Se ti stai chiedendo come si verifica la sicurezza di un sito, in questo articolo ti racconterò innanzitutto perché è così importante avere un sito sicuro agli occhi degli utenti (e non solo) e poi come capire se il tuo sito è stato compromesso e, naturalmente, come correre ai ripari.
Io mi chiamo Gloria Ingrassia e negli ultimi anni mi sono specializzata nella realizzazione di siti web in WordPress che, come è noto, ogni tanto vengono bucati, specie se non aggiornati da tanto tempo. Se anche tu hai un sito fatto in WordPress, potresti trovare utili i miei consigli.
Perché verificare periodicamente la sicurezza del tuo sito
Avere un sito web sicuro significa poter proteggere i dati sensibili degli utenti, mostrarsi più affidabili agli occhi dei motori di ricerca e, soprattutto, mantenere la fiducia degli utenti e clienti.
Mantenere un sito sicuro e affidabile è fondamentale per dimostrare alle persone che navigano tra le pagine del nostro sito di potersi fidare di noi. Questo può indirettamente migliorare il posizionamento del sito, poiché la sicurezza è un fattore determinante per i motori di ricerca come Google. Un sito non sicuro rischia di essere penalizzato.
Un altro motivo per cui è importante controllare regolarmente la sicurezza del sito è prevenire attacchi informatici o, se già perpetrati, rimuovere malware e virus nascosti nel codice o nel database, spesso invisibili fino a quando non si manifestano in pagine del sito visitate da te o da altri.
Un sito non sicuro danneggia la reputazione del tuo brand e può comportare rogne legali, poiché non proteggere i dati personali degli utenti può portare a sanzioni.
Oggi parleremo di come controllare il sito per scongiurare attacchi informatici passati, metterlo a norma di legge e renderlo sicuro.
Cosa succede se il tuo sito non è sicuro
Un sito non sicuro può esporre le informazioni personali e finanziarie degli utenti a furti e frodi, comportare sanzioni legali per la mancata conformità alle normative sulla protezione dei dati e compromettere le prestazioni del sito stesso.
Se il tuo sito non è messo in sicurezza o contiene degli script obsoleti, è possibile che venga bloccato dall’antivirus o segnalato come “non sicuro” dai browser, il che potrebbe portare gli utenti ad abbandonarlo. Non trovi che questo possa comportare conseguenze gravi sulla reputazione del brand?
Immagina se uno dei marketplace più importanti e conosciuti avesse improvvisamente problemi di sicurezza e tu scoprissi che i dati degli utenti, inclusi quelli delle carte di credito, sono stati violati. Torneresti a comprare lì, almeno nell’immediato?
Strumenti online per verificare la sicurezza del sito
Ho iniziato suggerendo di “verificare periodicamente la sicurezza”. Che vuol dire periodicamente? Sì, significa ciclicamente, ma con quale frequenza?
In realtà, l’obiettivo è mantenere costantemente sicuro il proprio sito. Per farlo, ci sono strumenti automatizzati che possono lavorare in modo continuo, in grado di avvisarci immediatamente di potenziali minacce alla sicurezza.
È sicuramente utile effettuare controlli manuali, ad esempio mensilmente, per assicurarsi che il sito non presenti problemi di sicurezza. Però, per dormire sonni tranquilli, è consigliabile utilizzare uno o più plugin progettati per garantire una sicurezza continua.
Maggiore sicurezza non significa mai “impenetrabilità”. Anche se si sigilla il sito al massimo, non sarà mai completamente sicuro al 100%. Hai mai sentito delle fughe di notizie e degli attacchi hacker contro siti governativi o piattaforme che gestiscono dati personali? Nessuno è immune da tali attacchi. L’importante è adottare tutte le precauzioni possibili.
- Sucuri: è il primo strumento di cui voglio parlarti. È un servizio online che non richiede download né abbonamenti. Basta inserire l’URL del sito per effettuare una rapida e parziale verifica di sicurezza.
