Modifiche Privacy entro gennaio 2022 o sanzioni!

Responsabile per la transizione digitale e il Responsabile della conservazione digitale sono figure sorte in questa nuova era digitale grazie anche all’aumento dell’uso del web, incrementando la necessità di tutelare gli utenti che navigano nella rete.

Il Codice della Amministrazione Digitale, le Linee Guida per l’Italia Digitale e le Linee Guida del Garante della Privacy hanno determinato obblighi in capo alle imprese, alcuni dei quali devono essere implementati entro l’inizio del 2022, vediamo insieme quali sono.

Cookie policy dei siti web. 

Obbligatorio per tutti

Il Garante della Privacy ha previsto adempimenti per i titolari di siti web, che dovranno essere implementati entro il 10 gennaio 2022 in relazione disposizioni in materia di privacy. Lo scorso 10 luglio, il Garante per la Privacy ha pubblicato le nuove Linee Guida in tema di cookie, che specificano le corrette modalità di utilizzo dei sistemi di tracciamento, nonché le modalità di ottenimento del consenso dei siti web. Viene stabilito che:

  • i cookie tecnici sono “finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”. Il Garante Privacy non ha modificato l’esenzione per i titolari del trattamento dall’obbligo di acquisizione del consenso dell’utente;
  • i cookie di profilazione, sono gli strumenti che, raccogliendo informazioni sui comportamenti degli utenti online, servono a creare dei veri e propri profili, per servizi pubblicitari e di marketing. Nelle Linee è stati ribadito nuovamente che il loro utilizzo è lecito esclusivamente previo esplicito consenso dell’utente.
  • i cookie analitici richiedono, il consenso espresso dell’utente. Salvo in cui sussistano tutte le seguenti condizioni:
  1. utilizzo unicamente per produrre statistiche aggregate e anonime;
  2. utilizzo in relazione ad un singolo sito o una sola applicazione mobile;
  3. viene mascherata almeno l’ultima componente dell’indirizzo IP;
  4. le terze parti si astengono dal combinare tali cookie analitici con altre elaborazioni o dal trasmetterli a terzi.

Tipologie di Cookies e Garante Privacy Scrolling e la Cookie Wall  

In merito allo scorrimento (Scrolling) della pagina di qualsiasi sito, il Garante Privacy ha affermato che, tale attività non può e non deve essere considerata una manifestazione del consenso all’attivazione di qualsiasi tipologia di cookie presente sul sito. Sono fatti salvi, però, alcuni casi particolari.

Per quanto concerne il cosiddetto “cookie wall”, ovvero la tecnica per cui si impedisce la navigazione del sito all’utente che non ha previamente manifestato le proprie preferenze, è definita una modalità di coercizione del consenso dell’utente e, pertanto, attività illecita.

 

Responsabile della conservazione digitale

Obbligatorio per tutti

Le Linee Guida prevedono l’obbligo di nominare un Responsabile della conservazione digitale che è la figura che definisce e attua le politiche del sistema in questione. Infatti, secondo l’art. 44, comma 1 quater del CAD, “il responsabile della conservazione, che opera d’intesa con il responsabile del trattamento dei dati personali, con il responsabile della sicurezza e con il responsabile dei sistemi informativi […] effettua la conservazione dei documenti informatici

E’ necessario prestare particolare attenzione ai compiti e alle responsabilità della suddetta figura che deve 

  • definire le politiche di conservazione e i requisiti funzionali del sistema di conservazione, gestire il processo di conservazione e garantire la conformità alla normativa vigente
  • effettuare il monitoraggio della corretta funzionalità del sistema di conservazione, nonché adottare le misure necessarie per la sicurezza fisica e logica del sistema di conservazione.

