Come proteggere il tuo sito web da malware e hacker

La sicurezza del sito web è fondamentale per ogni azienda o organizzazione. Il rischio di attacchi informatici non è limitato ai siti di e-commerce o ai grandi siti web aziendali. Anche un sito Web di piccole imprese può essere vittima di malware o hacker e perdere la sua buona reputazione.

Nel 2017, un totale di 516.380 piccole imprese in Australia ha subito attacchi informatici. Per le aziende di medie dimensioni, il costo medio di ripristino da una violazione della sicurezza è stato di 1,9 milioni di dollari. Questi numeri aumenteranno solo nei prossimi anni se le aziende non adotteranno misure serie per migliorare la sicurezza del loro sito web.

La sicurezza informatica coinvolge molti concetti tecnici complessi. Tuttavia, ci sono alcune semplici best practice che dovrebbero essere sufficienti per proteggere il tuo sito web nella maggior parte dei casi.

Best practice per la sicurezza del sito web

1. Usa password complesse

Le password complesse sono la prima linea di difesa contro hacker o violazioni della sicurezza. Ogni password relativa al tuo sito web deve avere le seguenti proprietà:

• Una password deve essere lunga almeno 10 caratteri
• Non dovrebbe contenere parole o nomi completi
• La tua password dovrebbe avere un mix di lettere maiuscole e minuscole, numeri e simboli
• Deve essere diversa dalle altre password che stai già utilizzando

Potresti prendere in considerazione l'utilizzo di un gestore di password come LastPass per creare e archiviare le tue password aziendali. Gli hacker utilizzano spesso tecniche di forza bruta per generare miliardi di password al secondo. Quindi, più complessa è la tua password, meglio è.

Abilita l'autenticazione a due fattori per tutti i tuoi account, se possibile. L'autenticazione a due fattori significa che ci saranno due controlli prima di poter accedere. Ad esempio, dopo aver inserito la password, verrà inviato un pin al tuo cellulare. Devi inserire il PIN successivo per accedere.

2. Aggiorna regolarmente il tuo software

È necessario mantenere aggiornato tutto il software. Gli aggiornamenti software non riguardano solo l'aggiunta di nuove funzionalità; nella maggior parte dei casi, questi aggiornamenti risolvono le vulnerabilità della sicurezza. Se non aggiorni regolarmente il tuo software o utilizzi versioni non supportate, diventerai un facile bersaglio per gli hacker.

Se stai utilizzando un CMS per il tuo sito web, assicurati di avere l'ultima versione di quel CMS. Verifica di utilizzare le versioni più recenti dei tuoi plugin. Non utilizzare plugin vecchi o oscuri, anche se li trovi utili.

3. Effettua regolarmente il backup dei tuoi dati

Non importa quanto sia sicuro il tuo sito web, c'è sempre la possibilità di perdere dati importanti o l'accesso al sito. Per questo motivo, dovresti sempre mantenere una copia di backup del tuo sito.

La maggior parte dei provider di servizi di hosting esegue il backup automatico dei siti su server remoti. Tuttavia, la migliore pratica è mantenere un backup locale aggiuntivo. Esistono strumenti e plug-in per creare un backup del contenuto e del database del tuo sito e, se hai bisogno di aiuto per quanto riguarda il backup del sito, dovresti contattare la tua società di hosting o la tua agenzia di web design.

4. Implementa SSL

Quando il tuo sito ha un certificato SSL, tutte le informazioni che un utente inserisce nel tuo sito vanno al server attraverso un canale protetto. Ciò significa che un intruso o un hacker non possono mettersi in mezzo e intercettare le informazioni. In altre parole, SSL protegge gli utenti del tuo sito web dagli attacchi "man in the middle".

SSL è diventato lo standard per tutti i tipi di siti web. Anche se non vendi qualcosa online o non hai alcuna opzione di accesso sul tuo sito, dovresti seriamente considerare l'installazione di SSL per rendere il tuo sito più affidabile.

Puoi ottenere un certificato SSL gratuitamente. Ma hai bisogno di un po' di know-how tecnico per farlo. Vale anche la pena notare che i certificati SSL gratuiti hanno alcune limitazioni.

5. Scegli un host sicuro

La scelta di una società di hosting affidabile per il tuo sito Web è molto importante. Il tuo host deve essere consapevole delle minacce informatiche e dedicato a proteggere il tuo sito dalla loro parte.

In caso di violazione della sicurezza del sito Web, diventa essenziale comunicare con l'host per ripristinare rapidamente il sito e risolvere problemi tecnici. Prima di scegliere il tuo host, assicurati che ti fornisca un supporto continuo. Devono avere un eccellente servizio clienti e tempi di risposta rapidi.

