Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Principali modalità di compromissione dei siti da parte degli spammer

Per proteggere il tuo sito da attacchi futuri, è importante capire in che modo è stato compromesso. Questo documento illustra alcune delle vulnerabilità di sicurezza che possono comportare la compromissione del tuo sito.

Il seguente video descrive i tipi di attacchi e come gli hacker prendono il controllo del tuo sito.

Password compromesse

Gli autori degli attacchi potrebbero ottenere la tua password provando diverse password finché non indovinano quella corretta. Gli attacchi di indovinamento della password utilizzano metodi, ad esempio, provando password comuni o scansionando combinazioni casuali di lettere e numeri. Per evitare questo problema, crea una password efficace e difficile da indovinare. Puoi trovare suggerimenti per creare una password efficace nell'articolo del Centro assistenza Google.

Ricorda due punti.

Evita di riutilizzare le password per più servizi. Una volta che gli autori degli attacchi identificano una combinazione di nome utente e password funzionante, provano le credenziali su quanti più servizi possibili. Utilizza una password univoca per evitare che altri account vengano compromessi.
Utilizza l'autenticazione a due fattori (2FA), ad esempio la verifica in due passaggi di Google. L'autenticazione a due fattori aggiunge un secondo livello di credenziali, tramite un codice inviato via messaggio o un PIN generato dinamicamente, per impedire ai malintenzionati di accedere al tuo account. Alcuni fornitori di CMS forniscono indicazioni sulla configurazione dell'autenticazione a due fattori:
- Joomla!
- WordPress
- Drupal

Aggiornamenti della sicurezza mancanti

Le versioni precedenti del software possono presentare vulnerabilità di sicurezza ad alto rischio che consentono ai malintenzionati di compromettere un intero sito. Gli autori degli attacchi cercano attivamente software obsoleti con vulnerabilità. Ignorare le vulnerabilità aumenta il rischio di attacco.

Ad esempio:

Software del server web (se ospiti i tuoi server).
Il tuo sistema di gestione dei contenuti (CMS). Ad esempio, le release di sicurezza di Wordpress, Drupal e Joomla!.
Tutti i plug-in e i componenti aggiuntivi che utilizzi sul tuo sito.

Temi e plug-in non sicuri

I plug-in e i temi CMS aggiungono funzionalità preziose. Tuttavia, temi e plug-in obsoleti o non patchati sono una delle principali fonti di vulnerabilità. Mantieni aggiornati i temi e i plug-in. Rimuovi temi o plug-in non più gestiti.

Fai molta attenzione ai plug-in o ai temi senza costi di siti non attendibili. Si tratta di una tattica comune per gli autori di attacchi informatici aggiungere codice dannoso alle versioni senza costi di plugin o temi a pagamento. Quando rimuovi un plug-in, assicurati di rimuovere tutti i relativi file dal server anziché disattivarlo.

Ingegneria sociale

Ingegneria sociale sfrutta la natura umana per aggirare la sicurezza. Questi attacchi inducono gli utenti a fornire informazioni riservate, come le password. Una forma comune di ingegneria sociale è il phishing. In un tentativo di phishing, un malintenzionato invia un'email fingendosi un'organizzazione legittima per richiedere informazioni riservate.

Non condividere mai informazioni sensibili (ad esempio password, numeri di carte di credito, dati bancari o persino la tua data di nascita) a meno che tu non sia sicuro dell'identità del richiedente. Se più persone gestiscono il tuo sito, fornisci una formazione per sensibilizzare all'ingegneria sociale. Per suggerimenti di base per la protezione dal phishing, consulta il Centro assistenza Gmail.

Falle nelle policy di sicurezza

Se sei un amministratore di sistema o ospiti il tuo sito, criteri di sicurezza scadenti possono consentire agli autori di attacchi di compromettere il tuo sito. Ecco alcuni esempi:

Consentire agli utenti di creare password deboli.
Concedere l'accesso amministrativo a utenti che non ne hanno bisogno.
Non attivare HTTPS e consentire agli utenti di accedere tramite HTTP.
Consente il caricamento di file da utenti non autenticati senza controllo del tipo.

Ecco alcuni suggerimenti per proteggere il tuo sito:

Configura il tuo sito web con controlli di sicurezza elevati disattivando i servizi non necessari.
Testa i controlli dell'accesso e i privilegi utente.
Utilizza la crittografia per le pagine che gestiscono informazioni sensibili, come le pagine di accesso.
Controlla regolarmente i log per rilevare attività sospette.

Divulgazione dei dati

Le fughe di dati si verificano quando i dati riservati vengono caricati e configurati in modo errato per essere disponibili pubblicamente. Ad esempio, i messaggi di errore delle applicazioni web possono divulgare informazioni di configurazione. Utilizzando un metodo noto come "dorking", gli autori di attacchi informatici possono sfruttare la funzionalità dei motori di ricerca per trovare questi dati.

Assicurati che il tuo sito non riveli informazioni sensibili eseguendo controlli periodici e limitando i dati riservati. Se sul tuo sito scopri informazioni sensibili che devono essere rimosse con urgenza dalla Ricerca Google, utilizza lo strumento per la rimozione degli URL.