4 mosse infallibili per tenere il tuo sito al sicuro

ladro che forza una porta

(da applicare subito anche se pensi che nessun hacker verrà mai a disturbarti)

Bentornato/a sulla rubrica del Fabbro,
Oggi parliamo di sicurezza, perciò allaccia la cintura e… si parte!

cagnolino con cintura

Si tratta di un tema spesso trascurato da chi si cimenta per le prime volte con la realizzazione dei propri siti web, ma perché?

Sicuramente curare la grafica e l’impaginazione di un sito è più divertente che preoccuparsi della sua sicurezza, lo so. Però questo non vuol dire che non devi preoccuparti minimamente di questo aspetto, perché lì fuori è pieno di gente brutta e cattiva!

Il cyber-crimine è una pratica molto diffusa in tutto il mondo e rappresenta il pericolo numero 1 per la salute dei tuoi siti web.
Secondo una ricerca condotta dall’Università di Maryland, ogni 39 secondi si verifica un attacco hacker.
Impressionante, vero? Ciò significa che il tuo sito è sotto minaccia ogni minuto e rischi di perdere per sempre i dati del tuo sito e dei tuoi utenti.

Lo so, è spaventoso, però don’t panic.

bottone don't panic

Ho realizzato questo articolo per permetterti di mettere in sicurezza i tuoi siti in soli 4 semplici mosse che ti garantiranno protezione verso questo tipo di attacco informatico.

Rilassati un attimo, raccogli tutta la tua concentrazione e afferra una tazza del tuo caffè preferito. Si comincia.

1. Scegli un hosting sicuro e affidabile

stanza server
Il sogno proibito del Fabbro

Se non hai ancora realizzato il tuo primo sito web e non sai cos’è un hosting, ti consiglio di leggere subito questo articolo che ho realizzato a riguardo un po’ di tempo fa.

L’hosting è la prima linea difensiva che ti protegge dagli attacchi hacker.

Oggi, rispetto a una decina di anni fa, esistono in commercio tantissimi hosting a prezzi davvero convenienti, ma sono pochi i provider che ti garantiscono sicurezza e affidabilità.

Vuoi una lista di hosting tra cui scegliere, eh? La vuoi? Eccola qui, non hai più scuse:

  • OVH. Al primo posto in classifica perché ha un’interfaccia chiara e semplice da navigare e tempi tecnici molto bassi. Cosa intendo con tempi tecnici molto bassi? Che quando acquisti un servizio puoi iniziare ad utilizzarlo dopo pochi minuti e che quando effettui una modifica ai tuoi domini (re-indirizzamenti, modifiche ai record DNS ecc.) diventa effettiva in fretta.
  • Siteground. Probabilmente il migliore su cui puoi mettere le mani in questo momento, sia per sicurezza che per servizio assistenza clienti. Però fai attenzione: se è la prima volta che realizzi un sito web te lo sconsiglio. È più costoso e complesso rispetto ad OVH, perciò ti consiglio di partire da lì e migrare qui il sito solo quando riceve tante visite giornaliere o è pieno zeppo di contenuti.
  • GoDaddy, Blue Host e WP Engine. Sono tutte valide scelte, però non uso più questi hosting. Se il tuo sito è su uno di questi 3 provider puoi stare tranquillo ed evitare di trasferirlo. Se invece non hai ancora realizzato il tuo sito, lasciali perdere e comincia da OVH.

“Ehy Fabbro, come mai non c’è Aruba in questa lista?”

Lo so: Aruba è il provider più famoso in Italia e quello più utilizzato di sempre nel Bel Paese. Il motivo è molto semplice: si tratta di un prodotto tutto italiano.

