• Homepage
  • Articoli
  • Guida
  • Quali fattori di sicurezza dovresti considerare quando scegli il tuo provider di hosting WodPress?

Quali fattori di sicurezza dovresti considerare quando scegli il tuo provider di hosting WodPress?

Pubblicato: 2021-12-03

A causa della crescente popolarità di WordPress su tutta la linea, ci sono sempre più incidenti di sicurezza che interessano diverse società di hosting di siti Web WordPress.

GoDaddy è l'esempio più recente, poiché di recente hanno avuto una violazione della sicurezza nel suo ambiente di hosting WordPress. La scorsa settimana ha annunciato che c'era stato un accesso non autorizzato di terze parti al suo ambiente di hosting WordPress gestito, con ripercussioni sui dati di un massimo di 1,2 milioni di clienti attivi e inattivi .

Violazione della sicurezza di WordPress su GoDaddy

Il Chief Information Security Officer (CISO), Demetrius Comes, ha annunciato il 22 novembre, in un deposito presso la Securities and Exchange Commission (SEC), che il 17 novembre avevano scoperto un accesso non autorizzato ai server WordPress gestiti di GoDaddy. Hanno stabilito che l'incidente era iniziato il 6 settembre 2021 e aveva esposto i dati di 1,2 milioni di clienti WordPress gestiti attivi e inattivi. Avevano identificato attività sospette nell'ambiente di hosting WordPress gestito e avviato immediatamente un'indagine con l'aiuto di uno studio legale IT e contattato le autorità legali. Una password compromessa ha concesso agli aggressori l'accesso ai loro sistemi.

L'annuncio indicava che:

  • Fino a 1,2 milioni di clienti WordPress gestiti attivi e inattivi avevano il loro indirizzo e-mail e il numero cliente esposti. L'esposizione degli indirizzi e-mail presenta il rischio di attacchi di phishing.
  • La password dell'amministratore di WordPress originale impostata al momento del provisioning è stata esposta. Se tali credenziali erano ancora in uso, reimpostavano quelle password.
  • Per i clienti attivi, sono stati esposti nomi utente e password sFTP e database. Reimpostano entrambe le password.
  • Per un sottoinsieme di clienti attivi, la chiave privata SSL è stata esposta. Stanno emettendo e installando nuovi certificati per quei clienti.

Infine, Comes ha aggiunto: “Siamo sinceramente dispiaciuti per questo incidente e per la preoccupazione che provoca ai nostri clienti. Noi, la dirigenza e i dipendenti di GoDaddy, prendiamo molto seriamente la nostra responsabilità di proteggere i dati dei nostri clienti e non vogliamo mai deluderli. Impareremo da questo incidente e stiamo già adottando misure per rafforzare il nostro sistema di provisioning con livelli di protezione aggiuntivi".

Come puoi immaginare, ci sono molti messaggi su Internet che criticano GoDaddy, non solo per aver impiegato 5 giorni per segnalare la violazione, ma anche per aver impiegato più di 2 mesi per rilevare tale attacco, poiché presumibilmente è avvenuto il 6 settembre. Troverai anche ulteriori informazioni su quali azioni dovresti intraprendere sia tecnicamente che legalmente se sei un cliente interessato. Non voglio nemmeno pensare a che pasticcio è questo per GoDaddy e tutti quei clienti che potrebbero essere stati colpiti!

L'importanza della sicurezza nella scelta di una società di hosting

Quando parliamo dei requisiti chiave per la scelta del tuo hosting WordPress osserviamo tutta una serie di fattori: compatibilità con diverse versioni di PHP, quali funzionalità e strumenti offre per gestire facilmente l'installazione di WordPress, elevata velocità di caricamento delle nostre pagine, supporto efficiente servizio e, naturalmente, un costo ragionevole.

