Negli ultimi anni, i sistemi di Content Management come WordPress, Joomla, Drupal o Typo3 hanno contribuito in misura determinante alla crescita esplosiva nel numero di siti Web. In base alle cifre attuali di Netcraft, nel novembre del 2015 c’erano quasi 903 milioni di siti Web e il numero continua a salire rapidamente.

I CMS moderni consentono di gestire comodamente i siti Web e di pubblicare nuovi contenuti. Questa estrema comodità comporta purtroppo il fatto di dimenticarsi sempre più frequentemente che anche i software, proprio come le auto, necessitano di regolare manutenzione. Questo lo dimostrano anche le cifre fornite alla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) nell’ultimo rapporto semestrale.

Terribile: oltre il 70% di tutte le installazioni svizzere di WordPress non sono protette
Con l’esempio delle due lacune di sicurezza di WordPress (CVE-2015-3429 e CVE-2015-3440) dello scorso anno, MELANI illustra infatti quanti pochi gestori di siti Web svizzeri investano nella sicurezza dei propri siti. Sebbene per entrambe le lacune già il giorno dopo era disponibile un aggiornamento di sicurezza, in quasi il 75% di tutte le installazioni WordPress in Svizzera, l’aggiornamento di sicurezza non risultava installato anche a due settimane di distanza.

MELANIE vulnerable websites

Non importa? E invece sì! Le conseguenze per il titolare del sito Web possono essere disastrose!
Poiché i siti Web non sufficientemente protetti con appositi tool possono essere trovati in modo automatico, per i criminali non è complicato manipolare tali siti Web con malware o virus. Ma le conseguenze possono essere ancora più gravi: se il malintenzionato ottiene accesso ai dati attraverso la lacuna di sicurezza, il gestore del sito Web potrebbe addirittura essere ricattato. Secondo MELANI ciò è già successo, soprattutto tra le PMI, più volte nel primo semestre del 2015.

Se il sito Web viene attaccato, ciò ha ulteriori conseguenze spiacevoli. Per evitare altri danni, ad es. ai visitatori del sito, siamo costretti in qualità di provider di Web hosting a bloccare i siti Web interessati. Se il sito Web non funziona con un dominio .ch, sussiste il reale pericolo che il registry svizzero blocchi il nome del dominio. Così, non solo il sito diverrebbe irraggiungibile, ma anche la ricezione e l’invio di e-mail sarebbe impossibile.

I motivi per cui i CMS o in generale le applicazioni Web non vengono regolarmente curati e aggiornati sono soltanto ipotizzabili. Una cosa è sicura: molti utenti non sanno che anche i software hanno bisogno di manutenzione. Un grosso problema è inoltre rappresentato da siti Web creati da un’agenzia per un cliente. Una volta concluso il progetto, le pagine vengono consegnate al cliente “chiavi in mano”, CMS incluso. Il fatto che il cliente debba provvedere ad aggiornare tali installazioni, è poco noto ai più.

Protezione per tempo!
In qualità di gestore di un sito Web occorre dunque effettuare una regolare manutenzione sia del sito che delle relative applicazioni. Tra le operazioni necessarie vi è l’installazione immediata di update di sicurezza e di altri aggiornamenti pubblicati dal produttore. Lo stesso vale per i plugin. Al contempo è necessario non soltanto disattivare i plugin inutilizzati, bensì cancellarli anche dal server Web. Anche i siti Web non funzionanti, ad esempio le installazioni di prova, devono essere rimosse dal server. Ulteriori possibili misure precauzionali sono state riassunte da MELANI in un PDF.

Sicurezza carente dei siti Web svizzeri

Thomas Brühwiler

Thomas Brühwiler riveste la carica di Head of Communication presso Hostpoint ed è inoltre responsabile delle attività nel settore Social Media. Tom già da giovane pigiava sui tasti di un Commodore 64 trascrivendo codici Basic dai libri, pagina dopo pagina. Sovente, si trovava poi a dover constatare che in quel miscuglio di simboli c'era un errore e il programma non funzionava affatto! Nonostante ciò, oggi egli non riesce più a immaginare una vita senza computer.

0