Sicurezza del tuo sito web realizzato con CMS

Eccoci qua con un’altro post sulla “sicurezza web“, in particolare parliamo di metodi e statistiche di hacking di un sito web fatto con CMS come WordPress.

Facciamo un piccolo passo indietro per fare una premessa, ad oggi sono poche le piccole e medie imprese che si fanno fare un sito da zero, from scratch; di fatto per motivi legati a tempi e costi di realizzo (ma diciamocelo anche di offerta!) si preverisce puntare su piattaforme già pronte, i CMS o Content Management System, come WordPress, Joomla, Drupal, Typo3… (e chi più ne ha più ne metta) per poi aggiungere un template grafico con qualche piccola implementazione custom, più una serie di plugins che si andranno ad installare in base alle proprie esigenze per far fronte ad una mancanza di funzionalità sul core. In media un sito semplice fatto in questo modo può “cubare” dai 3 ai 15 giorni di lavoro. Altro vantaggio nell’utilizzo di un CMS è che sono fatti con liguaggio di programmazione PHP ed è quindi molto facile reperire programmatori freelance e hosting web economici.

Le insidie ed i pericoli che stanno dietro alla realizzazione di un sito web con approccio basato al risparmio crea insicurezza per il tuo business. Si è proprio così, ti è mai capitato di svegliarti la mattina e di trovare il sito della tua attività “bucato” da qualche cracker o hacker? Beh a me si, e non è piacevole trovarsi dei links verso siti esterni, di pornografia e gambling, nascosti nella Home Page. Verrebbe da chiedersi il fanno queste cose e perchè proprio sul mio sito? La risposta è più semplice di quello che sembra, c’è sempre più competizione in ambito SEO e quando hai un posizionamento importante su Google alcuni tuoi competitor (i più smaliziati e senza scrupoli) ti fanno anche della negative seo allo scopo di farti prendere una penalizzazione bigG e scavalcarti nel posizionamento.

Di seguito un grafico che mostra una statistica aggiornata su come viene “bucato” un sito in WordPress :

hacked website stats
hacked website stats

Come si può notare dal grafico, più del 55% degli attacchi effettuati con successo ad un CMS in WordPress sono proprio sui plugins, ovvero quelle estensioni installate che rispondono all’esigenza di più funzionalità rispetto al core di WordPress. Al terzo posto, con meno del 10% troviamo attacchi al core, al quarto posto attacchi ai temi grafici con circa il 5% ed i restanti che riguardano più aspetti di sicurezza sull’infrastruttura utilizzata come brute force 17% e hosting 6%.

Guardando questi dati, la domanda sorge spontanea, come mai gli attacchi con successo si verificano maggiormente su plugins e temi rispetto al core? La risposta è semplice, sul core vengono effettuati rilasci continui dalla community che lo sviluppa, c’è un’aggiornamento continuo e costante. Tutta questa insicurrezza su plugins e temi è spiegata dal fatto che spesso queste “estensioni” sui CMS, quasi sempre gratuite, non sono ben realizzate e\o nel tempo non sono manutenute e diciamo anche esistono tool e veri e propri sistemi, nati con lo scopo di verificare ed aumentare la sicurezza, che effettuano una scansione completa partendo dal sito web alla ricerca di vulnerabilità su componenti non aggiornati… se utilizzati da male intenzionati diventa un problema.

Per concludere, ci tengo a precisare che non sono contro l’utilizzo di CMS per risparmiare (anzi!), ma cerchiamo di stare attenti a tutto quello che viene aggiunto in estensione al core.

Per approfondimenti con le motivazioni di attacchi infomatici puoi visitare anceh il sito.

Meglio HTTPS o HTTP, cosa ne pensa Google

L’HTTPS un fattore di ranking

Da sempre Google preferisce i siti attendibili e certificati, a metà del 2014 annuncia che l’https diventa un segnale di ranking e quindi fattore di posizionamento sui risultati di ricerca organici.

Cos’è l’HTTPS

Per farla semplice, l’HTTPS è la versione sicura dell’HTTP (Hypertext Transfer Protocol) che per trasportare dati in modalità sicura lavora congiuntamente con altri protocolli come SSL, TLS e OpenSSL.

E’ proprio il trasporto di dati sicuro che sta a cuore a Google che da sempre si prende cura di ciò che l’utente vede visivamente ma anche di avere un’ulteriore livello di sicurezza durante lo spostamento dei dati dal punto A al punto B.

Un po più in dettaglio, l’HTTPS fornisce tre layers di protezione:

  • crittografia durante lo scambio di dati
  • integrità dei dati che non possono essere modificati o danneggiati durante il trasferimento senza essere scoperti
  • autenticazione dimostra che gli utenti comunicano con il sito web desiderato

Vantaggi SEO sull’HTTPS

Su blog ufficiale Google ha annunciato che quando due URL dello stesso dominio sembrano avere lo stesso contenuto, e quindi sembrano essere la stessa pagina ma servita sia su protocollo https che protocollo http, sarà indicizzata e preferita la pagina esporta con l’url in HTTPS se vengono rispettate le seguenti condizioni  :

  • la pagina in https non contiene dipendenze insicure
  • la pagina in https non è bloccata dal robots.txt
  • la pagina in https non reindirizza gli utenti alla pagina in http
  • la pagina in https non ha un link rel=”canonical” alla pagina HTTP
  • la pagina in https non contiene il tag noindex
  • la pagina in https non ha links con url in http verso risorse esterne al sito
  • la sitemap elenca l’url https o non elenca la versione HTTP
  • il server dispone di un certificato TLS valido

Proprio su quest’ultimo punto bisogna prestare particolare attenzione perchè se si espone un sito in https con certificato non valido o scaduto si rischiano penalizzazioni da parte di Google.

In ottica SEO i test effettuati sull’HTTPS hanno evidenziato “risultati positivi” in termini di rilevanza e di posizionamento nei risultati di ricerca organici. Un punto di attenzione riguarda la velocità di fruizione delle pagine in HTTPS perchè durante la cifratura dei dati si ha un minimo di rallentamento.

Per concludere, Google che ha a cuore il proprio business, con questa azione riduce il rischio per i suoi utenti di navigare un sito web attraverso una connessione insicura vulnerabile ad attacchi di iniezione di contenuti.