Come proteggere il tuo sito web da malware e hacker
Pubblicato: 2018-10-01La sicurezza del sito Web è fondamentale per ogni azienda o organizzazione. Il rischio di attacchi informatici non si limita ai siti di e-commerce o ai grandi siti Web aziendali. Anche un sito Web di piccole imprese può essere vittima di malware o hacker e perdere la sua buona reputazione.
Nel 2017, un totale di 516.380 piccole imprese in Australia hanno subito attacchi informatici. Per le aziende di medie dimensioni, il costo medio per il ripristino da una violazione della sicurezza è stato di 1,9 milioni di dollari. Questi numeri aumenteranno solo nei prossimi anni se le aziende non adotteranno misure serie per migliorare la sicurezza del loro sito web.
La sicurezza informatica coinvolge molti concetti tecnici complessi. Tuttavia, ci sono alcune semplici best practice che dovrebbero essere sufficienti per proteggere il tuo sito Web nella maggior parte dei casi.
Best practice per la sicurezza del sito web
1. Usa password complesse
Le password complesse sono la prima linea di difesa contro hacker o violazioni della sicurezza. Ogni password relativa al tuo sito web deve avere le seguenti proprietà:
- Una password deve essere lunga almeno 10 caratteri
- Non dovrebbe contenere parole o nomi completi
- La tua password dovrebbe avere un mix di lettere maiuscole e minuscole, numeri e simboli
- Deve essere diversa dalle altre password che stai già utilizzando
Potresti prendere in considerazione l'utilizzo di un gestore di password come LastPass per creare e archiviare le password aziendali. Gli hacker utilizzano spesso tecniche di forza bruta per generare miliardi di password al secondo. Quindi, più complessa è la tua password, meglio è.
Abilita l'autenticazione a due fattori per tutti i tuoi account, se possibile. L'autenticazione a due fattori significa che ci saranno due controlli prima che tu possa accedere. Ad esempio, dopo aver inserito la password, un PIN verrà inviato al tuo cellulare. Devi inserire il pin successivo per accedere.
2. Aggiorna regolarmente il tuo software
È necessario mantenere aggiornato tutto il software. Gli aggiornamenti software non riguardano solo l'aggiunta di nuove funzionalità; nella maggior parte dei casi, questi aggiornamenti risolvono le vulnerabilità della sicurezza. Se non aggiorni regolarmente il tuo software o utilizzi versioni non supportate, sarai un facile bersaglio per gli hacker.
Se stai utilizzando un CMS per il tuo sito web, assicurati di avere l'ultima versione di quel CMS. Verifica di utilizzare le ultime versioni dei tuoi plugin. Non utilizzare plug-in vecchi o oscuri, anche se li trovi utili.
3. Eseguire regolarmente il backup dei dati
Non importa quanto sia sicuro il tuo sito web, c'è sempre qualche possibilità di perdere dati importanti o l'accesso al sito. Per questo motivo, dovresti sempre mantenere una copia di backup del tuo sito.
La maggior parte dei fornitori di servizi di hosting esegue automaticamente il backup dei siti su server remoti. Tuttavia, la procedura migliore è mantenere un backup locale aggiuntivo. Esistono strumenti e plug-in per creare un backup del contenuto e del database del tuo sito e, se hai bisogno di aiuto per quanto riguarda il backup del sito, dovresti contattare la tua società di hosting o la tua agenzia di web design.
4. Implementa SSL
Quando il tuo sito ha un certificato SSL, tutte le informazioni che un utente inserisce nel tuo sito va al server attraverso un canale protetto. Ciò significa che un intruso o un hacker non può mettersi in mezzo e intercettare le informazioni. In altre parole, SSL protegge gli utenti del tuo sito web dagli attacchi "man in the middle".
SSL è diventato uno standard per tutti i tipi di siti web. Anche se non vendi qualcosa online o non hai alcuna opzione di accesso sul tuo sito, dovresti prendere seriamente in considerazione l'installazione di SSL per rendere il tuo sito più affidabile.
Puoi ottenere un certificato SSL gratuitamente. Ma hai bisogno di un po' di esperienza tecnica per farlo. Vale anche la pena notare che i certificati SSL gratuiti hanno alcune limitazioni.
5. Scegli un host sicuro
La scelta di una società di hosting rispettabile per il tuo sito Web è molto importante. Il tuo host deve essere consapevole delle minacce informatiche e dedicato a proteggere il tuo sito dalla loro parte.
In caso di violazione della sicurezza del sito Web, diventa essenziale comunicare con l'host per ripristinare rapidamente il sito e risolvere problemi tecnici. Prima di scegliere il tuo host, assicurati che ti fornisca supporto continuo. Devono avere un eccellente servizio clienti e tempi di risposta rapidi.
