Il glossario include una raccolta di termini tecnici a cui viene fatto riferimento nella nostra documentazione sulla sicurezza.
- Privilegi di amministratore
- L'impostazione dell'account con il più alto livello di autorizzazione in un sistema. Questi privilegi consentono azioni come l'eliminazione dell'intero sito, la reimpostazione delle password o il caricamento di file.
- Backdoor
- Un programma installato su un sistema per bypassare i controlli di autenticazione e mantenere l'accesso di un hacker a quel sistema.
- Cloaking
La pratica di presentare contenuti o URL diversi agli utenti e ai motori di ricerca.
Ad esempio, gli script dinamici e le regole
.htaccess
possono restituire codici di stato in base alle richieste elaborate. Gli hacker ricorrono al cloaking per nascondere le proprie tracce, restituendo un codice di errore 404 o 500 a determinati indirizzi IP o browser, inviando spam ad altri indirizzi IP o browser.- File di configurazione
File che memorizzano informazioni come la posizione del database e le credenziali per i siti dinamici.
- Sistema di gestione dei contenuti
Pacchetti software che aiutano gli utenti a creare e modificare siti web. Alcuni esempi sono WordPress, Drupal e Joomla!, ma ce ne sono molti altri, inclusi alcuni personalizzati.
- Esperti di informatica forense
Persone o team che possono aiutarti a ripulire il tuo sito e a capire in che modo è stato compromesso.
- Pagina web statica
Una pagina web composta da un unico file non modificabile che mostra i contenuti di un sito web.
- Pagina web dinamica
Una pagina web che utilizza script e modelli per generare contenuti sul sito. Genera di nuovo ogni pagina ogni volta che viene richiesta.
eval()
Una funzione PHP e JavaScript che valuta una stringa e restituisce il risultato. Le funzioni di valutazione sono sconsigliate quando un sito si occupa dell'input dell'utente, perché apre una vulnerabilità che consente ai malintenzionati di infiltrarsi nel codice dannoso (ad esempio iniettando comandi PHP dannosi).
- FTP (File Transfer Protocol)
Protocollo utilizzato per trasferire file da un computer a un altro.
- File nascosti
File che non vengono visualizzati in una directory per impostazione predefinita. In genere, i file come
.htaccess
vengono nascosti per proteggere le informazioni importanti dalla modifica accidentale. Devi configurare il file system in modo da vedere e modificare i file nascosti.- Codici di stato HTTP
Risposte standardizzate che i server web restituiscono insieme ai contenuti quando gli utenti provano a interagire con una pagina, ad esempio quando carica una pagina o invia un commento. Questi codici aiutano gli utenti a capire come risponde il sito web o a identificare gli errori. Consulta la pagina Status Code del World Wide Web Consortium per un elenco completo dei codici di stato e del loro significato.
- iFrame
Codice che consente a una pagina web di visualizzare i contenuti di una pagina all'interno di un'altra. Gli iframe nascosti sono una tattica comune utilizzata dagli hacker per reindirizzare gli utenti ai loro siti.
- File di log
File in cui i server web registrano le richieste degli utenti per tenere traccia di tutte le attività eseguite sul server. Puoi identificare i tentativi di pirateria informatica o il traffico sospetto sul tuo sito esaminando i file di log.
- Malware
Qualsiasi software specificamente progettato per danneggiare un computer, il software in esecuzione o gli utenti. Per scoprire di più, consulta la pagina Malware e software indesiderato.
- Offuscamento
Tattica utilizzata dagli hacker per confondere le persone che lo interpretano rendendolo più difficile da leggere. Alcuni metodi comuni di offuscamento da parte degli hacker includono la sostituzione dei caratteri, confondere intenzionalmente i nomi delle variabili, utilizzare codifiche come
base64
,rot13
,gzip
, codifica URL, codifica esadecimale o una combinazione di queste. Alcuni metodi di offuscamento, comebase64
egzip
, vengono utilizzati anche per comprimere e nascondere grandi quantità di codice, come intere shell web.- Phishing
Una forma di ingegneria sociale che induce con l'inganno gli utenti a fornire informazioni sensibili come nomi utente o password fingendo di essere una fonte attendibile. Ad esempio, un phisher potrebbe inviare un'email a una potenziale vittima fingendo di essere la sua banca e chiedergli le credenziali del suo conto bancario. Per scoprire di più, consulta l'articolo Prevenire e segnalare gli attacchi di phishing.
- Search Console
Un servizio senza costi offerto da Google che ti consente di monitorare e gestire la presenza del tuo sito nei risultati della Ricerca Google. Google usa Search Console anche per comunicare con i proprietari dei siti in merito ai problemi del sito web. Per scoprire di più, consulta Informazioni su Search Console.
- Sitemap
Un file contenente un elenco di pagine web su un sito che informa i motori di ricerca dell'organizzazione dei contenuti del sito. Per scoprire di più, consulta Scopri di più sulle Sitemap.
- Ingegneria sociale
Una tecnica per ottenere l'accesso o il controllo di informazioni sensibili cercando di indurre con l'inganno le persone a fornire l'accesso anziché attaccare direttamente il codice. Il phishing è una delle forme più comuni di ingegneria sociale. Per scoprire di più, consulta l'articolo Ingegneria sociale (siti di phishing e ingannevoli).
- Picco di traffico
Un picco improvviso o imprevisto nel traffico del sito web.
- Autenticazione a due fattori
Un meccanismo di sicurezza per proteggere l'accesso all'account richiedendo almeno due token di prova. Ad esempio, un utente che utilizza l'autenticazione a due fattori potrebbe avere bisogno sia di una password che di un codice di sicurezza ricevuto tramite SMS per accedere al proprio account.
- Servizio di web hosting
Un servizio che offre agli utenti spazio per ospitare il proprio sito su un server web, ad esempio Google Sites. A seconda del servizio potrebbero essere disponibili strumenti o funzionalità extra.
- Linguaggi di scripting web
Linguaggio di programmazione spesso utilizzato insieme all'HTML per aggiungere ulteriori funzionalità a un sito, come l'elaborazione di moduli, la moderazione dei commenti o speciali effetti visivi. Le guide al recupero utilizzano il linguaggio di scripting per fare riferimento a PHP o JavaScript.
PHP è un linguaggio di scripting lato server, quindi il server web interpreta ed esegue i suoi comandi. JavaScript è principalmente un linguaggio lato client, ossia il browser dell'utente interpreta ed esegue i suoi comandi.
- Server web
Il computer e il software che ospitano e controllano le pagine web e altri file correlati a un sito web.
- Shell web
Uno script backdoor che consente agli aggressori di mantenere l’accesso a un server.
- Spam
Tattiche di ottimizzazione per i motori di ricerca ingannevoli (SEO) o contenuti di spam che tentano di aumentare il ranking o la popolarità di un sito ingannando e manipolando i motori di ricerca.