Servizio Privacy Web i Cookie in Italia e le nuove linee guida del Garante Privacy (e come adeguarsi)

Il 10 luglio 2021, l’autorità italiana per la protezione dei dati (il “Garante Privacy”) ha approvato le nuove linee guida per l’uso dei cookie.
Abbiamo creato questa guida per aiutarti a capire cos’è cambiato e come rispettare i requisiti con il minimo sforzo o semplicemente cosa ci occuperemo di fare per te se usufruisci già del nostro Servizio Privacy Web  

In breve

  • Se hai sede in Italia, questi requisiti ti riguardano.
  • Cookie banner
    • Nel banner del tuo sito web i pulsanti “Accetta” e “Rifiuta” sono obbligatori
    • Gli utenti devono poter fare scelte granulari sulle funzionalità, le terze parti e le categorie di cookie da installare (pur lasciando i dettagli dell’implementazione al fornitore del servizio, le linee guida suggeriscono che raggruppare le opzioni sia una soluzione adatta a soddisfare questo requisito).
    • Gli utenti devono poter aggiornare le proprie preferenze di tracciamento in qualsiasi momento.
    • Raccolta del consenso
    • Il consenso via semplice scorrimento non è più valido.
    • I cookie wall non sono ammessi.
    • Validità delle preferenze dell’utente relative al consenso: dopo aver chiesto il consenso la prima volta, devono passare almeno 6 mesi prima di poterlo chiedere nuovamente.
    • Cookie statistici (analytics)
    • I cookie statistici di prima parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo).
    • I cookie statistici di terza parte possono essere installati senza il consenso dell’utente (e senza blocco preventivo) solo a determinate condizioni.
    • Prova del consenso: devi poter dimostrare di aver ottenuto un consenso valido secondo gli standard del GDPR.
    • Basi giuridiche applicabili all’uso dei cookie oltre al consenso: l’interesse legittimo non costituisce una base giuridica valida.
    • Hai tempo fino al 10 gennaio 2022 per adeguarti.ù

Questi requisiti ti riguardano?

Tu o i tuoi utenti avete sede in Italia? Se sì, questi requisiti ti riguardano.

Requisiti principali

Cookie banner

Qualora un sito web faccia uso di cookie di profilazione o altri strumenti di tracciamento (difficile trovare un sito web che non lo faccia), il banner costituisce un meccanismo valido per l’acquisizione del consenso dell’utente.

Il Garante prevede che il banner (o, in alternativa, un’area/finestra) mostrato da un sito web al primo accesso dell’utente includa le seguenti informazioni:

  • un’informativa breve sull’uso da parte del sito di cookie tecnici ed eventuali cookie di profilazione o altri strumenti di tracciamento, con le relative finalità;
  • un link alla cookie policy che indichi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione e l’esercizio dei diritti dell’utente;
  • un’indicazione chiara che l’utente, proseguendo nella navigazione del sito tramite un’azione positiva ed esplicita, presta il proprio consenso alla profilazione. Fai attenzione, però, perché il semplice
  • scorrimento non è considerato un metodo valido per la raccolta del consenso;
  • un link a un’area dedicata dove l’utente può selezionare in maniera granulare le funzionalità, le terze parti e le categorie di cookie da installare;
  • un comando per accettare tutti i cookie o altri strumenti di tracciamento;
  • un comando per rifiutare tutti i cookie o altri strumenti di tracciamento.

Nelle visite al sito successive alla prima, l’utente non dovrà più visualizzare il banner iniziale, ma dovrà poter accedere alla privacy/cookie policy e ad un’area dover poter modificare le preferenze di tracciamento espresse in precedenza.

* Se un sito web installa solo cookie tecnici, il banner non è necessario: l’informazione sull’uso dei cookie tecnici può infatti essere inclusa nell’homepage o nell’informativa.

💡 Se hai già il Servizio Privacy Web pensiamo noi a:

  • Attivare i pulsanti “Accetta”, “Scopri di più”, “Rifiuta” e il consenso per categoria, nonché permettere ai tuoi visitatori di aggiornare in ogni momento le proprie preferenze di consenso.
  • Attivare “Mostra pulsanti Accetta e Personalizza” e “Mostra pulsante Rifiuta”.
  • Attivare “Consenso per categoria” per dare agli utenti un controllo più dettagliato rispetto alle categorie di cookie a cui prestare il consenso.
  • Personalizzre il widget privacy per permettere agli utenti di aggiornare le preferenze di consenso espresse in precedenza.
  • Aggiornare il testo del primo livello del cookie banner in modo da fare esplicitamente riferimento ai cookie tecnici e non (come richiesto dal Garante).

