Diventa Autore per CoreTech | Scopri di più





Cos'è la sicurezza del sito Web - Come proteggere il tuo sito Web dall'hacking

16/07/20 CoreTech Blog

Proteggi ogni tuo computer da ufficio con un antivirus. Installa i firewall per impedire l'accesso indesiderato alla tua rete. Ma cosa fai per proteggere il tuo sito web? E cosa può succedere se non è protetto?

Questo articolo è rivolto ai proprietari di siti Web che non sono esperti in sicurezza del sito Web o sicurezza delle applicazioni Web. Spiegheremo quali misure puoi adottare per creare una buona politica di sicurezza per il tuo sito Web e come evitare le minacce alla sicurezza. Parleremo anche di idee sbagliate comuni.

Cominciamo con una definizione.

Cos'è la sicurezza dei siti Web?

La sicurezza del sito Web è tutte le misure di sicurezza che proteggono il tuo sito Web dagli attacchi informatici realizzati dai criminali informatici.

Cosa include la sicurezza dei siti Web?

La sicurezza del sito Web comprende le procedure giuste, le persone giuste, nonché gli strumenti e le applicazioni giusti. Spesso va oltre il solo sito Web e include anche la sicurezza di server Web e provider di hosting.

Cosa può succedere se la sicurezza del tuo sito web non è abbastanza buona?

Se la sicurezza del tuo sito Web non è abbastanza buona, i criminali informatici possono ottenere l'accesso al tuo sito Web e, ad esempio:

  • Provoca una violazione dei dati e ruba informazioni sensibili (ad esempio password o dati della carta di credito)
  • Attacca gli altri tuoi sistemi (ad esempio, per installare ransomware)
  • Usa il tuo sito Web per attaccare gli altri (ad esempio, invia e-mail di phishing che includono l'URL del tuo sito Web)
  • Deface il tuo sito Web, facendoti perdere la reputazione.

È sufficiente un certificato SSL?

Molte aziende pensano che l'installazione di un certificato SSL sia sufficiente per garantire la sicurezza informatica. Sebbene sia importante, sicuramente non è abbastanza:

  • Un certificato SSL / TLS proteggerà il tuo sito Web da attacchi man-in-the-middle. Nessuno sarà in grado di ascoltare la comunicazione tra il browser Web e il server Web se la connessione è sicura.
  • Un certificato SSL / TLS non impedirà ai criminali informatici di sfruttare una vulnerabilità nel codice del tuo sito Web o nella configurazione del tuo server web.

Gli attacchi più gravi ai siti Web sono causati da vulnerabilità della sicurezza nel codice del sito Web e nella configurazione del server Web.

Quali sono le vulnerabilità del web e da dove provengono?

Le vulnerabilità del Web sono errori nel codice del sito Web o dell'applicazione Web. Tali problemi di sicurezza sono introdotti dagli sviluppatori di software.

Queste minacce comuni consentono a un utente malintenzionato di accedere a informazioni a cui non dovrebbero avere accesso o di includere il proprio codice dannoso. Questo codice dannoso viene quindi eseguito dal server Web o dai visitatori del sito Web.

Che tipo di software può aiutare la sicurezza del tuo sito web?

Per eliminare i rischi per la sicurezza, è necessario essere certi che il sito Web non presenta vulnerabilità che i criminali informatici potrebbero sfruttare.

Il modo più efficiente per verificare le possibili vulnerabilità è utilizzare uno scanner per la sicurezza Web. Tali strumenti di sicurezza:

  • Analizza la struttura del tuo sito Web con molta attenzione per trovare tutti i possibili punti di immissione dei dati (nel caso di Acunetix, funziona anche su applicazioni molto complesse con molti HTML5 e JavaScript)
  • Invia dati speciali al tuo sito Web per vedere come il codice del sito Web reagisce a tali dati
  • Se trovano una vulnerabilità, la segnalano (nel caso di Acunetix, compresa la prova che la vulnerabilità è reale e informazioni su come correggere l'errore)

Tuttavia, il software automatizzato non sarà mai in grado di trovare ogni possibile vulnerabilità. Ecco perché è una buona idea eseguire periodicamente test di penetrazione . Se non si assumono esperti di sicurezza, è possibile assumere un appaltatore di sicurezza esterno per farlo.