Come rispondere a un incidente di sicurezza del sito web

Se la sicurezza del tuo sito web è compromessa, hai due responsabilità;

1. Ridurre al minimo le perdite finanziarie e proteggere la reputazione della tua azienda

2. Assicurati che le informazioni dei tuoi clienti siano al sicuro

Sarà utile se disponi già di un piano di gestione della risposta agli incidenti di sicurezza del sito Web in atto. Un piano come questo dovrebbe avere cinque parti.

(A) Preparazione

Sviluppa una politica di sicurezza del sito web che tutti i tuoi dipendenti devono seguire. Identifica le informazioni sensibili che la tua azienda utilizza o archivia. Quindi, imposta ruoli e responsabilità riguardo a cosa fare se si verifica un incidente.

(B) Rilevamento

Ecco alcuni segnali comuni che indicano un incidente di sicurezza;

1. Non puoi accedere al tuo sito web

2. Le password relative al tuo sito non funzionano

3. I dati critici sono mancanti o alterati nel database

4. Il tuo computer continua a bloccarsi ed esaurisce la memoria

5. Le email di spam vengono inviate dal tuo account aziendale

(C) Valutazione

È qui che dovresti trovare la causa dell'incidente o almeno determinare in che modo ha influenzato il tuo sito Web, i tuoi dati e la tua attività.

(D) Risposta

Isolare i sistemi interessati. Se possibile, scollega la parte interessata dalla rete. Ripara e ripristina il tuo sito web. Se necessario, cerca l'aiuto di esperti di sicurezza professionisti.

(E) Recensione

Valutare il motivo del problema di sicurezza. È stato un attacco mirato o un incidente generale? Identifica le parti del tuo sistema o processo che devono essere migliorate per prevenire eventi simili in futuro.

Ricorda che è sempre meglio prevenire una violazione della sicurezza piuttosto che dover rispondere a una violazione. Una chiara politica di sicurezza del sito web aiuterà la tua azienda a prevenire e rispondere efficacemente alle minacce informatiche.

Creazione di una politica di sicurezza del sito web

Una politica di sicurezza del sito Web dovrebbe coprire quanto segue;

(A) Requisiti per la password

Specifica la lunghezza minima delle password da utilizzare nei tuoi account aziendali. Imposta un intervallo di tempo particolare dopo il quale qualsiasi password deve essere aggiornata.

(B) Politica di posta elettronica

Indica in quali casi i tuoi dipendenti possono condividere la loro e-mail di lavoro. Imposta i criteri per le e-mail di spam e truffe. Rendi obbligatorio scansionare gli allegati prima dell'apertura.

(C) Criterio dispositivo rimovibile

Definire in quali casi è possibile collegare un dispositivo rimovibile a un computer dell'ufficio e copiare i file dentro o fuori. Rendi obbligatorio scansionare un dispositivo rimovibile prima di collegarlo a un computer, soprattutto se ha accesso al backend del tuo sito web.

(D) Trattamento dei dati sensibili

Determina quali persone specifiche avranno accesso al backend e al database del tuo sito web. Dovresti anche prestare molta attenzione ai dati dei clienti che memorizzi e a chi può accedervi.

(E) Dispositivi di manipolazione

Specifica come segnalare un dispositivo smarrito. Imposta una routine che verrà seguita per aggiornare i dispositivi.

Conclusione

Purtroppo, nonostante le migliori pratiche di sicurezza, il tuo sito Web potrebbe essere vittima di attacchi informatici. Gli hacker e i creatori di malware prendono di mira in modo aggressivo i difetti di sicurezza nelle piattaforme Web e nelle applicazioni esistenti per trovare nuovi modi di attaccare siti e computer. È quasi impossibile prevenire tutti i tipi di minacce informatiche con il 100% di successo.

Per questo motivo, restare in contatto con un fornitore di servizi di sicurezza web è essenziale per proteggere il tuo sito web. I proprietari di PMI potrebbero trovare più conveniente lavorare con un'agenzia di web design incentrata sulla sicurezza fin dall'inizio.

Se desideri progettare un nuovo sito Web protetto o ridisegnarne uno esistente con particolare attenzione alla sicurezza, il nostro team è qui per aiutarti. Aderiamo ai più recenti principi di sicurezza, aggiorniamo regolarmente le nostre piattaforme e forniamo supporto a lungo termine ai nostri clienti. Contattaci oggi per ottenere un preventivo gratuito.

Nota:
Il Dipartimento di Industria, Innovazione e Scienza dispone di risorse aggiuntive su diversi aspetti della gestione del rischio aziendale (compresa la sicurezza informatica). Abbiamo usato le loro linee guida come riferimento in questo articolo.