Non tutti hanno il tempo materiale di stare dietro al proprio sito internet: purtroppo questo cela dietro l’amara verità che oltre a renderlo quasi del tutto inutile in molti casi spalanca le porte alle violazioni, al defacing e così via. Potremmo pensare che queste sono cose di scarso interesse, o che non riguardano il nostro sito internet: invece, come mostrato nel recente defacing di siti fatti in Joomla, è anche una questione di immagine. Non è bello che qualcuno posti spam nel nostro sito, ed è per questo che dovremmo sempre tenere alta la soglia di attenzione su queste cose.
Vediamo quindi alcune casistiche tipiche, per cui la sicurezza può essere a rischio: ovviamente non bisogna interpretare queste cose con angoscia o paura che succeda da un giorno all’altro, molti problemi di sicurezza, in media, riguardano siti non aggiornati da molto tempo. È bene comunque sapere certe cose, vediamo quindi quali sono gli scenari di insicurezza tipici più comuni.
Molti credono che fatto il sito, il lavoro sia finito
Creare il proprio sito su misura, che rispecchi esattamente quel progetto grafico o quell’idea, è motivo di grande gratificazione, ma apre semplicemente una porta: da cui poi dovrà pur passarci qualcuno! E questo si ricollega ad un fatto importante: se stiamo dietro al nostro sito, lo aggiorniamo, lo promuoviamo e ci studiamo delle strategie costantemente, non potremo fare a meno di notare, nel caso abbiamo optato per la realizzazione mediante cms (es. Joomla, dotnetnuke, nopcommerce, wordpress, ecc…), le notifiche di update, aggiornamento di componenti e così via. Questi aggiornamenti in primo luogo sono fondamentali per la risoluzione di bug nel sistema.
Non ci occupiamo di web professionalmente
Potremmo essere degli abili venditori o web marketer, esperti di grafica o eccellenti sviluppatori: ma la sicurezza del sito passa per concetti, precauzioni ed azioni non sempre alla portata di tutti. In questo caso, quindi, il rischio di non aggiornare il sito o di lasciarlo con qualche falla aperta è concreto: se siamo degli sviluppatori, ad esempio, possiamo seguire le indicazioni di massima, valide per qualsiasi sito, che si trovano sul sito OWASP (Open Web Application Security Project). Su quella pagina è possibile trovare le principali casistiche di violazione dei siti e troveremo indicazioni utili caso per caso. Se non siamo sviluppatori web professionisti, potremmo valutare l’ipotesi di affidarci ad un consulente.
La nostra attività riguarda il web solo in parte
Per quanto si possa essere appassionati di web ed interessati alla diffusione del nostro marchio su internet, potremmo non avere il tempo materiale per stare dietro al sito, e per questa ragione rischia di rimanere “solo ed abbandonato” per molto tempo. Non che muoia di fame nel frattempo, ma il dominio potrebbe scadere, l’account del sito potrebbe essere violato, e la password di amministratore potrebbe essere troppo facile da indovinare. In questi casi, è bene operare con delle contromisure apposite e, se possibile, almeno in parte automatizzarle.
Aggiornare un sito può richiedere competenze da SEO/copywriter
Nessuno meglio del titolare di un’azienda potrà, ovviamente, sapere cosa mostrare e cosa valorizzare nel proprio sito. Ma questo non vuol dire che non debba essere accompagnato da un consulente, che può guidarlo nelle scelte a patto che ci sia una comunicazione schietta e costante tra le due parti. Non dimentichiamo questo aspetto e non trascuriamolo, perché non avere un consulente può essere un’ottima scusa per trascurare o considerare irrilevante l’aggiornamento del proprio sito aziendale.