La sicurezza non e un lusso, e il minimo sindacale

Molte aziende pensano alla sicurezza del sito solo quando succede qualcosa: un defacement, un redirect a siti sospetti, un database compromesso. A quel punto il danno e fatto: dati persi, reputazione danneggiata, giorni di lavoro per ripristinare tutto. In alcuni casi, sanzioni per violazione del GDPR. Eppure la maggior parte degli attacchi sfrutta vulnerabilita note e prevenibili con interventi basilari.

Non serve essere paranoici. Non serve un budget da multinazionale. Serve avere i fondamentali in ordine — e nel 2026, non averli e una negligenza, non una scelta.

Le sei misure minime che fanno la differenza

Questi sei interventi, implementati correttamente, rendono il sito più sicuro del 90% dei siti online. Non sono opzionali: sono il minimo che ogni sito dovrebbe avere.

1. HTTPS ovunque — nessuna eccezione

Un certificato SSL e gratuito con Let's Encrypt e la maggior parte degli hosting lo installa con un click. Un sito in HTTP nel 2026 viene segnalato come "Non sicuro" dal browser, penalizzato da Google e potenzialmente in violazione del GDPR se raccoglie qualsiasi dato personale (anche un semplice form contatti). Non ci sono scuse per non averlo.

La configurazione corretta prevede:

• Redirect automatico da HTTP a HTTPS su tutte le pagine
• Header Strict-Transport-Security (HSTS) per impedire il downgrade a HTTP
• Rinnovo automatico del certificato (Let's Encrypt scade ogni 90 giorni)
• Verifica che tutte le risorse (immagini, CSS, JS) siano caricate via HTTPS per evitare il "mixed content"

2. Aggiornamenti regolari — la porta che tutti lasciano aperta

PHP, CMS, plugin, librerie, sistema operativo del server — ogni componente non aggiornato e una porta aperta. Le vulnerabilita note vengono pubblicate in database pubblici (CVE) e gli attacchi automatizzati le sfruttano in poche ore dalla pubblicazione. Un bot non deve nemmeno sapere che il tuo sito esiste: scansiona interi range di IP cercando versioni vulnerabili note.

La strategia corretta:

• PHP: usare una versione con supporto di sicurezza attivo. Nel 2026, PHP 8.2 e il minimo. Le versioni precedenti non ricevono più patch di sicurezza
• CMS e framework: aggiornare entro una settimana dalle release di sicurezza. Configurare notifiche automatiche per le nuove versioni
• Plugin e dipendenze: usare composer audit per verificare vulnerabilita note nelle dipendenze PHP. Per WordPress, aggiornare i plugin almeno settimanalmente
• Rimuovere il non necessario: ogni plugin disattivato, ogni libreria inutilizzata e una superficie di attacco in più. Se non serve, va rimosso

3. Password decenti e autenticazione robusta

Nessuna password "admin123", "password", o il nome dell azienda. Sembra ovvio ma nel 2026 e ancora la causa numero uno delle compromissioni di siti web. Le regole sono semplici:

• Hashing con bcrypt o Argon2: mai MD5, mai SHA1, mai in chiaro. PHP offre password_hash() con PASSWORD_BCRYPT o PASSWORD_ARGON2ID
• Rate limiting sui tentativi di login: dopo 5 tentativi falliti in 5 minuti, blocco temporaneo di 15 minuti. Implementabile con un semplice contatore su Redis o database
• 2FA per gli account amministrativi: un secondo fattore con TOTP (Google Authenticator) rende inutile una password rubata. E il singolo intervento più efficace per proteggere gli accessi admin
• Password manager: consigliare (o imporre) ai collaboratori l uso di un password manager per generare e conservare password uniche e complesse per ogni servizio

4. Backup automatici e testati — la rete di sicurezza

Un backup che non e mai stato provato non e un backup — e una speranza. E le speranze non ripristinano un database corrotto alle 3 di notte. La strategia di backup corretta prevede:

• Backup automatici giornalieri: sia dei file che del database, senza intervento manuale. Uno script cron o il pannello dell hosting possono automatizzare tutto
• Conservazione esterna: i backup devono stare su un server diverso da quello del sito. Se il server viene compromesso, i backup sullo stesso server sono inutili. Amazon S3, Backblaze B2 o anche un semplice rsync verso un VPS separato
• Retention adeguata: conservare almeno 7 backup giornalieri, 4 settimanali e 2 mensili. Un compromissione scoperta dopo una settimana richiede un backup antecedente all evento
• Test di ripristino: almeno una volta ogni tre mesi, ripristinare un backup su un ambiente di test e verificare che tutto funzioni. Scoprire che i backup sono corrotti nel momento del bisogno e il peggior scenario possibile

5. Validazione di ogni input — mai fidarsi dell utente

Ogni form, ogni parametro URL, ogni header HTTP va validato e sanitizzato prima di usarlo nel codice o nel database. Le vulnerabilita da input non validato sono tra le più pericolose:

• SQL Injection: mai concatenare input dell utente nelle query SQL. Usare sempre prepared statements con parametri bindati. In PDO: $stmt = $pdo->prepare("SELECT * FROM users WHERE email = ?"); $stmt->execute([$email]);
• XSS (Cross-Site Scripting): mai stampare input dell utente senza escaping. In PHP: htmlspecialchars($input, ENT_QUOTES, 'UTF-8') per l output HTML. Per i template engine moderni come Blade o Twig, l escaping e automatico con la sintassi standard
• CSRF (Cross-Site Request Forgery): ogni form deve includere un token CSRF verificato dal server. Impedisce che un sito esterno possa eseguire azioni per conto dell utente autenticato
• File upload: validare tipo MIME reale (non solo l estensione), limitare la dimensione, salvare fuori dalla document root, rinominare il file con un nome casuale

6. GDPR e cookie — non e opzionale

La normativa sulla protezione dei dati personali non e un suggerimento: e una legge con sanzioni che possono arrivare al 4% del fatturato annuo. I requisiti minimi per un sito:

• Informativa privacy aggiornata: deve descrivere quali dati vengono raccolti, perché, come vengono trattati, per quanto tempo e i diritti dell utente
• Consenso cookie conforme: un banner che blocca effettivamente i cookie non tecnici fino al consenso esplicito. Non un banner che si limita a informare mentre i cookie sono già attivi
• Minimizzazione dei dati: raccogliere solo i dati strettamente necessari. Se il form contatti non ha bisogno della data di nascita, non chiederla
• Sicurezza dei dati personali: i dati raccolti devono essere protetti con misure adeguate (crittografia, accesso limitato, log delle operazioni)

Oltre le basi: monitoraggio attivo

Una volta implementate le sei misure fondamentali, il passo successivo e il monitoraggio attivo: un sistema che ti avvisa quando qualcosa non va prima che diventi un problema grave. Strumenti come UptimeRobot (gratuito) controllano che il sito sia online. Un file integrity monitor segnala modifiche sospette ai file del sito. I log di accesso analizzati periodicamente rivelano tentativi di intrusione.

Questi sei punti non richiedono budget enormi. Richiedono attenzione, competenza e costanza. Un sito che li rispetta tutti e già più sicuro del 90% dei siti online — e costa molto meno di una singola compromissione.

---

👉 Leggi l'articolo completo su iadicola.it