Questa pagina è parte della guida Come creare un sito da zero

I pericoli di un sito web

Purtroppo anche i siti web possono essere attaccati dagli hacker in cerca di dati sensibili, o contaminati da virus e malware.
Proteggere il proprio sito non è solo un interesse personale, ma anche un dovere verso i propri utenti.
Oltre a ciò, se non ci si accorge subito dell'infezione, i motori di ricerca (Google per primo) possono infliggere forti penalizzazioni.
Gli script infetti si possono insediare all'interno del codice del sito e non è facile accorgersene, soprattutto se il sito è stato costruito utilizzando librerie lunghe e complesse, create da più sviluppatori. Questo è uno dei motivi per cui i siti web maggiormente presi di mira sono proprio quelli costruiti utilizzando i pesanti CMS (Wordpress, Joomla, Drupal ecc). A ciò si aggiunge il fatto che i siti costruiti con questi CMS sono tantissimi e che tramite un sito infetto si possono infettare milioni di altri siti.
Questo tipo di siti web è oggetto di vulnerabilità, come il "Cross-site scripting(XSS)" che è tipico, appunto, dei siti dinamici.
Questa vulnerabilità permette agli hacker di inserire uno o più script parassiti nel codice del sito, tramite i quali raccogliere dati e informazioni riservate, o modificare i dati e alterare le pagine e le funzionalità del sito stesso fino alla paralisi totale del sito.
Altre volte, invece, il sito web sembra funzionare regolarmente e non ci si accorge di nulla mentre il parassita lavora silenzioso e indisturbato.

I CMS, open source o di terze parti (programmi online per la creazione di siti web), con la loro complessità e l'utilizzo di molte applicazioni e plugin, sono il bersaglio ideale per questo tipo di attacchi.

Citazione:
"Quando le vulnerabilità si manifestano su questi CMS, è molto peggio rispetto a una falla su un sito di creazione propria. Questo perchè l'attacco coinvolge chiunque abbia un sito in WordPress piuttosto che una sola pagina. È inoltre più probabile che le vulnerabilità siano largamente conosciute e, quindi, largamente sfruttate. Un malintenzionato può iniettare del codice per ottenere l'accesso al sottostante sistema operativo o può sovvertire un sito e sfruttare la fiducia degli utenti per raccogliere dati personali. In entrambi i casi, si ottiene molto di più rispetto al singolo accesso: si raggiungono reti corporate interne e si possono sfruttare i dati dei clienti". (James Brown, CEO della società di controllo StillSecure)
Basta una semplicissima ricerca in rete per scoprire quanti e quanti attacchi si sono già verificati e di quale portata.

Quando un sito viene infettato, riuscire a liberarlo è quasi impossibile.
Se prendono il controllo di un sito, gli hacker sono in grado di installare delle "backdoor", tramite le quali possono reinfettare il sito nuovamente, anche se il malware è stato rimosso e se il CMS è stato aggiornato.

In più, la backdoor si replica anche su altri siti che utilizzano il medesimo CMS e l'attacco prende dimensioni smisurate.

Anche se non è il vostro sito, quindi, a subire un attacco diretto, ugualmente potete essere infettati tramite altri siti che sono già stati infettati.

Il danno, poi, non è solo per il sito web che ospita il malware, ma anche per i suoi utenti. Dal sito infetto, tramite dei cookie con codice criptato, gli hacker possono immettere virus e spyware nei vari computer, con le conseguenze che potete facilmente immaginare.
In alcuni casi, gli hacker arrivano a chiedere un riscatto ai proprietari del sito web in cambio della liberazione del sito.

Immaginate un grosso sito con molte pagine e già ben indicizzato, o un ecommerce avviato, chi vorrebbe perderlo e rifarlo da capo con grosse perdite di guadagno? Molti preferiscono pagare e così questo mercato illegale continua ad essere alimentato.