Raccolta del consenso

Lo scrolling o scrolldown non è ritenuto adatto alla raccolta di un valido consenso. Unica eccezione: che lo scorrimento sia parte di una serie di azioni che indicano in maniera inequivocabile la volontà dell’utente di prestare il proprio consenso.

Il Garante considera illeciti anche i cosiddetti cookie wall, salvo che il sito web offra all’utente la possibilità di accedere a un contenuto o a un servizio equivalenti senza dover prestare il proprio consenso (con il Servizio Privacy Web valuteremo  caso per caso).

💡 Se hai già il Servizio Privacy Web pensiamo noi a:

  • Configurare la Cookie Solution per disattivare il consenso allo scorrimento e all’interazione con la pagina (anch’esso non valido).

Preferenze di consenso ai cookie

Agli utenti può essere chiesto nuovamente di prestare il consenso solo se:

  • le condizioni del consenso sono cambiate (ad esempio, sono stati aggiunti dei nuovi servizi di terza parte o ne sono stati rimossi di vecchi); o
  • il titolare del sito non possiede gli strumenti per tenere traccia del consenso precedente (ad esempio, l’utente ha eliminato il cookie di consenso installato sul suo dispositivo); o
  • sono passati almeno 6 mesi dall’ultima acquisizione.

💡 Se hai già il Servizio Privacy Web pensiamo noi a:

  • Verificare la validità standard delle preferenze di consenso della nostra Cookie Solution che di norma abbiamo già impostato a 12 mesi, già in linea quindi con le disposizioni del Garante. Se è stata modificata, verificheremo ci assicureremo che sia di almeno 180 giorni.

Cookie statistici

I cookie sono definiti sulla base di due macro categorie: cookie tecnici e cookie di profilazione.

Inoltre, il Garante precisa che, in linea di principio, i cookie statistici di prima parte possono essere installati senza il consenso dell’utente.

Per quanto riguarda i cookie statistici di terza parte, possono essere installati senza il consenso dell’utente solo se:

  • non permettono l’identificazione di un utente preciso (ad esempio, usano solo indirizzi IP abbreviati o sono assegnati non a un singolo dispositivo, ma a diversi);
  • il loro uso è limitato a un singolo sito/app;
  • non sono condivisi o comunicati a terzi;
  • i dati raccolti non sono combinati con altri dati.

💡 Se hai già il Servizio Privacy Web pensiamo noi a:
se utilizzi Google Analytics puoi anonimizzare gli indirizzi IP evitando il blocco preventivo dei Cookie. Tuttavia in certi paesi (ad esempio Belgio, Irlanda e Regno Unito) i cookie statistici richiedono sempre e comunque il consenso. Di conseguenza, imposteremo il blocco preventivo in quanto più prudente.

Prova del consenso

ll Garante precisa che il titolare di un sito web è tenuto a dimostrare di aver ottenuto un consenso valido secondo gli standard del GDPR (vedi Prova del consenso e registro dei consensi).

💡 Se hai già il Servizio Privacy Web pensiamo noi a:
attivare noi il Registro Preferenze Cookie.

Basi giuridiche per il trattamento diverse dal consenso

Il Garante ha affermato chiaramente che i cookie (e gli altri strumenti di tracciamento) non possono essere installati se non sulla base del consenso degli utenti o, se si applicano le condizioni dell’eccezione “strettamente necessari” (ad esempio, i cookie sono necessari e usati unicamente per realizzare o facilitare la comunicazione, o per fornire un servizio richiesto dall’utente in modo esplicito), anche senza il consenso degli utenti.

