Sicurezza del sito: cosa serve davvero a un'azienda
"Chi vuoi che attacchi il mio sito? Non ho niente di importante." È la frase che sentiamo più spesso quando parliamo di sicurezza con chi gestisce un'attività. Ed è proprio l'idea sbagliata da cui partono quasi tutti i problemi.
La verità è che la maggior parte degli attacchi a un sito non sceglie le vittime. Non c'è una persona che ha deciso di prendersela con te. Ci sono programmi automatici, i cosiddetti bot, che scandagliano internet ventiquattro ore su ventiquattro cercando siti con una porta lasciata aperta. Un sito nuovo viene trovato e testato nel giro di ore, non di mesi. La domanda giusta non è "perché dovrebbero attaccare me", ma "il mio sito regge la sonda di un bot qualunque?".
Vediamo, senza allarmismi e senza tecnicismi inutili, cosa significa davvero avere un sito sicuro.
Cosa cerca chi attacca (e perché spesso non è quello che pensi)
Raramente l'obiettivo è "rubarti i segreti". Molto più spesso un sito compromesso serve come mezzo per fare altro:
- Inviare spam o ospitare pagine truffa a tua insaputa, sfruttando la reputazione del tuo dominio.
- Minare la tua credibilità: una vetrina che mostra un avviso "sito non sicuro" o una schermata di errore allontana i clienti in un secondo.
- Mettere le mani sui dati dei tuoi clienti: indirizzi, email, telefoni, a volte molto di più. Sono dati che, una volta usciti, non rientrano.
- Chiederti un riscatto: bloccare il sito o i dati e farti pagare per riaverli.
Il punto è che il danno quasi mai è solo tecnico. È commerciale e di fiducia. Recuperare un sito compromesso costa tempo, ma recuperare la fiducia di un cliente che ha visto la propria email finire dove non doveva costa molto di più.
HTTPS non è più un optional
Il lucchetto accanto all'indirizzo del sito non è un dettaglio estetico. Indica che la connessione tra il browser del tuo cliente e il tuo sito è cifrata: quello che viene scritto in un form, una password o un numero di telefono, non viaggia in chiaro dove qualcuno potrebbe leggerlo.
Oggi un sito senza HTTPS viene segnalato come "non sicuro" dai browser, viene penalizzato nei risultati di ricerca e, semplicemente, fa una pessima impressione. È il minimo sindacale, e va dato per scontato in ogni progetto, non aggiunto in un secondo momento. La parte importante, però, è che il certificato sia valido e si rinnovi da solo: un certificato scaduto trasforma all'improvviso il tuo sito in una schermata rossa di avviso, di solito proprio quando non te ne accorgi.
Le tre falle più comuni (e quasi sempre banali)
Nella stragrande maggioranza dei casi non serve un attacco sofisticato. Bastano tre disattenzioni molto diffuse.
1. Software non aggiornato. Ogni sito si appoggia su componenti software, e quei componenti ricevono aggiornamenti anche per chiudere falle scoperte nel tempo. Un sito lasciato fermo per due anni è un sito con due anni di falle note, già documentate, che i bot conoscono a memoria. La maggior parte delle intrusioni sfrutta proprio buchi vecchi e già risolti dagli aggiornamenti, in siti dove nessuno li ha mai applicati.
2. Accessi deboli. Una password riutilizzata, una password ovvia, un pannello di amministrazione raggiungibile da chiunque senza una seconda verifica. L'autenticazione a due fattori, quella che chiede un codice in più oltre alla password, taglia fuori da sola la quasi totalità dei tentativi automatici. È una delle protezioni più efficaci in assoluto, e una delle più trascurate.
3. Form senza protezione. Il form di contatto è la porta che apri di proposito al pubblico, e per questo è uno dei punti più sondati. Senza qualche difesa viene riempito di spam, usato per inviare messaggi a tua firma o per provare a infilare dati malevoli nel sito. Servono filtri anti-bot, limiti sul numero di invii e una validazione seria di quello che entra.
Nessuna di queste è fantascienza. Sono igiene di base. Il problema è che "di base" non significa "automatica": qualcuno deve occuparsene.
I dati dei clienti sono una responsabilità, non solo un asset
Nel momento in cui un sito raccoglie anche solo un indirizzo email, stai custodendo dati di altre persone. Questo comporta due cose pratiche.
La prima è raccogliere solo ciò che serve davvero. Ogni dato che non chiedi è un dato che non puoi perdere. La seconda è proteggere quello che conservi: dati custoditi in modo cifrato, accessi limitati a chi ne ha bisogno, nessuna informazione sensibile lasciata in posti dove non dovrebbe stare (un file pubblico, un log, una pagina dimenticata).
C'è anche un risvolto normativo, il GDPR, ma anche mettendo da parte la legge il ragionamento regge da solo: i dati dei tuoi clienti sono la cosa più delicata che ti affidano. Trattarli con cura è parte del servizio, non un costo accessorio.
Il backup è il paracadute che nessuno controlla finché non serve
Un sito può rompersi per mille motivi che non c'entrano con un attacco: un aggiornamento andato storto, un errore umano, un guasto del server. La differenza tra un fastidio di un'ora e un disastro di giorni è una sola: avere un backup recente e sapere che funziona.
L'errore classico non è non fare i backup, è farli e non averli mai provati. Un backup che non sei in grado di ripristinare è un backup che non esiste. La regola sensata è semplice: copie automatiche e regolari, conservate in un posto separato dal sito stesso, e una verifica periodica che il ripristino funzioni davvero.
La sicurezza è un processo, non un prodotto
L'idea più pericolosa è pensare alla sicurezza come a una cosa che "si fa una volta e poi è fatta". Non funziona così. Il software cambia, le tecniche di attacco cambiano, e un sito che era sicuro l'anno scorso può non esserlo più oggi senza che nessuno abbia toccato nulla.
Avere un sito davvero protetto significa tenere insieme alcune abitudini nel tempo: applicare gli aggiornamenti quando escono, configurare correttamente le intestazioni di sicurezza che istruiscono il browser su cosa permettere, tenere d'occhio i tentativi anomali, e avere un piano chiaro per quando qualcosa va storto. Non è un lavoro appariscente, ed è proprio questo il punto: quando è fatto bene, non te ne accorgi mai.
In pratica
Se gestisci un sito o una web app e non sai con certezza rispondere a domande come "il certificato si rinnova da solo?", "quando è stato fatto l'ultimo aggiornamento?" o "se domani il sito sparisse, in quanto tempo lo rimetto in piedi?", probabilmente vale la pena fare un controllo prima che lo faccia un bot al posto tuo.
Possiamo guardare insieme com'è messo il tuo sito oggi e dirti, senza giri di parole, dove sei coperto e dove no. Il preventivo è gratuito, e spesso le cose più importanti da sistemare sono anche le più semplici.