Che dire di Web Application Firewalls (WAF)?

I firewall delle applicazioni Web sono utili per proteggere il sito Web fino a quando non è possibile correggere una vulnerabilità. Un firewall per applicazioni Web controlla i dati inviati dagli utenti e cerca schemi che potrebbero essere un segno di un attacco. Se tale modello viene trovato nella blacklist WAF, i dati non raggiungono mai il server.

Il problema con l'utilizzo dei WAF è che è come riparare la tua auto con del nastro adesivo. Mantiene le parti insieme ma non risolve il problema. Se un utente malintenzionato è abbastanza intelligente e riesce a inviare dati non riconosciuti dal firewall dell'applicazione Web, ma contiene ancora codice dannoso, può comunque attaccare il tuo sito Web.

Quali sono le iniezioni SQL e XSS e sono un grave problema?

Iniezioni SQL e Cross-site Scripting (XSS) sono due tipi più noti di vulnerabilità nei siti Web. Sono in giro da molto tempo, più di 20 anni. Tuttavia, sono ancora presenti nel codice di molti siti Web e applicazioni Web. Il Rapporto sulla vulnerabilità delle applicazioni Web Acunetix 2020 mostra che le iniezioni SQL sono ancora presenti nell'8% dei siti e che gli script tra siti sono ancora presenti nel 25% dei siti. C'è una grande possibilità che il tuo sito Web abbia una di quelle vulnerabilità.

Tali vulnerabilità sono comuni anche per società web molto grandi come Google. Ad esempio, alcuni ricercatori indipendenti hanno recentemente utilizzato Acunetix per trovare una vulnerabilità XSS in Google e recentemente un importante provider di sicurezza IT, Sophos, ha riscontrato un'iniezione SQL .

Iniezioni SQL e vulnerabilità XSS sono molto gravi e possono avere conseguenze molto gravi. Le iniezioni SQL possono consentire all'autore dell'attacco di accedere al database e persino al sistema operativo di web hosting. Lo scripting cross-site consente ai criminali informatici di attaccare e impersonare i tuoi utenti.

Il malware influisce sui siti Web?

Il malware attacca più spesso i computer desktop, ma un utente malintenzionato che compromette un sito Web può inserire script dannosi su quel sito Web. Tali script dannosi possono aiutare i criminali informatici ad attaccare gli utenti del tuo sito Web.

Anche gli scanner di sicurezza Web professionali come Acunetix ti proteggono da questa minaccia. Acunetix scarica tutti gli script dai siti Web che analizza e li controlla per individuare malware. Tuttavia, nessun software può aiutarti con la rimozione di malware dal tuo server: dovrai gestirlo manualmente.

Come posso proteggere dagli attacchi DDoS?

Non è possibile acquistare alcun software che ti protegga completamente dalla maggior parte degli attacchi DDoS (denial-of-service distribuito).

Alcuni attacchi DDoS sono possibili a causa di vulnerabilità (ad esempio, la vulnerabilità di Slowloris ). Gli scanner di vulnerabilità spesso ti proteggono da tali attacchi.

Tuttavia, la maggior parte degli attacchi DDoS, eseguiti con strumenti come il cannone ionico a bassa orbita (LOIC) o il cannone ionico ad alta orbita (HOIC) , non sono distinguibili dalle normali richieste dell'utente. Il modo più semplice per proteggerli è disporre di un server molto potente con soluzioni anti-DoS dedicate.

Fortunatamente, la maggior parte dei siti Web aziendali oggi sono ospitati su tali server. Le grandi società di hosting come Akamai possono gestire così tante richieste che gli attacchi DDoS rappresentano una minaccia molto minore. Hanno anche meccanismi speciali in atto per proteggere i siti Web.

