Esperto di Semalt: modi sicuri per proteggere un sito dagli hacker
Molte persone pensano che il loro sito web non abbia nulla di importante da hackerare. Un sito Web può essere compromesso da un hacker per utilizzare il server per trasmettere spam o utilizzarlo come server temporaneo per ospitare file illegali. Gli hacker si rivolgono ai server di siti Web per estrarre bitcoin, fungere da botnet o richiesta di ransomware. Gli hacker utilizzano script automatici per violare Internet nel tentativo di sfruttare le vulnerabilità del software.
Di seguito sono riportati alcuni suggerimenti preparati da Igor Gamanenko, il Semalt Customer Success Manager, per salvaguardare te e il tuo sito Web.
Software aggiornato
Il software operativo del server e qualsiasi software di supporto devono essere aggiornati regolarmente. Qualsiasi vulnerabilità nel software offre agli hacker una scappatoia più facile da manipolare e manifestare i loro motivi negativi. Se una società di hosting gestisce il tuo sito Web, non hai nulla di cui preoccuparti poiché la società ospitante dovrebbe occuparsi della sicurezza del web. Tutte le applicazioni di terze parti devono essere aggiornate regolarmente per applicare nuove patch di sicurezza.
SQL Injection
Gli hacker utilizzano attacchi di iniezione per manipolare il database di un sito Web. L'uso di Transact SQL standard semplifica l'inserimento inconsapevole di codici dannosi in una query che potrebbe essere utilizzata per manipolare tabelle o eliminare dati. Per evitare ciò, utilizzare sempre query con parametri come quella illustrata di seguito:
$ stmt = $ pdo-> prepara ('SELEZIONA * DA tabella DOVE colonna =: valore');
$ stmt-> execute (array ('value' => $ parametro));
Cross Site Scripting
Queste forme di attacchi immettono codici JavaScript non autorizzati nella pagina Web, che viene eseguita in modo anonimo sui browser Internet e può modificare i contenuti Web o rubare informazioni sensibili da inviare all'hacker. L'amministratore di un sito Web deve assicurarsi che gli utenti non possano inserire correttamente i contenuti JavaScript nella tua pagina. L'uso di strumenti come la politica di sicurezza dei contenuti dirige il browser Web a limitare il modo e ciò che JavaScript viene eseguito sulla pagina.
Messaggio di errore
L'amministratore del sito Web deve essere cauto sulle informazioni visualizzate nei messaggi di errore. Fornisci solo errori limitati ai tuoi utenti, per assicurarti che non forniscano dati riservati sui tuoi server come password o chiavi API.
Le password
È estremamente importante utilizzare password complesse per accedere alla sezione di amministrazione dei server o dei siti Web. Gli utenti dovrebbero inoltre essere incoraggiati a utilizzare password complesse per proteggere i propri account. Una combinazione di lettere maiuscole, minuscole, numeri e caratteri speciali costituisce una password sicura. Le password devono essere archiviate utilizzando l'algoritmo di hashing. La sicurezza del sito Web può essere migliorata utilizzando un nuovo e unico salt per password.
Caricamenti di file
Per evitare un tentativo di hacking, è consigliabile evitare l'accesso diretto ai file caricati. Qualsiasi file caricato sul tuo sito Web deve essere archiviato in una cartella separata all'esterno di Webroot. È necessario creare uno script diverso per recuperare i file dalla cartella privata e utilizzarli nel browser.
HTTPS
È un protocollo che fornisce sicurezza sul Web. Garantisce agli utenti che accedono al server che si aspettano e che nessun hacker può intercettare il contenuto che sta transitando. Un sito Web che supporti carte di credito o altri moduli di pagamento dovrebbe utilizzare cookie autentici inviati con qualsiasi richiesta dell'utente. Questo aiuta ad autenticare le richieste bloccando così gli attacchi.
Utilizzare gli strumenti di sicurezza del sito Web
Dopo aver eseguito tutte le misure di cui sopra, testare la sicurezza del tuo sito Web è fondamentale. È meglio eseguirlo utilizzando strumenti di test di penetrazione, tra cui Netsparker, OpenVAS, Security Headers.io e Xenotix XSS Exploit Framework. I risultati dell'utilizzo degli strumenti presentano una vasta gamma di potenziali preoccupazioni e possibili soluzioni avanzate.