Negli ultimi anni il numero di siti web su Internet è praticamente esploso. Questo anche grazie alla disponibilità di strumenti che non richiedono alcuna conoscenza tecnica e hanno prezzi sempre più bassi. Con i sistemi di gestione dei contenuti («content management systems», CMS) si può creare e mettere online un sito web con un paio di clic. Attualmente sono dozzine i CMS utilizzati sia da utenti privati che dalle autorità e delle imprese.
La crescente diffusione di siti web risveglia anche l’interesse dei cibercriminali: l’energia e le risorse investite nella ricerca di vulnerabilità sono direttamente proporzionali alla diffusione di malware e al numero di possibili bersagli. I CMS non sono gli unici ad avere delle potenziali vulnerabilità, perché nessun software è sicuro al cento per cento. Inoltre, gli sviluppatori di software implementano sempre nuove funzionalità. Ogni riga supplementare di codice non si limita ad aggiungere nuove funzionalità al software, ma ne accresce la complessità e quindi anche il rischio che contenga delle lacune di sicurezza.
Gli attacchi ai CMS possono essere ridotti drasticamente installando patch con importanti aggiornamenti di sicurezza. Esiste inoltre tutta una serie di ulteriori misure che controbuiscono a rafforzare la sicurezza dei CMS.
Installare patch a brevi intervalli di tempo
Un aggiornamento software dev’essere eseguito non appena disponibile. Molti produttori di software offrono la possibilità di automatizzare gli aggiornamenti. Se possibile, attivate questa funzione, così non dovrete pensare a installare gli aggiornamenti disponibili.
Autenticazione a due fattori
Oltre all’autenticazione ordinaria (nome utente e password), per l’accesso all’interfaccia di amministrazione conviene introdurre un’autenticazione a due fattori.
La password «usa e getta» (o «one-time password», OTP) può essere generata ad esempio con Google Authenticator.
Un’applicazione istallata sullo smartphone genererà una nuova OTP ogni 60 secondi. Si può istallare Google Authenticator sul server web (CMS) con un plug-in specifico già disponibile in diversi CMS, come Wordpress o Typo3.
Limitare gli accessi di amministratore a determinati indirizzi IP
Questo tipo di limitazione può basarsi su indirizzi IP, intervalli di indirizzi IP o sulla geolocalizzazione di un indirizzo IP. Esistono già dei plug-in specifici per diversi CMS.
Limitare gli accessi di amministratore mediante file .htaccess sul server web Apache
Questa misura permette non solo di limitare l’accesso a un intervallo di indirizzi IP, ma anche di aggiungere un’autenticazione supplementare (nome utilizzatore e password).
Garantire la sicurezza del computer del webmaster
Spesso i siti web e i CMS vengono danneggiati dal furto dei dati di accesso FTP. Questo avviene generalmente quando i criminali installano un trojan sul computer del webmaster. È quindi compito di quest’ultimo di garantire la sicurezza del proprio computer e utilizzare un programma antivirus aggiornato. Si consiglia inoltre, quando possibile, di utilizzare una comunicazione FTP criptata (sFTP).
Firewall per le applicazioni web
I «web application firewall» (WAF) permettono di bloccare gli attacchi provenienti dal web prima che colpiscano l’applicazione presa di mira. La soluzione WAF open source più conosciuta è ModSecurity.
Individuare tempestivamente le lacune di sicurezza
Lo scopo è di individuare le potenziali lacune di sicurezza prima dei criminali. Anche in questo caso, sul mercato sono disponibili diverse soluzioni, gratuite o a pagamento