Come posso proteggere WordPress?

WordPress è il sistema di gestione dei contenuti più comune ed è anche quello che ha i maggiori problemi di sicurezza. Tuttavia, la maggior parte dei problemi con WordPress non sono causati dal software principale ma da plugin e temi.

Le prime due cose per proteggere WordPress sono quindi:

  • Usa sempre l'ultima versione di WordPress. Installa immediatamente gli aggiornamenti (in particolare gli aggiornamenti di sicurezza).
  • Usa solo plugin e temi necessari. Meno ne hai, più sei sicuro. Usa solo plugin e temi noti ed evita quelli meno popolari.
  • Scansiona regolarmente il tuo sito WordPress con uno scanner di vulnerabilità. Ad esempio, Acunetix ha molti controlli specifici di WordPress ma può anche scoprire altre vulnerabilità generiche.

Nota che tutti i suggerimenti sopra riportati si applicano anche se non usi WordPress ma usi Joomla !, Drupal o altri sistemi CMS.


Articoli su Acunetix

Trovare le vulnerabilità dei siti web prima degli HackerL'importanza della convalida delle correzioni: lezioni da GoogleSDLC agile e sicuro - Best practiceIn che misura le aziende gestiscono la sicurezza delle applicazioni Web?Cross-Origin Resource Sharing (CORS) e intestazione Access-Control-Allow-OriginCosa sono i reindirizzamenti aperti?DevSecOps: come arrivarci da DevOpsIl bigino su SQL Injection per sviluppatoriSfruttare SSTI in ThymeleafSicurezza nginx: come proteggere la configurazione del serverRafforzamento del sistema Web in 5 semplici passaggiCos'è la sicurezza del sito Web - Come proteggere il tuo sito Web dall'hackingRapporto sulle vulnerabilità delle applicazioni Web Acunetix 2020Perché l'elenco delle directory è pericoloso?Cosa sono gli hack di Google?Cosa è l'attacco BEASTWeb Shells in Action - Rilevazione e prevenzione - parte 5Web Shells in Action - parte 4Mantenere le Web Shells sotto copertura - parte 3Introduzione alle web shell - parte 2: 101 Uso di PHPIntroduzione alle web shell - parte 1Debunking 5 miti sulla postura della sicurezza informaticaIniezioni di NoSQL e come evitarleConfigurazione passo passo di Acunetix con JenkinsCosa sono i riferimenti a oggetti diretti non sicuriAnche il più forte cade: un'iniezione SQL in Sophos XG FirewallAcunetix rilascia Business Logic RecorderCome recuperare un sito Web compromessoCome difendersi dagli hacker Black Hat durante la pandemia COVID-19Che cos'è l'inclusione remota dei file (RFI)?Apache Security - 10 consigli per un'installazione sicuraUn nuovo sguardo sugli attacchi correlati al proxy inversoVulnerabilità delle password comuni e come evitarleTutto quello che devi sapere sugli attacchi Man-in-the-MiddleChe cosa sono le iniezioni HTMLRed Teaming – 5 consigli su come farlo in modo sicuroTesta le tue competenze XSS utilizzando siti vulnerabiliPerché hacker malintenzionati hanno messo gli occhi sugli ospedaliPratiche di codifica sicura – I tre principi chiaveLa maledizione delle vecchie librerie JavaMutation XSS nella ricerca GoogleIgnorare SOP utilizzando la cache del browserCome e perché evitare reindirizzamenti e inoltri non convalidati?Dirottamento di sessione e altri attacchi di sessioneCome abbiamo trovato un altro XSS in Google con AcunetixChe cos'è un buffer overflowChe cos'è l'overflow di IntegerChe cos'è HSTS e perché dovrei usarlo?Che cosa è OS Command InjectionVulnerabilità delle entità esterne XML in Internet ExplorerCoreTech assicura protezione dei siti Web con AcunetixCoreTech distributore Acunetix a fianco dei partner per la CyberSecurityCyberSecurity applicativa, nuova opportunità per voi!