Ma non illudiamoci: spesso finiamo per relegare l'aspetto sicurezza in fondo alle nostre priorità. Come mai? Primo, perché la sicurezza del nostro provider di hosting è qualcosa che diamo per scontata. Ma questo è assurdo, perché se c'è una cosa che sappiamo per certo è che nessun sistema informatico è sicuro al 100%. In secondo luogo, la sicurezza è difficile da valutare in modo rapido e semplice. È solo quando si verifica una violazione della sicurezza che veniamo a conoscenza di possibili vulnerabilità.

La sicurezza del tuo sito web è un po' come la tua salute. Se stai bene, non ci pensi molto. Ma il giorno in cui non stai bene, il mondo ti crolla addosso. Spesso ammalarsi è inevitabile, ma la prevenzione e la diagnosi precoce possono farti risparmiare un sacco di dolori. È lo stesso con la sicurezza. Se il tuo sito web viene violato, non solo la tua attività può fallire, ma puoi anche finire in guai legali per non aver adottato le misure di sicurezza appropriate.

Se vogliamo cercare di prevenire una violazione della sicurezza, cosa dobbiamo aspettarci dal nostro provider di hosting?

Sicurezza del software

Qualcosa che ci annoia tutti è dover aggiornare il software che utilizziamo sui nostri computer. Ma è abbastanza importante che lo facciamo, poiché la maggior parte degli aggiornamenti serve proprio a proteggerlo da vulnerabilità note!

Per questo motivo, quando ospiti un sito Web WordPress con una società di hosting, assicurati che soddisfi i requisiti di compatibilità e gli ultimi aggiornamenti software consigliati da WordPress. Dai un'occhiata al sito Web ufficiale di WordPress per conoscerli. Al momento della stesura di questo post, i requisiti consigliati erano:

  • PHP 7.4 o versioni successive.
  • MySQL 5.6 o successivo, o MariaDB 10.1 o successivo.
  • HTTPS

Il mio consiglio: non prendere in considerazione nemmeno una società di hosting che non soddisfi questi requisiti.

Disponibilità e supporto SSL

L'Hypertext Transfer Protocol (Hyper T ext T ransfer Protocol o HTTP ) è un protocollo utilizzato nei sistemi di rete, progettato con lo scopo di definire e standardizzare la sintassi e la semantica delle transazioni che avvengono tra i diversi computer che compongono una rete . In altre parole, descrive il modo in cui un server web comunica con browser web come Google Chrome o Mozilla Firefox.

HTTPS si riferisce all'uso di HTTP su un Secure Sockets Layer (SSL) o una connessione con Transport Layer Security (TLS) ed è responsabile della crittografia di tutti i messaggi HTTP in modo che la loro trasmissione sia sicura. Quando un utente invia informazioni a un server Web, SSL fornisce essenzialmente un intero set di livelli di protezione:

  • crittografia : se un utente malintenzionato riesce ad intercettare quelle informazioni, sarà inutile poiché non saprà come decifrarle (ma tu lo farai).
  • integrità dei dati : gli aggressori non potranno “modificare” il contenuto del messaggio inviato.
  • autenticazione : vengono evitati attacchi di phishing o man-in-the-middle, in cui un utente fornisce informazioni a terzi quando crede di parlare con qualcun altro.

In questo modo, ad esempio, ti assicuri che i dati degli acquisti effettuati sul tuo sito web non possano essere letti e/o modificati da criminali.

Se il tuo sito web utilizza SSL, la maggior parte dei browser visualizzerà l'URL web che inizia con https:// e l'icona di un lucchetto da qualche parte vicino o nella barra degli indirizzi, fornendo ai visitatori un indizio visivo sulla sicurezza del sito web corrente.

Immagine dell'URL di Nelio visualizzata nel browser
Immagine dell'URL di Nelio visualizzata nel browser.

Quando cerchi un provider di servizi di hosting, assicurati che supporti SSL e controlla quanto è facile configurarlo.

Backup e ripristino

Se dovessi subire un attacco malware sul tuo WordPress, molto probabilmente finirai per dover ripristinare un vecchio backup privo di codice infetto. Per questo motivo, assicurati che il tuo provider di hosting esegua backup regolari e automatici del tuo sito Web WordPress .