Sì, lo so: made in Italy, valorizziamo quello che abbiamo, a’ pizza o’ mare o’ vient e tutto quello che vuoi, però stai alla larga da questo hosting! I motivi sono tantissimi, tra cui:

  • Tempi tecnici lunghissimi. Per qualsiasi cosa! Vuoi modificare un record DNS? Devi aspettare tre ore. Vuoi effettuare un redirect da un dominio all’altro? Ok, attendi altre tre ore.
  • Assistenza tecnica lentissima. Hai un problema? Allora fai prima a dimenticartene.
  • Assistenza tecnica imbecille (nel senso che imbelle). Ricordi quel problema che avevi talmente tanti giorni fa da averlo dimenticato? Nonostante tutto hai scritto al supporto clienti e lo svitato dell’assistenza ti ha risposto così: “Buongiorno. Per fare questa cosa consulta questa guida. Addio per sempre.” Non sai quante volte mi è successo. Perché lo fanno? Te lo dico io perché: i loro servizi fanno schifo, ma così schifo che hanno sempre una valanga di problemi da risolvere e richieste di assistenza da non poterti aiutare.
  • Non sono così economici come sembra. Infatti, anche se tu volessi risparmiare sull’hosting, non avrebbe senso ripiegare su Aruba. OVH è più economico.
  • Interfaccia lentissima e datata. Ci metti tre ore per fare qualsiasi cosa. Persino effettuare l’accesso all’area clienti è come ricevere un calcio sulle gengive. L’interfaccia del loro pannello è uguale a com’era 10 anni fa e, oltre ad essere orribile, è anche molto confusionaria. La gestione dei record DNS dei domini è da film horror, non si capisce un piffero!
  • Il tuo sito è lento e poco sicuro. Non ti bastano i motivi sopra elencati per scappare subito da questo provider? Allora sappi che caricarci il tuo sito sopra lo rallenterà di brutto. Inoltre Aruba è lento anche ad aggiornare le versioni PHP degli hosting, e questo (per fartela breve, non posso spiegarti su questa pagina cos’è PHP) vuol dire meno sicurezza in caso di attacchi hacker.

Vuoi proteggere il tuo sito, la tua salute mentale e lo schermo del tuo pc? Allora evita Aruba per sempre, fine.

2. Utilizza sempre il protocollo HTTPS sul tuo sito

schermata con lucchetto https

Il protocollo HTTPS serve a criptare le informazioni che si scambiano il tuo server e il client dell’utente.

“Fabbro! Parla italiano o ti meno.”

Ok. Esempio: se effettuo un acquisto su un e-commerce sprovvisto di protocollo HTTPS, i dati della transazione non sono criptati. Ergo: un malcapitato può metterci le mani sopra con facilità!

Anche se non hai un e-commerce, i tuoi dati e quelli dei tuoi utenti sono costantemente in pericolo senza protocollo HTTPS.

Infatti io non navigo mai su siti web sprovvisti di protocollo HTTPS e non dovresti farlo neanche tu.

Il protocollo HTTPS trasforma i dati in codici lunghissimi e complicati, impossibili da decifrare e quindi a prova di attacco hacker.

“Va bene Fabbro, ma come faccio a capire se un sito è sprovvisto di protocollo HTTPS? E come faccio a usare il protocollo HTTPS sui miei siti?”

Ricorda: il browser tivvibì. Google Chrome, Mozilla Firefox, Microsoft Edge e compagnia ti avvertono quando sei di fronte a un sito sprovvisto di protocollo HTTPS e ti indirizzano su questa schermata:

schermata avvertenze browser
Scappa quando vedi questo

Se leggi il Fabbro sei un tipo molto sveglio e adesso stai pensando:
“allora succede la stessa cosa quando un utente naviga sul mio sito, se è sprovvisto di protocollo HTTPS”.

Proprio così.

Per sfruttare il protocollo HTTPS devi soltanto installare un certificato di sicurezza SSL.

Come fare per capire se ne hai uno? Collegati al tuo sito e guarda l’immagine del lucchetto in alto a sinistra:

lucchetto che segnala se il sito è protetto

Se il lucchetto è grigio tutto ok: hai un certificato SSL e il tuo sito utilizza il protocollo HTTPS. Se c’è un triangolino giallo con un punto esclamativo devi acquistare un certificato SSL al più presto.

