Ogni sito realizzato con i CMS open-source più diffusi (WordPress, Joomla!, Drupal, TYPO3, etc.) se non correttamente gestito, può presentare innumerevoli problemi di sicurezza.
I progetti open source sono teoricamente più vulnerabili rispetto ai siti realizzati con applicativi personalizzati: tutto il codice dei CMS più diffusi è di dominio pubblico, tutti possiamo leggerlo, capirlo e, trovare delle falle di sicurezza. Se poi si aggiungono moduli, temi e plugin programmati male, le probabilità di intrusioni aumentano.
Una scarsa attenzione al tema sicurezza nella gestione di siti web può tramutarsi in veri e propri disastri soprattutto per tutti coloro che utilizzano il proprio sito a scopo commerciale. La prevenzione ad attacchi e furti di dati é fondamentale.
Gli attacchi effettuati dagli "hackers" che sfruttando le vulnerabilità del codice dei CMS possono permettere ai malfattori di avere il pieno accesso al vostro spazio web, che lo utilizzano per:
- inserire abusivamente materiali sul vs sito, es. sovrascrivendo la homepage (es. "Sito hackerato da Pincopalla")
- pubblicare script che effettuano altre attività illegali, che causano danni agli altri clienti allocati sullo stesso server
- inviare enormi flussi di email SPAM, che impongono al Provider di intervenire bloccando tempestivamente il sito
- pubblicare maleware (virus/trojan) per facilitarne la diffusione, causando il blocco del sito su Google
- pubblicare pagine di phishing
Keltawebagency grazie all' esperienza acquisita sul campo dal 1997 è in grado suggerire al cliente alcune misure utili per incrementare la sicurezza del sito web e proteggere il proprio business.
Consigli principali:
- utilizzare sempre i CMS negli ambienti nativi: Wordpress, Joomla! e Drupal funzionano al meglio su piattaforma Linux Se utilizzi un hosting Windows chiedi subito il cambio di piattaforma
- tenere costantemente aggiornato il CMS alla versione stabile più recente
- effettuare frequentemente il backup dei materiali e del database, o attivare un servizio di backup periodico (contattaci per una offerta)
- gestire con particolare prudenza e saggezza i permessi dei files e delle cartelle
- proteggere le risorse/directory più delicate con .htaccess (richiede spazio web Linux)
- tenersi sempre aggiornati sulle problematiche specifiche della sicurezza del proprio CMS
- proteggi al meglio il proprio computer da virus/trojan/maleware che possono sottrarre i tuoi dati di accesso
- scegli accuratamente i temi/plugin per il tuo CMS; spesso gli attacchi si concentrano proprio sui moduli aggiuntivi insicuri o difettosi dei sistemi di gestione dei contenuti
- utilizza password sicure: un account amministratore con elevati privilegi deve avere una password con almeno 8 caratteri includendo numeri e simboli speciali. Si consiglia di non utilizzare password puramente testuali o parole facilmente riscontrabili in un qualsiasi dizionario di lingua italiana; è ugualmente sconsigliato utilizzare date di nascita o informazioni facilmente reperibili in rete. Ecco un esempio di password complessa di 15 caratteri: !n9i!Oy”J@QrF^
- ove possibile (es. server dedicati, VPS, Cloud) utilizzare sempre configurazioni sicure del php.ini
- register_globals = Off
- magic_quotes_gpc = On
- allow_url_fopen = Off
- disable_functions = system, shell_exec, exec, phpinfo, proc_open
Informazioni utili sulla sicurezza dei siti realizzati con il CMS WordPress
- Hardening WordPress (fondamentale, in inglese) - http://codex.wordpress.org/Hardening_WordPress
- WordPress: 5 consigli per migliorarne la sicurezza - http://www.html.it/articoli/wordpress-5-consigli-per-migliorarne-la-sicurezza/
- Wordpress Security Whitepaper (italiano) - http://blogsecurity.net/projects/WordPress_Whitepaper_rev12_ita.pdf
- Guida alla sicurezza di WordPress - http://blog.joocode.com/guida-alla-sicurezza-di-wordpress/
- Sicurezza WordPress: alcuni preziosi consigli - http://www.wide.it/blogs/blog/uncategorized/sicurezza-wordpress-alcuni-preziosi-consigli/
Informazioni utili sulla sicurezza dei siti realizzati con il CMS Joomla!
- La sicurezza in Joomla! - http://www.joomla.it/articoli-della-community/3925-la-sicurezza-in-joomla.html
- La sicurezza del tuo sito web realizzato con Joomla è importantissima - http://www.joomla.it/notizie/569-la-sicurezza-del-tuo-sito-web-realizzato-con-joomla-e-importantissima.html
- Maggiore Sicurezza per siti Joomla!! - http://www.joomla.it/articoli-della-community/4139-maggiore-sicurezza-per-siti-joomla.html
- Using FilesMatch and Files in htaccess - http://www.askapache.com/htaccess/using-filesmatch-and-files-in-htaccess.html
- Aumentare la sicurezza di Joomla! - http://www.html.it/articoli/aumentare-la-sicurezza-di-joomla-1/
- Notizie aggiornate su Joomla! - https://plus.google.com/u/0/+Joomlait/posts