Come rispondere a un incidente di sicurezza del sito web
Se la sicurezza del tuo sito web è compromessa, hai due responsabilità;
1. Ridurre al minimo la tua perdita finanziaria e proteggere la reputazione della tua azienda
2. Assicurati che le informazioni dei tuoi clienti siano al sicuro
Sarà utile se disponi già di un piano di gestione della risposta agli incidenti di sicurezza del sito Web in atto. Un piano come questo dovrebbe avere cinque parti.
(A) Preparazione
Sviluppa una politica di sicurezza del sito Web che tutti i tuoi dipendenti devono seguire. Identifica le informazioni sensibili che la tua azienda utilizza o memorizza. Quindi, stabilisci ruoli e responsabilità riguardo a cosa fare se si verifica un incidente.
(B) Rilevamento
Ecco alcuni segnali comuni che indicano un incidente di sicurezza;
1. Non puoi accedere al tuo sito web
2. Le password relative al tuo sito non funzionano
3. I dati critici sono mancanti o alterati nel database
4. Il computer continua a bloccarsi e la memoria esaurita
5. Le e-mail di spam vengono inviate dal tuo account aziendale
(C) Valutazione
È qui che dovresti trovare la causa dell'incidente o almeno determinare in che modo ha influenzato il tuo sito Web, i tuoi dati e la tua attività.
(D) Risposta
Isolare i sistemi interessati. Scollegare la parte interessata dalla rete, se possibile. Ripara e ripristina il tuo sito web. Se necessario, chiedere l'aiuto di esperti di sicurezza professionisti.
(E) Revisione
Valuta quale fosse il motivo del problema di sicurezza. È stato un attacco mirato o un incidente generale? Identifica le parti del tuo sistema o processo che devono essere migliorate per prevenire eventi simili in futuro.
Ricorda che è sempre meglio prevenire una violazione della sicurezza piuttosto che dover rispondere a una. Una chiara politica di sicurezza del sito web aiuterà la tua azienda a prevenire e rispondere efficacemente alle minacce informatiche.
Creazione di una politica di sicurezza del sito web
Una politica di sicurezza del sito Web dovrebbe coprire quanto segue;
(A) Requisiti per la password
Specifica la lunghezza minima delle password da utilizzare nei tuoi account aziendali. Imposta un periodo di tempo particolare dopo il quale qualsiasi password deve essere aggiornata.
(B) Politica e-mail
Indica in quali casi i tuoi dipendenti possono condividere la loro e-mail di lavoro. Imposta i criteri per le e-mail di spam e truffa. Rendi obbligatoria la scansione degli allegati prima dell'apertura.
(C) Criterio dispositivo rimovibile
Definisci in quali casi è possibile collegare un dispositivo rimovibile a un computer dell'ufficio e copiare file dentro o fuori. Rendi obbligatoria la scansione di un dispositivo rimovibile prima di collegarlo a un computer, soprattutto se ha accesso al back-end del tuo sito web.
(D) Trattamento dei dati sensibili
Determina quali persone specifiche avranno accesso al back-end e al database del tuo sito web. Dovresti anche stare molto attento con tutti i dati dei clienti che memorizzi e chi può accedervi.
(E) Dispositivi di manipolazione
Specifica come segnalare un dispositivo smarrito. Impostare una routine che verrà seguita per aggiornare i dispositivi.
Conclusione
Purtroppo, nonostante seguano le migliori pratiche di sicurezza, il tuo sito Web potrebbe essere vittima di attacchi informatici. Gli hacker e i creatori di malware prendono di mira in modo aggressivo i difetti di sicurezza nelle piattaforme Web e nelle applicazioni esistenti per trovare nuovi modi di attaccare siti e computer. È quasi impossibile prevenire tutti i tipi di minacce informatiche con il 100% di successo.
Per questo motivo, rimanere in contatto con un fornitore di servizi di sicurezza web è essenziale per proteggere il tuo sito web. I proprietari di PMI potrebbero trovare più conveniente lavorare con un'agenzia di web design incentrata sulla sicurezza fin dall'inizio.
Se desideri progettare un nuovo sito Web protetto o riprogettare uno esistente con un'attenzione particolare alla sicurezza, il nostro team è qui per aiutarti. Aderiamo ai più recenti principi di sicurezza, aggiorniamo regolarmente le nostre piattaforme e forniamo supporto a lungo termine ai nostri clienti. Contattaci oggi per ottenere un preventivo gratuito.
Nota:
Il Dipartimento di Industria, Innovazione e Scienza dispone di risorse aggiuntive su diversi aspetti della gestione del rischio aziendale (compresa la sicurezza informatica). Abbiamo usato le loro linee guida come riferimento in questo articolo.