Molti hosting, tra cui OVH e Siteground, sono già provvisti di certificato SSL, perciò se decidi di realizzare o spostare il tuo sito su uno dei due sei (quasi) a posto.

Dico quasi perché devi comunque eseguire un passaggio fondamentale.

Fai un piccolo test sul tuo sito: collegati all’homepage, però non scrivere soltanto www.iltuosito.it, ma aggiungi davanti il protocollo http: (senza s finale), quindi scrivi http://iltuosito.it.

Quando un certificato è installato correttamente, anche se digiti http://iltuosito.it, vieni re-indirizzato automaticamente sull’indirizzo https://iltuosito.it e visualizzi l’icona del lucchetto grigio.

Quando il certificato non è installato correttamente, resti su http:// e vedi il triangolino giallo.

Come mai? È parecchio complicato da spiegare e non posso farlo in questo articolo, ma in compenso posso offrirti la soluzione più veloce e affidabile.

Installa sul tuo sito il plugin “Really Simple SSL”, attivalo e vai su “Impostazioni” -> “SSL”. Su questa schermata fai click sul bottone “Attiva SSL”.

Adesso prova nuovamente a collegarti sulla home del tuo sito inserendo davanti all’indirizzo il protocollo http://. Magia! Il triangolino giallo sul lucchetto non c’è più: problema risolto.

Attenzione: non puoi usare il plugin “Really Simple SSL” se sul tuo sito non c’è un certificato di sicurezza SSL. Non sei sicuro se il tuo sito ne ha già uno oppure no? Allora don’t panic e chiedilo all’assistenza clienti. Se il tuo sito è su Aruba allora panic e trasferisci il sito da un’altra parte.

3. Aggiorna spesso il tuo sito

Cerca di tenere sempre tutto aggiornato: versione WordPress, tema in uso (quelli che non usi cancellali tutti, altrimenti devi sempre aggiornarli per mettere in sicurezza il sito), plugin utilizzati.

Però alt! Prima di effettuare qualsiasi aggiornamento sappi questo:
ogni volta che aggiorni qualcosa sul tuo sito rischi di spaccarlo.

Proprio così.

“Ma Fabbro, sei impazzito? Mi stai suggerendo di spaccare il sito?”

uomo che spacca un pc a pugni

Fermo lì. Sono pazzo ma non fino a questo punto, e soprattutto tivvibì, perciò continua a leggere e prendi appunti:
devi SEMPRE effettuare un backup del tuo sito prima di aggiornare qualsiasi cosa.

Il backup è un file che contiene una copia identica del tuo sito. Se per qualche motivo un aggiornamento spacca il sito, con il backup puoi resuscitarlo, facendolo tornare alla versione precedente.

Esempio: il tuo sito attualmente funziona ma ha la versione del plugin WooCommerce 1.1 e devi aggiornarlo alla versione 1.2. Fai un backup e installi la versione 1.2 del plugin. Il sito si è spaccato? No. Molto bene. Sì? Allora ripristina il backup. Risultato: il tuo sito torna alla versione in cui aveva il plugin WooCommerce 1.1 e funzionava. Cerca di capire perché il sito si è spaccato, risolvi l’inghippo e prova di nuovo ad aggiornare WooCommerce.

Ma perché il sito si può spaccare quando lo aggiorno? I motivi sono tantissimi. È per questo che devi sempre effettuare un backup prima di fare gli aggiornamenti. Non sai mai quello che può succedere.

Uno dei motivi più comuni è il conflitto tra due o più plugin. A volte infatti basta disattivare un singolo plugin per risolvere il problema e far funzionare di nuovo il sito.

Un altro motivo è che il tema utilizzato è incompatibile con l’ultima versione di un plugin. In quel caso devi attendere che sia disponibile anche l’aggiornamento del tema per poter aggiornare il plugin.

Non intendo analizzare a fondo queste motivazioni su questa pagina e penso ti annoieresti da morire a leggerle, perciò andiamo avanti!