In particolare, l’interesse legittimo del titolare del sito web non costituisce una base giuridica valida.

I titolari di siti web hanno tempo fino al 10 gennaio 2022 per adeguarsi (6 mesi a partire dal 9 luglio 2021, data della pubblicazione delle linee guida nella Gazzetta Ufficiale).

Rispetta i requisiti italiani nel modo più semplice!

Usi già il Servizio Privacy Web? Allora non devi fare nulla, pensiamo noi a tutto 🙂

Hai un sito web e utenti in Italia ma non usi ancora i nostri servizi?

Inizia a usare il Servizio Privacy Web, adeguarti facilmente ai requisiti di consenso ai cookie ma non trascurare la sicurezza dai uno sguardo anche al Servizio Sito Sicuro

 

Google Drive: Autorità Garante della Concorrenza e del Mercato Estratto del provvedimento CV194 Google Drive Clausole Vessatorie

Autorità Garante della Concorrenza e del Mercato
Estratto del provvedimento CV194 Google Drive Clausole Vessatorie

BOLLETTINO N. 38 DEL 27 SETTEMBRE 2021

CV194 – GOOGLE DRIVE-CLAUSOLE VESSATORIE

Allegato al provvedimento n. 29817

Allegato al provvedimento dell’Autorità Garante della Concorrenza e del Mercato del 7 settembre 2021 in materia di tutela amministrativa contro le clausole vessatorie ex articolo 37-bis del Codice del Consumo.

[OMISSIS]
In data 20 agosto 2020, è stato avviato il procedimento CV194 GOOGLE DRIVE – CLAUSOLE

VESSATORIE nei confronti della società Google Ireland

[OMISSIS]

Costituiscono oggetto di valutazione nel presente procedimento, limitatamente ai rapporti contrattuali con i consumatori, le clausole di seguito trascritte, contenute nei Termini di servizio di Google, che il consumatore deve accettare per poter usufruire di Google Drive1, nella versione in lingua italiana pubblicata sul sito web del Professionista. Le singole disposizioni contrattuali sono state accorpate in funzione dei profili di violazione indicati nel successivo paragrafo IV del presente provvedimento.

A) Responsabilità contrattuale

“Oltre ai diritti e alle responsabilità descritte in questa sezione (In caso di problemi o controversie), Google non sarà responsabile per alcuna perdita, a meno che quest’ultima non sia stata causata da una violazione dei presenti termini e dei termini aggiuntivi specifici dei servizi”.

B) Sospensione o interruzione dell’accesso ai servizi Google

“Google si riserva il diritto di sospendere o interrompere l’accesso dell’utente ai servizi o di eliminare il suo Account Google nel caso in cui si verifichi una delle seguenti situazioni: – L’utente viola in modo sostanziale o ripetuto i presenti termini, i termini aggiuntivi specifici dei servizi o le norme. – Siamo tenuti ad agire in questo modo per rispettare un requisito legale o un’ingiunzione del tribunale. – Riteniamo, in materia ragionevole, che la condotta dell’utente comporti danni o responsabilità per un altro utente, una terza parte Google, ad esempio per via di attività di pirateria informatica o phishing, comportamenti molesti, inclusione di spam, atteggiamenti fuorvianti o sottrazione di contenuti di altri siti che non appartengono all’utente. Il preavviso è regolato come segue: “Prima di prendere provvedimenti [quali la sospensione o l’interruzione] … diamo all’utente un preavviso, quando è ragionevolmente possibile, per spiegare il motivo del nostro provvedimento e dare all’utente la possibilità di risolvere il problema, a meno che avessimo ragionevole motivo di ritenere che tale azione: Comporterebbe danni o responsabilità per un utente, una terza parte o Google; Violerebbe la legge o un’ingiunzione delle forze dell’ordine; Compromettere un’indagine; Comprometterebbe il funzionamento, l’integrità o la sicurezza dei nostri servizi”.

