+356 2704 1868

info@supero.com.mt

Supero ltd Malta

Siti web, software, contenuti

Contattaci

di Lascia un commento

La sicurezza del sito è uno degli aspetti più importanti, anche se a volte sottovalutati, nella creazione e nella gestione di un sito internet. Troppo spesso i committenti si concentrano esclusivamente sul design, pensano ai contenuti, alla SEO e trascurano la sicurezza, un aspetto essenziale che ha un impatto micidiale sulla reputazione aziendale in tutti i sensi (SEO compresa).

Abbiamo già affrontato più volte l’argomento su questo stesso sito, per esempio abbiamo parlato dei motivi che spingono un hacker a prendersela proprio con il nostro sito, abbiamo iniziato a parlare della sicurezza di WordPress e a proposito di questo popolare CMS abbiamo smontato il falso mito relativo alla sua presunta debolezza, in termini di sicurezza.

Ci sono varie statistiche relative alle più comuni vulnerabilità di un sito web, di seguito riportiamo una tra le più condivise anche se le percentuali possono cambiare a seconda della fonte e del momento.

  • 15% Cross Site Scripting
  • 12% Vulnerabilità nei componenti adottati
  • 9% Scarsa sicurezza nell’autenticazione
  • 8% Altri tipi di injection
  • 6% Interazione con servizi esterni
  • 6% Esposizione del codice
  • 6% SQL injection
  • 5% Esposizione di sistema
  • 4% Caricamento file malevoli
  • 4% Esposizione di informazioni sensibili
  • 3% Errata gestione degli errori
  • 3% Problemi di autenticazione
  • 3% Open Redirection
  • 2% Vulnerabilità DOM Based
  • 2% Gestione delle sessioni non sicura
  • 2% Richieste Cross site
  • 11% Altro

In questo articolo non entreremo nel dettagli delle vulnerabilità, piuttosto andiamo a presentare una serie di tool per fare gratuitamente la scansione del sito alla ricerca di vulnerabilità ed errori. Ci teniamo a sottolineare il fatto che questi strumenti sono utili non soltanto per controllare una segnalazione ma anche per fare un rapido audit della sicurezza del sito, in altre parole è ragionevoli usarli prima che succeda qualcosa di brutto. L’elenco non segue un ordine particolare.

Sucuri

Sucuri scansione online

Sucuri è uno degli strumenti più popolari tra quelli segnalati in questo articolo, probabilmente per la sua estrema semplicità: si inserisce l’indirizzo del sito e il tool effettua una scansione alla ricerca di Malware. Contemporaneamente controlla che il sito non sia segnalato nelle più usate black list in circolazione, i risultati si ottengono in pochi secondi, è un ottimo strumento per un controllo periodico.

Qualys

qualys scan sslQualys effettua un controllo approfondito sui protocolli SSL/TLS usati dal sito, il certificato usato ed eventuali vulnerabilità. Questo strumento va usato al momento della pubblicazione del sito oppure quando sono state fatte delle modifiche alla configurazione della comunicazione SSL.

Hosted Scan Security

HostedScan comHosted Scan è un servizio online che mette a disposizione una scansione gratuita del sito, basta fornire un indirizzo email per accedere ai risultati. La scansione è molto completa (può richiedere parecchi minuti) e controlla molti aspetti del sito. Le comunicazioni di rete vengono esaminate in modo completo, quindi il tool procede ad esaminare il software in uso verificando anche il CMS in uso.

Quttera

Quttera è un altro strumento per controllare infezioni e vulnerabilità del proprio sito. Nella versione gratuita è piuttosto lento, il tempo per completare la scansione dipende anche dal numero di richieste ricevute in quel momento. Il tool controlla anche se il sito è presente nelle liste nere di Google, Yandex e altri.

Detectify

Creato da un gruppo di hacker etici, Detectify propone una serie di tool sofisticati. Il prezzo di un account parte da 70 dollari al mese per accedere ai “semplici” strumenti di scansione, il monitoring più sofisticato parte da 250 dollari al mese: si tratta di strumenti professionali, pensati per agenzie web e amministratori di sistema. E’ disponibile un periodo di prova di due settimane in cui si possono testare gli (ottimi) strumenti messi a disposizione.

UpGuard

UpguardAnche UpGuard effetta una scansione del sito alla ricerca di vulnerabilità. La versione gratuita effettua un controllo del server e dei protocolli di comunicazione utilizzati, oltre a verificare che il sito non sia stato listato in qualche blacklist. La versione professionale effettua una scansione più approfondita, esaminando anche le componenti software in uso.

