Focus 1: l’hosting di un sito, la tua prima tutela

Nel capitolo introduttivo del nostro speciale dedicato alla sicurezza abbiamo elencato una serie di misure utili per tutelare il tuo business da attacchi e pericoli connaturati alla rete. Malware, cracker, perdite di dati dovute a mancati backup: le minacce sono tante e in continuo aumento, al punto che da qualche anno a questa parte è comparsa una nuova figura, il responsabile della cosiddetta cyber security. Va da sé che non bisogna per forza passare da un estremo all’altro e ingaggiare a tutti i costi (di solito alti) un esperto in cyber security. Per normali attività con un sito vetrina o un ecommerce è sufficiente adottare precauzioni mirate, indispensabili per mantenere alte le “difese immunitarie” nei confronti delle insidie esterne.

In questo primo focus vedremo quindi più in concreto un passaggio cruciale, ovvero la scelta dell’hosting, vale a dire del servizio al quale affidare i contenuti del sito stesso (immagini, testi, codice, ecc). I servizi di hosting sono diventati molto popolari nel corso degli anni, complice l’avvento del web e la crescita esponenziale del numero di siti in circolazione. È chiaro però che all’aumentare della domanda non sempre si accompagna un aumento della qualità dei servizi. Anzi: di pari passo con l’esplosione della rete, abbiamo assistito al proliferare di servizi hosting low cost, talmente economici da non garantire il rispetto dei requisiti minimi di sicurezza. Come muoversi dunque per non diventare facile presa di pirati informatici, virus e quant’altro?

LA SCELTA DI UN SERVIZIO HOSTING ALL’ALTEZZA

Per farti capire subito quali enormi differenze corrono tra un servizio hosting e l’altro, abbiamo scelto di riportarti l’estratto di un articolo pubblicato online da un esperto di web. Per ovvie ragioni di privacy e di netiquette evitiamo di nominare l’autore e il servizio hosting, ma siamo sicuri che l’esempio sarà ugualmente illuminante:

Non c’è velocità, non c’è affidabilità e il servizio clienti è assente. Avevo provato io stesso *** per qualche tempo, ma mi sono scontrato con una gestione simile alla burocrazia statale del nostro Bel Paese. Se hai mai avuto problemi con errori 404 sai quanto importante sia un servizio clienti che ti aiuti a risolverli velocemente! Per il trasferimento di un dominio il processo diventa facile quanto ottenere un rimborso da Equitalia. Non ti dico per avere un sito installato e funzionante. La gestione delle utenze nel customer center è terribile. Avevo aspettato 7 giorni prima di una risposta. E cosa mi dicono? “Solleciti ancora”.

Dato che la questione sicurezza non può ricadere per intero nelle tue mani, devi essere consapevole dell’importanza di un hosting in grado di fornire un servizio di qualità, anche in termini di assistenza. Qualità non vuol dire necessariamente un servizio costoso, perché oltre alla sicurezza ci sono le performance (che possono incidere non poco sul prezzo finale di un hosting). Certo è che per avere un minimo di tutele devi quantomeno leggere le recensioni, inviare un’email di richiesta per testare la velocità di risposta e controllare bene quali sono le caratteristiche del servizio offerto. E qui si apre la seconda questione legata alle funzionalità previste di default dall’hosting

DAL FIREWALL AGLI ANTIVIRUS E ANTISPAM DI POSTA

Le politiche commerciali dei fornitori di hosting cambiano in maniera a volte radicale da pese a paese e da servizio a servizio. C’è chi sotto una certa soglia non scende e c’è chi offre invece un prezzo economico al quale aggiungere eventuali opzioni extra per una configurazione ottimale. Il perché di questa premessa meramente economica è presto detto: nella tua ricerca di un hosting sicuro ti imbatterai in servizi già completi (e più sicuri) e in servizi meno completi che difettano degli standard di sicurezza richiesti dal mercato (ma nel loro caso opzionali).  Tra le funzionalità che meritano attenzione ricordiamo:

Firewall

Come per il PC, così anche per gli hosting esistono firewall che impediscono a malintenzionati l’accesso al tuo sito. Al momento ci sono diversi standard di protezione, il più comune dei quali è il firewall L3. In caso non fosse previsto alcun firewall, ti consigliamo di aggiungerlo con plug in appositi come All In One WP Security & Firewall per WordPress.