Assicurati di sapere:

  • Frequenza dei backup,
  • A quanti backup del tuo sito hai accesso,
  • Sia che tu possa ripristinarli tutti facilmente da solo o che tu debba richiedere un ripristino e pagare il servizio,
  • Sia che tu possa eseguire ripristini parziali di file, cartelle, account e-mail o database,
  • Se puoi accedere alla cronologia del restauro.

Protezione contro gli attacchi DDoS

Un attacco Distributed Denial of Service (DDoS) è un tipo di attacco che tenta di arrestare il server Web attivando "una tonnellata" di richieste fino a quando il server non si sovraccarica e si arresta in modo anomalo.

Illustrazione dell'attacco DDoS
Illustrazione dell'attacco DDoS (fonte: Anti DDoS)

Per prevenirli, alcuni provider di hosting come SiteGround e Bluehost lavorano con Content Delivery Network (CDN) come Cloudflare. Le CDN gestiscono reti di server globali che semplificano la gestione dei dati più velocemente e assorbono gli attacchi ad alta intensità di risorse come gli attacchi DDoS. Questo aiuta le società di hosting a ridurre il carico sui propri server senza dover investire pesantemente in infrastrutture aggiuntive. Si consiglia vivamente di verificare se la società di hosting funziona con CDN.

Assicurati inoltre che dispongano di protocolli preparati per questo tipo di attacco, come ad esempio:

  • Hardware firewall che filtra il traffico inondato,
  • Software firewall basato su iptables con funzioni complesse e monitoraggio del traffico,
  • Limitano il numero di connessioni che possono essere stabilite da remoto,
  • Controllano il numero elevato di tentativi di connessione non riusciti dagli host ed eseguono il filtraggio.

Scansione malware

Il malware, come abbiamo visto nel caso di GoDaddy, è un software dannoso che può colpire i server. Possono causare un'infezione minore, come il furto di determinati dati, o spazzare via un intero database.

È importante sapere come il tuo provider di hosting controlla e controlla questo tipo di attacchi. Con quale frequenza eseguono le scansioni? Hanno un sistema di isolamento dell'account in modo che, in caso di infezione, sia contenuto?

Disponibilità e tempo di attività

I tre pilastri della sicurezza delle informazioni sono noti come la triade della CIA (Riservatezza, Integrità e Disponibilità). La disponibilità e il tempo di attività del tuo sito Web (percentuale di tempo in cui un sito Web è attivo e disponibile) sono fondamentali su qualsiasi sito Web.

Le società di hosting hanno molti modi per garantire questa disponibilità. Ad esempio, alcuni utilizzano la tecnologia RAID, ridondanza hardware, ridondanza di rete e persino posizioni mirror alternative. Assicurati che il tuo provider di hosting ti garantisca la disponibilità minima nel contratto di servizio (SLA) dei suoi termini e condizioni. Ad esempio, nel caso di Siteground, garantiscono:

5.2. Garantiamo un tempo di attività della rete del 99,9% su base annua. Se scendiamo al di sotto del tempo di attività della rete garantito, ti compenseremo come segue ;

  • Tempo di attività 99,9% – 99,00%: 1 mese di hosting gratuito
  • Un mese aggiuntivo di hosting gratuito per ogni 1% di uptime perso al di sotto del 99,00% .

Lo SLA è un altro indicatore dell'investimento in infrastruttura effettuato dal tuo provider di hosting e dell'impegno che assume per garantire il servizio.

Conclusione

La sicurezza, come ho già detto, è come la salute. Anche se non puoi mai garantire il controllo assoluto su di esso, meno rischi prendi, meglio è. Proteggere il tuo sito e prendersi cura della sua sicurezza può prevenire gravi conseguenze indesiderabili. E quella protezione inizia con la selezione di un buon provider di hosting per il tuo sito Web WordPress.

Immagine in primo piano di Liam Tucker su Unsplash.