Come difendersi?
Premesso che l'immunità assoluta da questi attacchi è impossibile da ottenere, possiamo almeno cercare di non creare le condizioni adatte per subirli.
Se gli argomenti trattati finora non vi hanno convinti a preferire un sito web semplice scritto in codice HTML ad un sito dinamico pesante e complesso costruito con un CMS, forse questo argomento vi convincerà di più.
Il primo modo, infatti, per non essere scelti come bersaglio dagli hacker è proprio quello di avere un sito web con dei codici puliti, molto ordinati ed essenziali. Codici che sono facile da imparare a leggere e conoscere nella loro struttura e in cui risulterebbe più difficile nascondere qualcosa.
Siti come questi sono raramente attaccati, proprio per la loro trasparenza e perchè è molto più comodo utilizzare un terreno adatto, semplicissimo da trovare tra i miliardi di siti dinamici con le loro infinite librerie e i tanti plugin.

Forse non avevate mai considerato questo aspetto?

Un altro grande vantaggio, non certo trascurabile, sta nel fatto che un sito in HTML è contenuto tutto nella sua cartella e non servono complicate procedure di backup.
Conservando la copia originale e\o una copia aggiornata e integra del vostro sito sul desktop e nella remota ipotesi, o sospetto, che il sito online sia stato infettato, vi basterà sovrascriverlo, ricaricandone la copia intatta.

Non essendo gestito da programmi comuni e non dipendendo da applicazioni di terzi, il vostro sito non avrà mai le vulnerabilità di cui abbiamo parlato.

Scusate se tutto questo è poco....

La pagina contatti del sito

Parlando di sicurezza, non si può non parlare della pagina contatti, sempre presente in un sito web e non solo, ma anche di qualunque voce presente nelle pagine che permetta di contattare direttamente l'autore, o il webmaster, o chiunque.
La raccomandazione è semplice, chiara e ovvia: "Non pubblicate mai, il vostro numero di telefono, o il vostro indirizzo email", se non volete essere assaliti da telefonate indesiderate e messaggi di spammer, o malware.
È possibile criptare i dati e questo funzionerà per ingannare i sistemi, ma non servirà per difendersi dall'azione umana di coloro che lavorano ogni giorno scandagliando il web alla ricerca di numeri di telefono e indirizzi email.
La soluzione? Usare sempre e solo il modulo di contatto e deve essere un modulo di contatto fornito di filtri efficaci per la protezione.
Per maggiori informazioni, leggi: Il modulo di contatto.

ChatGPT di OpenAI

OpenAI è un laboratorio di ricerca americano sull'intelligenza artificiale (AI) costituito dalla OpenAI Incorporated senza scopo di lucro e dalla sua società sussidiaria a scopo di lucro OpenAI Limited Partnership. OpenAI conduce ricerche sull'IA con l'intenzione dichiarata di promuovere e sviluppare un'IA amichevole. I sistemi OpenAI vengono eseguiti su una piattaforma di supercalcolo basata su Azure di Microsoft.
ChatGPT è un chatbot di intelligenza artificiale (AI) sviluppato da OpenAI e rilasciato nel novembre 2022. È costruito sulla base dei modelli LLM (fondamental large language models) GPT-3.5 e GPT-4 di OpenAI ed è stato messo a punto un approccio al trasferimento dell'apprendimento utilizzando sia tecniche di apprendimento supervisionato che di rinforzo. (fonte: Wikipedia)

Ai fini dell'apprendimento, ChatGPT ha accesso ai contenuti del sito web. Qual'e il rischio? Che usando e distribuendo i tuoi contenuti tolga traffico al sito.
Per bloccare il chatgpt bot di openAI e impedire che acceda alle informazioni sul tuo sito web per utilizzare i tuoi contenuti come dati di addestramento, puoi inserire delle regole nel file robots.txt, in questo modo:

NOTA: il file robots.txt è un semplice file di testo che va posto nella root del sito web.

Leggi anche: "La velocità del sito web"

Nella sezione: "Risorse per i webmaster" puoi trovare moltissime soluzioni e risorse da scaricare.