Antivirus e antispam

Antivirus e antispam possono essere implementati in vari modi nel tuo sito o nella tua casella di posta elettronica, ma se il provider (cioè il fornitore) ti propone già un hosting con uno o più di questi sistemi ben venga. Per quanto riguarda il filtro antispam, questo vale per i messaggi che ricevi nel sito (ad esempio dal modulo di contatto o dai commenti degli articoli) ma anche per la tua casella di posta elettronica.

Accesso FTP

Incredibile ma vero, alcuni servizi hosting non ti consentono l’accesso alle cartelle FTP, ovvero al dietro le quinte del tuo sito. Questo limite, in ottica di sicurezza, può diventare un grosso problema nella misura in cui il tuo sito fosse preso di mira in profondità, ad esempio con l’installazione di codice ingannevole nelle singole pagine o nelle singole schede prodotto.

IL “PROTOCOLLO” HTTPS E RELATIVE CERTIFICAZIONI

Oltre all’infrastruttura e ai sistemi per tenere sotto controllo accessi, spam e virus, noi sviluppatori e agenzie possiamo contare su una tutela in più che prende il nome di protocollo HTTPS. In realtà non si tratta di un protocollo nel senso autentico della parola (il protocollo effettivo rimane l’HTTP, combinato al protocollo SSL/TLS), ma di un sistema di comunicazione “blindato” che si basa sulla cifratura de protocollo HTTP. Senza scendere in dettagli troppo tecnici, è utile ricordare il legame stretto fra HTTPS e certificati di autorità. Questi ultimi sono rilasciati a volte da enti riconosciuti a volte dagli stessi provider di hosting e servizi web (o direttamente o come intermediari). Dato che la tecnologia cambia alla velocità della luce, anche le certificazioni evolvono nel corso del tempo, spaziando da modelli di basso profilo ad altri più sicuri e più aggiornati. 

Ecco di seguito una breve lista delle certificazioni di riferimento:

Let’s Encrypt

Si tratta di una certification authority che automatizza gratuitamente la creazione, la validazione, il rilascio ed il rinnovo di certificati X.509 per il protocollo TLS. Essendo basato su software libero, il sistema di certificazione Let’s Encrypt è il meno sicuro in circolazione.

Rapid SSL

L’ente certificatore Rapid SSL offre una delle certificazioni più economiche sul mercato: per pochi euro l’anno è possibile attivare subito la propria url preceduta dalla sigla https, beneficiando così di una protezione entry level valida per la maggioranza degli scenari.

Thawte SSL

Altro sistema di certificazione valido è quello offerto da Thawte, società che si posiziona a metà strada fra i servizi entry level e i servizi premium. A cambiare in questo caso è anche l’assicurazione prevista per eventuali danni e sottrazione dati, che può arrivare fino a 1,5 milioni di dollari.

GeoTrust® True BusinessID with EV

L’ente di certificazione Get GeoTrust® offre la protezione True BusinessID con Extended Validation (EV), che oltre ad aumentare il livello di sicurezza permette di visualizzare un https con sfondo verde, soluzione graficamente più accattivante anche per l’utente. Il prezzo è alto ma per ecommerce strutturati ne vale la pena!

Ora che hai capito l’importanza di un servizio hosting, non ci resta che passare al prossimo capitolo dedicato alla manutenzione ordinaria e straordinaria del tuo sito. Sì perché un sito è come una macchina, se non te ne prendi cura potrebbe lasciarti letteralmente a piedi! Continua a seguirci e ti spiegheremo come fare.