Come? Stai pensando:
“Fabbro, come posso effettuare un backup manuale del mio sito?”

Puoi utilizzare “All in one WP migration”. È il plugin più semplice e sicuro per gestire i backup dei tuoi siti.

Installalo, attivalo, fai click su “All in one WP” sulla barra laterale sinistra di WordPress e scegli l’opzione “Esporta” e poi “Esporta su file”. Ti verrà chiesto di scaricare il backup sul tuo pc, quindi scaricalo e tienilo lì. Se per qualsiasi motivo devi resuscitare il tuo sito, fai sempre click su “All in one WP” sulla barra laterale sinistra di WordPress ma stavolta scegli “Importa”. Quindi scegli “Importa da file” e carica lo stesso file che avevi scaricato in precedenza.

Fatto? Allora dopo vai su “Impostazioni” -> “Permalink”. Assicurati che il permalink sia giusto e fai click sul bottone “Salva”. Fine!

Conclusione: gli sviluppatori di temi, versioni WordPress e plugin rilasciano spesso delle versioni aggiornate dei propri software per molti motivi. Il più importante è questo: col passare del tempo si scrivono codici sempre più sicuri e a prova di hacker (grazie soprattutto alle innovazioni in campo tecnologico) e quindi è più facile proteggersi da attacchi con versioni aggiornate.

4. Usa delle password difficili da scoprire

Chi lavora con me lo sa: amo utilizzare delle password impossibili da scoprire.

Sai quanti siti WordPress gestisco? Fidati, parecchi!

E non utilizzo mai la stessa password per più di un sito. Come mai? Perché se utilizzo la stessa password per più di un sito e un hacker la scopre sono rovinato! Dovresti fare anche tu come me.

“Scusa, Fabbro, ma se gestisci tantissimi siti e utilizzi una password diversa per ognuno come fai a ricordartele?”

Infatti non ne ricordo a memoria neanche una.

donna con punti interrogativi

E allora come faccio? Ecco il mio metodo per creare e gestire delle password impossibili:

  1. Procurati una chiavetta USB o un hard disk esterno.
  2. Procurati un account Google Drive.
  3. Crea un file di testo sul tuo pc col nome del sito e scrivici dentro la password. Per creare la password schiaccia completamente a caso i pulsanti della tua tastiera. Ti verrà fuori una cosa tipo: egjw9qèr390A. Bene, quella è la password del tuo sito. Proprio così. Su molte guide ti consigliano di usare una frase lunga al posto di una parola o una data di compleanno, ma fidati: il modo più sicuro è scrivere una password alla Boris (a ca**o di cane).
  4. Copia e incolla il file con dentro la password sia su supporto esterno (chiavetta USB o hard disk) che su Google Drive. Perché? Perché in questo modo se il tuo supporto esterno va a fuoco per qualsiasi motivo, puoi recuperare la password su Google Drive. Viceversa, se Google Drive va a fuoco per qualsiasi motivo, puoi recuperare la password su supporto esterno.

Questo metodo è infallibile: nessuno è mai riuscito a rubare la password di uno dei miei siti in 7 anni di produzione massiccia.

Perciò afferra una tazza del tuo caffè preferito ed esegui questa procedura.

Conclusioni

Da oggi nessun malintenzionato si avvicinerà più al tuo sito se utilizzerai queste 4 semplici mosse per metterlo in sicurezza.

Se l’articolo ti è piaciuto fammelo sapere nei commenti e soprattutto iscriviti subito alla newsletter del Fabbro, così non perderai mai una guida gratuita e sarai sempre un passo avanti alla concorrenza! Clicca qui e… presto per te sarà facilissimo usare il martello per spaccare il web!

A martedì prossimo,
Il Fabbro

Richiedi la consulenza GRATUITA del Sarto

Fai click qui!

Un pensiero su “4 mosse infallibili per tenere il tuo sito al sicuro

  1. Vera dice:

    Fabbro, un articolo sul back up! ❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️

    Grazie, tivibbì!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *