spam Visuale – Il sito all’apparenza non ha nulla, ma i motori di ricerca vedono altro (di solito ecommerce di prodotti falsi, oppure “pillole” magiche) e mostrano questi strani risultati nella SERP.
Ovviamente ci sono altri casi, ma per semplicità ho voluto mettere solo i più comuni.
Su cosa fare in questi casi, sono state scritte migliaia di pagine su internet: i consigli sono i più disparati, ma la soluzione migliore è poter contare su un backup pulito, cancellare tutto e ripristinare. Specie nei CMS il rischio di cancellare solo i files malevoli e non debellare la backdoor dei “cattivi” è troppo grande.
Su questo si instaura il primo punto legato alla sicurezza: avete a disposizione un backup? Se si, quanto è vecchio? Controllare sempre che il proprio fornitore di hosting abbia a disposizione una copia del sito e del database, con backup tanto frequenti quanto sono gli aggiornamenti del sito. Può bastare una copia alla settimana per siti non aggiornati, fino ad arrivare a più backup nel corso di un solo giorno per ecommerce che vendono molto (in questo caso può bastare solo il backup del database).
La nostra reputazione online
Cerchiamo però ora di capire cosa accade alla nostra reputazione quando il nostro sito viene attaccato.
Per prima cosa Google e gli altri motori avviseranno gli utenti che il nostro sito è pericoloso sconsigliandoli di accedervi: se proprio qualcuno, temerario, provasse a farlo, il browser lo fermerebbe subito.
Comincia quindi la conta dei danni: siamo improvvisamente diventati pericolosi, e per di più non riceveremmo più visite. Il webmaster di turno deve recuperare la situazione ed effettuare la segnalazione a Google, Bing etc..
Ovviamente se nel frattempo abbiamo provveduto inconsapevolmente a distribuire virus o malware la cosa potrebbe avere dei risvolti poco piacevoli, specie se tra i colpiti ci fossero clienti o fornitori che sono entrati nel nostro sito alla ricerca di informazioni. Ovviamente gli eventuali danni causati non sono stati voluti, ma la figura fatta è stata sicuramente pessima.
Certo che anche a livello di SERP il danno può essere importante: non accorgendosi subito del problema e quindi lasciando il sito in stato di “pericolo” per diverso tempo può portare a penalizzazioni, specie se come visto nel punto 4 lo spam fosse visuale. Improvvisamente molti utenti ignari arrivano sul nostro sito e visualizzano paginate di prodotti contraffatti, tutto ovviamente usando il nostro nome.
Pensate che sia fantascienza? Ecco il risultato di una ricerca fatta su Google proprio mentre sto scrivendo:
Ho cercato “cheap prada bags” ed il primo risultato è un sito che è stato attaccato: i “cattivi” si fanno pubblicità sfruttando il sito ed il nome di questo sito web.
Il danno reputazionale è alto, direttamente proporzionale al valore del nostro marchio e del nostro dominio: gli utenti internet non sono tutti esperti e molti in questa situazione possono confondere il nostro prestigio con il prodotto fraudolentemente venduto.
Ultimo caso che voglio trattare, lo spam: i “cattivi” accedono al sito e lo usano direttamente o indirettamente (rubando le credenziali dell’SMTP) per fare spam. Oltre a trovarci le caselle piene di mancati recapiti, finire in blacklist non riuscendo quindi più a spedire nemmeno una email, oppure (forse ancora peggio) far finire l’ip del nostro sito in blacklist (cosa che potenzialmente può essere dannosissima per la SERP) rischiamo anche in questo caso di inondare colleghi e persone che non ci conoscono con email fasulle riportanti però il nostro url… e anche in questo caso il danno di immagine è facilmente capibile (pensate per un attimo se per colpa di una email inviata dal nostro SMTP un cliente prendesse un CryptoLocker e perdesse tutti i suoi files….)
Cosa fare allora?
Il suggerimento è sempre lo stesso: affidarsi a servizi di qualità, a professionisti e non ad improvvisati. Chi realizza un sito deve sapere cosa sta facendo: usare con parsimonia plugin e moduli, scrivere codice non attaccabile (o almeno non facilmente attaccabile), aggiornare con regolarità tutti i propri siti, avere server affidabili e con strumenti di controllo molto attenti; i server devono essere configurati in modo da prevenire “infezioni” crociate su più siti, la politica di backup deve essere buona e regolata in base alle esigenze dei clienti e deve essere in grado di dare risposte rapide e professionali.
Ovviamente, tutto questo non più costare 30€ all’anno, ma purtroppo come dicevo all’inizio, la reputazione del proprio sito web, non vale nemmeno al centesima parte di ciò che può appparire su un profilo social….
