Internet è una rete logica complessa che si appoggia a strutture fisiche e collegamenti di vario tipo e che connette un dispositivo (detto host) che si trova da qualche parte nel mondo a un altro dispositivo che si trova da qualche altra parte nel mondo. E questo lo sapevate già.
Sembra una cosa facile e scontata ma in realtà è davvero un gran casino.
Facciamola breve e semplice (quindi tecnicamente poco esatta): per far parlare questi due cosi ci vuole un protocollo di rete. Per tanto tempo abbiamo usato HTTP (HyperText Transfer Protocol) che andava benissimo ma aveva un problemino: qualunque bischero poteva infilarsi fra i due host e vedere cosa si stavano dicendo.
HTTPS e sicurezza
Ed è così che è nato HTTPS e quella “S” finale non è l’appendice che gli italiani aggiungono alle parole per provare a parlare spagnolo ma significa “Secure”. Scambiandosi delle informazioni preliminari, i due host si assicurano che solo loro due saranno in grado di leggere il contenuto dei loro scambi. Quando in un browser (in alto a sinistra, accanto all’URL visitato) c’è il famoso lucchettino, significa che la connessione a quel sito è sicura.
Cose importanti da ricordarsi su HTTP/HTTPS:
- Tu, in quanto utente, devi evitare di visitare siti che sono ancora in HTTP. Potrebbero non essere chi dicono di essere, potrebbero essere truffe, si capisce che non c’è una gran cura dietro al sito, come minimo direi che è stato trascurato. Esistono anche estensioni per i vari browser che bloccano la visita se non in HTTPS.
- Se un sito in HTTP dovesse richiedere l’inserimento di nome utente, password, telefono, email, carta di credito o qualunque altra informazione ricordati di non farti fregare: scappa.
- HTTPS non può essere ignorato da Google. La gente si accapiglia per dire se è o non è un ranking factor (vedi relativo capitolo) ma la verità è che la questione è mal posta. Google vuole dare la migliore esperienza possibile a chi lo usa, perché mai dovrebbe voler mandare un utente su un sito non sicuro? È ovvio che HTTPS è importante anche per Google: quando si trova a dover scegliere fra due pagine di pari qualità, preferisce sicuramente quella su HTTPS.
Anche la gestione dello spazio web tramite FTP non è sicura, dovreste usare roba tipo SFTP o FTPS per poter stare tranquilli ma non ne parlerò qui.
Password
Non voglio fare la solita tiritera sulla sicurezza, le password blablabla ma per l’amor di Dio smettete di impostare password troppo semplici e troppo corte. La tecnologia consente attualmente di poter tentare decine e decine di miliardi di password in tempi irrisori e in aggiunta esistono le Rainbow Table che contengono già moltissime password e i relativi hash. In questo senso le raccomandazioni sono sempre le stesse: evitare parole esistenti, combinare maiuscole/minuscole/numeri/simboli, non scrivere le password in luoghi che siano accessibili da altri utenti, non digitarle mentre qualcuno vi guarda.
E infine la madre di tutte le raccomandazioni… Non usate la stessa password per più di un servizio. Lo so che non lo farete mai, vi consiglio di provare un password manager per gestire seriamente le cose (anche se pure i password manager hanno qualche piccola, grande pecca).
Ovviamente, in quanto amministratori di siti e di account social avete la responsabilità di controllare periodicamente chi può fare cosa nella vostra roba. Se vedete un utente che non conoscete fra gli amministratori del sito dovete correre ai ripari. Se vedete un utente sconosciuto fra i gestori della Pagina Facebook o altro social dovete correre ai ripari. E magari cambiate la vostra password perché andrebbe fatto spesso e sicuramente non lo fate mai. La stessa cosa vale anche per il database a cui si appoggia il sito o altro che contenga informazioni sensibili.
Ricordiamoci anche che per far eseguire certi compiti a un utente sul sito o in una Pagina social non è necessario che tale account sia un amministratore, spesso è sufficiente un livello più basso e con poteri più limitati: organizzare i ruoli nel Digital Marketing è fondamentale perché aiuta a limitare i possibili danni e aiuta a ricostruire cosa è successo in caso di disastri.
Altre considerazioni sulla sicurezza
Certo che se concentrate i vostri sforzi solo sulla parte online dei vostri sistemi e poi lasciate senza password (o con password risibili) il vostro computer e quindi il browser dove magari avete salvato l’accesso a duemila servizi online… Magari sul vostro PC non avete alcun software antivirus oppure c’è ma gratuito o scaduto o craccato, magari vi attaccate a qualunque rete Wi-Fi aperta, magari cliccate sui link trovati in email scritte in un italiano claudicante che vi annunciano che avete vinto un iPhone 14, magari nella vostra rete casalinga si entra nell’amministrazione del router con la combinazione admin/admin. Vabbè, ci siamo capiti.
Attivate la Two-factor authentication (2FA) per i vostri login: ricevere un SMS o un’email quando vi loggate può essere un rompimento di scatole ma sappiate che può davvero esservi d’aiuto. D’altra parte, la comodità è nemica della sicurezza, c’è poco da fare.
Gestire un sito realizzato con un CMS come WordPress (tipo questo) può essere un’esperienza frustrante dal punto di vista della sicurezza perché essendo la tipologia più diffusa è anche la più bersagliata dagli attacchi. Direi che nel 2023 è follia non installare almeno un plugin che tenga sotto controllo i tentativi di accesso, le modifiche ai file importanti e che faccia una scansione periodica cercando malware. Uno dei software più diffusi in questo senso per WordPress è Wordfence che già nella versione gratuita include un buon numero di servizi.
Potete anche controllare periodicamente il sito con servizi online tipo Sucuri
Tratto da “Prontuario semiserio di Digital Marketing” di Lamberto Salucco
Link per l’acquisto (e-book o cartaceo) su Amazon