- Wordfence: è un plugin gratuito per WordPress che segnala la presenza di malware e vulnerabilità che necessitano di correzione. È particolarmente consigliato per siti con WooCommerce attivo, per prevenire eventuali attacchi informatici.
- Search Console: se il tuo sito è stato violato e Google lo ha rilevato, è possibile che venga segnalato nella tua Search Console. Quindi, ogni tanto un check è d’obbligo.
Per mettere in sicurezza WordPress, ho scritto un articolo dettagliato con una lista minuziosa di step da seguire. Alcuni aspetti sono abbastanza tecnici, ma nulla di così impossibile.
Segnali che un sito è sicuro
? Quali sono i segnali, agli occhi degli utenti, che un sito è sicuro?
- Nell’URL del sito è presente il protocollo HTTPS (notare la S finale)
- Nel footer e nei vari form del sito è presente il link alla Privacy Policy in cui viene riportato il modo in cui vengono trattati i dati degli utenti
- Il browser segnala il tuo sito come sicuro, mostrando l’icona simboleggiante la sicurezza.
- Gli URL sono parlanti, oltre ad essere user-friendly, rendendo chiaro in quale pagina l’utente sta per atterrare
- Durante il processo di acquisto o al checkout, viene chiarito che i pagamenti sono crittografati e vengono utilizzati sistemi sicuri come Stripe e PayPal.
- Sono presenti testimonianze di acquisto, preferibilmente prese da piattaforme come TrustPilot.
- Nel footer sono visibili riferimenti riguardanti la persona o l’azienda, come nome completo, partita IVA, REA, e indirizzo della sede. Questi dettagli contribuiscono a trasmettere un senso di sicurezza perché indicano trasparenza e possibilità di contatto diretto.
- È possibile contattare il proprietario del sito o il professionista dietro al sito tramite un form di contatti o un indirizzo email. Questo aspetto contribuisce a far percepire l’acquisto o la navigazione più sicuri.
Come abbiamo visto, non solo è importante che il nostro sito sia messo in sicurezza tecnicamente, ma è estremamente fondamentale lanciare dei segnali di affidabilità.
Come capire se il sito è stato compromesso
Ti preannuncio già che in alcuni casi nemmeno ti accorgi che il sito è stato violato. A volte possono passare settimane prima che tu possa renderti conto di qualcosa di sospetto.
Detto questo, ti elenco alcune situazioni che dovrebbero insospettirti, alcune di queste si manifestano quando non sei loggato:
- Redirect sospetti: mentre navighi sul tuo sito, potresti essere reindirizzato improvvisamente verso un altro sito. Questo potrebbe indicare che qualcuno ha violato il tuo database o i file del sito inserendo un redirect malevolo, spesso verso siti gambling o contenuti zozzi.
- File WordPress, plugin o tema aggiornati: accedendo al tuo spazio web tramite client FTP hai notato che alcuni file sono stati recentemente aggiornati, eppure giureresti di non aver toccato o aggiornato nulla in quella data. I fatti sono due: sono attivi gli aggiornamenti automatici oppure qualcuno è entrato a farti visita! Apri quei file sul tuo computer, in tutta sicurezza, e vai alla ricerca di codici strani/malevoli/che non ti convincono.
- Form di pagamenti estranei: stai visitando una pagina a caso ed esce fuori una sorta di popup o finestrella che sembra essere inclusa nel frame del tuo sito. Dentro ci trovi il classico form di pagamento con carte di credito. Aggiornando la pagina, il form scompare magicamente e potresti pensare che sia stata solo una casualità. Ma non lo è. Questi magici popup appaiono e scompaiono senza una logica, in pagine non definite. Fai un check dei file e, questa volta, anche del database. Anche in questo caso vai a caccia di codice malevolo o di injection.
- Sito bloccato dall’antivirus: se il tuo antivirus blocca la navigazione sul tuo sito, potrebbe essere indicativo di un problema di sicurezza come un malware o un server IP inserito in una blacklist. Investigare sul motivo del blocco è importante, poiché i tuoi utenti potrebbero trovarsi nella stessa situazione e ritrovarsi il sito bloccato dall’antivirus. My 2 cents.