C) Modifiche ai termini

“Qualora dovessimo modificare sostanzialmente i presenti termini o i termini aggiuntivi specifici dei servizi provvederemo a notificare all’utente con largo anticipo, offrendogli l’opportunità di rivedere le modifiche, eccetto (1) nel caso del lancio di nuovi servizi o funzionalità, oppure (2) in situazioni urgenti quali evitare il protrarsi di un illecito o soddisfare requisiti legali. Se l’utente non accetta le modifiche apportate ai Termini, è tenuto a rimuovere i suoi contenuti”.

[OMISSIS]

RITENUTO, in particolare, sulla base delle considerazioni suesposte, che le clausole descritte al punto II, sub lettere A), B), e C), del presente provvedimento, sono vessatorie ai sensi dell’articolo 33, commi 1 e 2, lettere b), d), ed m), del Codice del Consumo, in quanto tali da determinare, a carico del consumatore, un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto;

[OMISSIS]

DELIBERA

a) che la clausola descritta al punto II, lett. A), del presente provvedimento integra una fattispecie di clausola vessatoria ai sensi dell’articolo 33, commi 1 e 2, lettera b), del Codice del Consumo per le ragioni e nei limiti esposti in motivazione;

b) che la clausola descritta al punto II, lett. B), del presente provvedimento integra una fattispecie di clausola vessatoria ai sensi dell’articolo 33, commi 1 e 2, lettera d), del Codice del Consumo per le ragioni e nei limiti esposti in motivazione;

c) che la clausola descritta al punto II, lett. C), del presente provvedimento integra una fattispecie di clausola vessatoria ai sensi dell’articolo 33, commi 1 e 2, lettera m), del Codice del Consumo per le ragioni e nei limiti esposti in motivazione;

[OMISSIS]

Che cos’è il phishing? Il phishing è una forma di frode online: le e-mail di phishing e i siti Web di phishing vengono utilizzati come esca per rubare informazioni e identità personali…

Il phishing è una forma di frode online: le e-mail di phishing e i siti Web di phishing vengono utilizzati come esca per rubare informazioni e identità personali, di solito in seguito allo svuotamento dei computer delle banche o al danneggiamento delle aziende.

Le truffe online non ci sono sconosciute. Non c’è quasi nessuno che non abbia ricevuto un’e-mail nella nostra brutta lingua madre da una vittima sconosciuta che ha un milione di dollari nel suo account e per qualche ragione sconosciuta non può accedervi, quindi ha bisogno del nostro aiuto disinteressato e delle informazioni personali per condividere disinteressatamente il suo tesoro con noi più tardi. I messaggi sono vari e fantasiosi, ma è subito chiaro che si tratta di una truffa, un tentativo di frode online, attività criminale sotto un nome comune: phishing.

Proprio come i messaggi e gli indirizzi da cui sono stati inviati assomigliano ad alcune situazioni di vita reale e indirizzi noti, la parola phishing, quando pronunciata, suona come “phishing”, che significa “pesca” in lingua inglese. Pescare, pescare, cacciare nel fango, questo è esattamente ciò che sta alla base del phishing, ei metodi sono diversi e più sofisticati.

“Il phishing è un tipo di frode online in cui si verifica il furto di identità e il risultato è solitamente il furto di denaro.”

A differenza delle prenotazioni false, in cui un truffatore utilizza una falsa identità per estorcerci denaro, i tentativi di phishing di ottenere le nostre informazioni personali, in base alle quali il truffatore può facilmente hackerare le nostre e-mail o i nostri conti bancari.

Storia del phishing

Il phishing è solo una delle tecniche utilizzate per rubare identità. È una forma di crimine che esiste da più tempo di Internet stesso. Il termine phishing deriva dalla parola inglese “fishing”, che descrive metaforicamente il processo mediante il quale gli utenti non autorizzati inducono gli utenti di Internet a rinunciare volontariamente alle proprie informazioni riservate.

