I CMS moderni consentono di gestire comodamente i siti Web e di pubblicare nuovi contenuti. Questa estrema comodità comporta purtroppo il fatto di dimenticarsi sempre più frequentemente che anche i software, proprio come le auto, necessitano di regolare manutenzione. Questo lo dimostrano anche le cifre fornite alla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) nell’ultimo rapporto semestrale.
Terribile: oltre il 70% di tutte le installazioni svizzere di WordPress non sono protette
Con l’esempio delle due lacune di sicurezza di WordPress (CVE-2015-3429 e CVE-2015-3440) dello scorso anno, MELANI illustra infatti quanti pochi gestori di siti Web svizzeri investano nella sicurezza dei propri siti. Sebbene per entrambe le lacune già il giorno dopo era disponibile un aggiornamento di sicurezza, in quasi il 75% di tutte le installazioni WordPress in Svizzera, l’aggiornamento di sicurezza non risultava installato anche a due settimane di distanza.
Non importa? E invece sì! Le conseguenze per il titolare del sito Web possono essere disastrose!
Poiché i siti Web non sufficientemente protetti con appositi tool possono essere trovati in modo automatico, per i criminali non è complicato manipolare tali siti Web con malware o virus. Ma le conseguenze possono essere ancora più gravi: se il malintenzionato ottiene accesso ai dati attraverso la lacuna di sicurezza, il gestore del sito Web potrebbe addirittura essere ricattato. Secondo MELANI ciò è già successo, soprattutto tra le PMI, più volte nel primo semestre del 2015.
Se il sito Web viene attaccato, ciò ha ulteriori conseguenze spiacevoli. Per evitare altri danni, ad es. ai visitatori del sito, siamo costretti in qualità di provider di Web hosting a bloccare i siti Web interessati. Se il sito Web non funziona con un dominio .ch, sussiste il reale pericolo che il registry svizzero blocchi il nome del dominio. Così, non solo il sito diverrebbe irraggiungibile, ma anche la ricezione e l’invio di e-mail sarebbe impossibile.
I motivi per cui i CMS o in generale le applicazioni Web non vengono regolarmente curati e aggiornati sono soltanto ipotizzabili. Una cosa è sicura: molti utenti non sanno che anche i software hanno bisogno di manutenzione. Un grosso problema è inoltre rappresentato da siti Web creati da un’agenzia per un cliente. Una volta concluso il progetto, le pagine vengono consegnate al cliente “chiavi in mano”, CMS incluso. Il fatto che il cliente debba provvedere ad aggiornare tali installazioni, è poco noto ai più.
Protezione per tempo!
In qualità di gestore di un sito Web occorre dunque effettuare una regolare manutenzione sia del sito che delle relative applicazioni. Tra le operazioni necessarie vi è l’installazione immediata di update di sicurezza e di altri aggiornamenti pubblicati dal produttore. Lo stesso vale per i plugin. Al contempo è necessario non soltanto disattivare i plugin inutilizzati, bensì cancellarli anche dal server Web. Anche i siti Web non funzionanti, ad esempio le installazioni di prova, devono essere rimosse dal server. Ulteriori possibili misure precauzionali sono state riassunte da MELANI in un PDF.