Observatory

observatoryL’osservatorio messo a disposizione dalla Mozilla Foundation permette di eseguire una scansione del sito alla ricerca di vulnerabilità. Procede a controllare la sicurezza del server e i protocolli di rete implementati, offre la possibilità di lanciare contemporaneamente la scansione con strumenti di terze parti i cui risultati sono consultabili alla fine del test, che dura una manciata di secondi.

ImmuniWeb

ImmuniwebImmuniWeb è un altro tool piuttosto popolare, meritatamente. E’ molto rapido ed effettua dei controlli approfonditi, oltre a verificare la configurazione di rete e del server, effettua alcune verifiche legate al CMS usato dal sito. Effettua anche un controllo basilare sulla adeguatezza nei confronti del GPDR.

SiteGuarding

siteguarding.comNella sua versione gratuita SiteGuarding effettua una scansione del sito, controlla la rete, il server e verifica se il dominio risulta iscritto in qualche blacklist. Effettua anche una verifica dell’indirizzo ip usato per controllare che non ci siano vicini poco gradevoli. Controlla anche i link del sito, sempre per verificare che non ci siano collegamenti con vicini spiacevoli.  La versione a pagamento è più sofisticata, prevede la necessità di installare del software sul server, ad esempio per WordPress è disponibile un plugin. Al momento in cui scriviamo c’è la possibilità di una prova gratuita per trenta giorni.

Probely

Probely è uno dei tool di sicurezza tra i più sofisticati. Lo strumento è adatto per l’uso professionale e permette di fare una scansione approfondita di un sito o di una applicazione. Gli strumenti messi a disposizione dal sito sono pensati soprattutto per sviluppatori. I prezzi sono ragionevoli, la versione a pagamento parte da 39 euro al mese ed è disponibile un periodo gratuito di prova di 14 giorni.

Pentest-Tools

Pentest Tool scan lightNella sua versione a pagamento Pentest mette a disposizione una serie di strumenti che si occupano di cercare vulnerabilità in un sito a livello di rete, server, CMS e software utilizzato. E’ disponibile una scansione gratuita che effettua una verifica “light” del sito inviato, la versione “full” effettua verifica molto più approfondite ed è a pagamento. Il costo della sottoscrizione parte da 110 euro al mese e permette di verificare 10 siti.

Intruder

Intruder reportPer poter usare il tool è necessario registrarsi ed effettuare il login, nella versione gratuita si hanno a disposizione cinque scansioni per il periodo di prova di trenta giorni. Si tratta di uno strumento completo che esamina le connessioni di rete, il server, il CMS usato con i suoi plugin e verifica che tutti i componenti software in uso siano aggiornati. Una scansione richiede un certo tempo, a seconda del sito possono volerci da 15 minuti ad alcune ore.

WordPress Security Scanner

Come dice il nome questo test realizzato di Geekflare,  è utile soltanto per siti realizzati in WordPress. Si limita a controllare la versione di WordPress, del tema e dei plugin per verificare che siano tutti correttamente aggiornati oltre ad alcuni controlli di base. E’ comunque utile, per controllare di non aver dimenticato niente.

VirusTotal

Scansione VirusTotalQuesto tool è piuttosto noto ed è piuttosto diverso dagli altri esaminati in questo articolo. VirusTotal non fa una scansione di sicurezza ma si limita a controllare se un sito (o un file) è infetto. In altre parole è un antivirus online, il motivo per cui ne parliamo in questo articolo è che si rivela utile per confermare eventuali segnali positivi ed eventualmente mettere in evidenza falsi positivi (vero, Avast?)

CookieYes

Questo strumento non ha niente a che fare con la sicurezza, lo abbiamo incluso in questo articolo perchè è un ottimo tool, utilissimo per verificare i cookie usati e quindi anche lo stato del sito al cospetto del GDPR. CookieYes fa una scansione di tutti i cookie usati a un certo indirizzo e ne propone una classificazione, usando una terminologia identica a quella delle norme comunitarie.

Conclusioni

In questo articolo abbiamo individuato 15 strumenti utili per controllare la sicurezza di un sito. Tutti i siti linkati mettono a disposizione, come minimo, un periodo di prova gratuito e nella maggior parte dei casi è possibile fare una scansione senza neanche registrarsi.

La sicurezza è un aspetto fondamentale nella gestione del sito, grazie a questi strumenti non sono richieste competenze di altissimo livello, almeno per un controllo di base. Non esiste un valido motivo per trascurare la sicurezza del sito.

Articoli correlati:

Perchè un hacker dovrebbe prendersela col mio sito? Motori di ricercaCome funziona un motore di ricerca? Errori da principianteGli errori da principiante E’ il momento di passare a Joomla 3?

Iscriviti alla nostra Newsletter

Iscriviti per ricevere via email aggiornamenti da questo sito. Non riceverai spam!
Ho letto e accetto le informazioni sulla privacy

Interazioni del lettore

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.