Nelle scorse settimane Google è tornata a parlare di sicurezza online dalle pagine del blog Google Webmaster. Non è naturalmente la prima volta che Mouintain View affronta la questione: la campagna #NoHacked viene infatti periodicamente riproposta con contenuti inediti e/o aggiornati. In questo primo appuntamento vediamo alcune norme generali di sicurezza che sarebbe opportuno seguire.
1 – Incrementare la sicurezza del vostro account
La password che utilizziamo per accedere a determinati servizi e/o account deve essere abbastanza complessa da rendere arduo il lavoro dei malintenzionati. A questo proposito è bene utilizzare lettere maiuscole e minuscole, caratteri speciali ed in generale password con un elevato numero di caratteri. Evitate date di nascita e combinazioni prevedibili come “123456” e via dicendo –
online sono disponibili numerosi strumenti per testare l’efficacia delle vostre credenziali, evitate naturalmente di inserire la password attualmente in uso ed optate invece per una simile.
Affidarsi a password differenti è un altro metodo per incrementare la sicurezza degli account: nel caso che una combinazione venisse scoperta, gli hacker non avrebbero comunque accesso completo a tutti i vostri servizi. Il sistema di autenticazione in due passaggi (es: password + pin ricevuto direttamente sul cellulare) è un altro prezioso alleato su cui contare.
2 – Aggiornare costantemente il software del sito
I software non aggiornati sono uno dei canali di accesso preferiti dagli hacker per attaccare i siti online. Se si utilizza uno dei web server più diffusi (Apache, IIS, Nginx) è bene controllare sempre che il nostro portale utilizzi la versione più aggiornata disponibile. Se si utilizzano CMS (WordPress, Joomla, Drupal etc.) bisogna prestare attenzione non solo alla versione software ma anche ai plugin. Questi ultimi sono un altro canale privilegiato dagli hacker. Iscrivetevi alle newsletter di sicurezza dei software in utilizzo e cercate di limitare il numero di estensioni sul vostro sito.
3 – Informarsi sulle policy di sicurezza del proprio provider
Prima di affidarvi ad un qualsiasi provider è bene informarsi sulle policy di sicurezza offerte al cliente (quale tipologia di supporto è prevista? E’ possibile affidarsi al provider per ripristinare un sito compromesso da un attacco?). Se si è amministratori di un server o si utilizza un vps è consigliato seguire le disposizioni elencate nel punto precendente. Nel caso non si abbia il dovuto tempo o la necessaria esperienza è anche il caso di valutare l’affidamento della mansione al vostro provider (assistenza full managed).
4 – Utilizzare gli strumenti Google come Search Console
Search Console (nuovo nome di Google Webmaster) è un altro utile strumento per restare sempre aggiornati sullo stato di sicurezza del proprio sito. E’ possibile ad esempio attivare delle notifiche speciali nel caso il motore di ricerca restituisca risultati anomali per alcuni contenuti presenti sul vostro sito.
E per ora è tutto, appuntamento al secondo post che sarà dedicato ai metodi per identificare una frequente tipologia di attacco denominata injected gibberish url hack.