- SERP con URL strani: cercando il tuo sito su Google trovi con una marea di pagine con titoli e URL strani, zozzi, riconducibili ai settori gambling e affini. Questo è un chiaro segnale che il tuo sito è stato bucato per bene. È il caso di ripristinare tramite backup.
Dove trovare i malware e cosa controllare?
Ci sono diversi luoghi dove potresti trovare codice malevolo, file alterati o compromessi. Nella seguente lista ti indicherò cosa e dove controllare per assicurarti che il sito sia sicuro e privo di virus e malware.
- Database: se un form del tuo sito è collegato al database ed è stato fatto con i piedi, potrebbero aver fatto quello che tecnicamente si chiama SQL injection (wiki). In pratica hanno iniettato delle stringhe di codice dentro le tabelle del tuo DB. E quindi non ti resta che scaricare il DB in formato .sql sul tuo pc e fare un check rigoroso. Se il DB è troppo grande, esporta le tabelle in piccoli gruppetti, altrimenti il tuo computer andrà in crash. Alcune volte anche plugin come Wordfence ti segnalano delle falle, altre volte invece no.
- File di immagini: non è strano, e nemmeno così raro, ritrovarsi con file compromessi in formato jpeg, png, gif e compagnia bella. Quando periodicamente fai il backup manuale del tuo sito e scarichi una copia sul tuo pc, fai un check con l’antivirus, magari trovi qualcosa.
- File WordPress: puoi trovare il codice malevole in qualunque file del core di WP, plugin e tema, ma ci sono alcuni file specifici e ricorrenti dove controllare in primis: wp-config.php, .htaccess, index.php
- File JavaScript e PHP: documenti in formato .js e .php sono la sede principale di codici malevoli.
Come mantenere un sito sicuro
In un altro articolo ti ho parlato di come mettere in sicurezza WordPress, adesso invece spendo due parole per dirti come mantenere il tuo blog, sito, ecommerce lontano da attacchi hacker.
- Fai un controllo di sicurezza periodico, anche manualmente. Devi sapere che non tutti i plugin e tools sono in grado di trovare falle e codici malevoli. In questo caso, il nostro caro olio di gomito risulta sempre utile.
- Non fidarti mai esclusivamente dei plugin WordPress installati. In alcuni casi, un hacker può accedere a WordPress e disinstallare i plugin interessati o tutti quelli presenti. Nel primo scenario, potresti non accorgertene fino a quando provi ad accedere e le credenziali non vengono più riconosciute. Oops!
- Fai un check periodico alla ricerca di eventuali anomalie come nuovi utenti iscritti, nuovi plugin attivi, plugin disattivati o disinstallati, file con date di aggiornamento che non coincidono con i tuoi movimenti.
- Mantieni aggiornata la tua installazione WordPress, i plugin e il tema. Inoltre, butta via plugin obsoleti, che non vengono più aggiornati dai proprietari da diversi mesi/anni.
- Non installare robe strane o gratuite quando invece sono a pagamento, leggasi non usare temi nulled o plugin scaricati da P2P.
- Anche l’hosting fa la sua parte. Se il tuo sito viene continuamente bucato, forse forse l’hosting ha delle falle che non è in grado di contenere. Scegli sempre hosting affidabili, sebbene abbiano un costo più elevato. Ne vale della sicurezza del tuo sito e della tua reputazione.
Cosa fare se il sito viene compromesso?
Hai due strade:
- Ripristini il backup completo (ne hai uno vero?)
- Oppure vai a fixare tutte le falle e ripulire i file dal codice malevolo
Quale strada scegliere per mettere in sicurezza il sito dopo che è stato violato?
Dipende dal caso, da quanto è grave, da quanti malware e stringhe di codice malevole hai trovato, se sono stati alterati dati (modificati, cancellati), e da quanto sei esperto. La strada più sicura potrebbe essere il ripristino del backup più recente (controlla prima che sia pulito) di files e database.