Si pensa che il prefisso “ph” derivi dal termine phreaking, una tecnica ormai in gran parte dimenticata con la quale gli utenti non autorizzati hanno compromesso i sistemi telefonici. La combinazione di queste due espressioni (fishing + phreaking) ha creato una nuova moneta chiamata phishing .

Le campagne di phishing sono il più grande rischio per la sicurezza in qualsiasi organizzazione e la posta elettronica stessa è il vettore principale per il furto di dati, credenziali e compromissione complessiva della sicurezza di un’organizzazione.

Perché il phishing aumenta durante una crisi?

La risposta è abbastanza semplice: le persone sono molto più vulnerabili in tempi di crisi. Mancanza di prudenza, un ambiente stressante ed è sufficiente non prestare attenzione ai dettagli che possono rivelare una frode.

Come funziona il phishing?

I metodi di phishing più comunemente utilizzati:
– una semplice richiesta da parte dell’utente di inviare (in risposta) i suoi dati sensibili via e-mail, il mittente si finge falsamente amministratore di un servizio web che ha bisogno di questi dati per verificare i dati, aggiornare il sistema, eccetera.

– link falsi nelle email (di solito un link falso o manipolato in un messaggio porta l’utente a un sito web dannoso dove gli viene chiesto di inserire il proprio nome utente e password o altri dati sensibili);

– siti Web fasulli (un utente può essere indotto a fare clic su un collegamento che lo porta a un server Web che utilizza script, modifica/sovrascrive l’URL reale del proprio sito Web e ne imposta uno legittimo, ingannando un utente nel pensare di essere su un sito legittimo sito web e quindi raccogliendo i dati quando vi accedono);

– finte finestre (pop-up) su siti web bancari legittimi (finestre “pop-up” con campi per l’immissione di informazioni riservate. La finestra “Popup” appare quando si visita un server web legittimo).

– “Tabnabbing” – uno dei metodi più recenti che sfrutta il fatto che gli utenti del browser Web di solito hanno più schede aperte contemporaneamente e una delle schede inattive viene aggiornata, ma con contenuti dannosi che imitano una pagina Web legittima (si basa per disattenzione dell’utente, ovvero non si accorge del nuovo indirizzo);

Le e-mail di phishing di solito sembrano autentiche e possono essere indirizzi di mittenti sconosciuti o indirizzi noti, come quelli dell’inserzionista online con cui lavoriamo. cos’è il phishing 01 – VirusdieI pescatori sono spesso utilizzati da indirizzi di servizi Internet come Apple, Microsoft o Dropbox e i messaggi sono quasi identici a quelli che riceviamo sotto forma di varie notifiche da queste organizzazioni.

Quindi, sembra che il messaggio provenga da un’organizzazione di cui ci fidiamo e, se non stiamo abbastanza attenti, cadremo nell’esca. Dobbiamo controllare più volte ogni messaggio che ci chiede di inserire informazioni personali. Le e-mail di phishing contengono solitamente un modulo o una richiesta di dati o collegamenti che portano a pagine quasi identiche a quelle che utilizziamo normalmente. Questi sono noti come siti Web di phishing.

I siti Web di phishing sono siti Web falsi che sembrano identici ai siti reali e tentano di ingannare il visitatore in vari modi. Nel caso di una truffa ben progettata, è quasi impossibile distinguere un sito falso da uno reale.

L’unico modo per proteggersi dai siti di phishing è non iscriversi mai tramite i link presenti nelle email , ma recarsi direttamente al sito del servizio che utilizziamo. I fornitori online di cui utilizziamo i servizi dispongono di buoni sistemi di sicurezza e tutte le notifiche che ci riguardano sono sulla loro interfaccia utente. Pertanto, possiamo facilmente verificare se nella nostra casella di posta arrivano richieste insolite da indirizzi noti.

Oltre alle modalità di cui sopra, esiste anche un caso di false indagini. Ad esempio, se alcuni residenti chiedono informazioni sulla disponibilità di alloggi in bassa stagione per un gruppo numeroso per più giorni. Sembra troppo bello e la nostra cautela svanisce come tutti speriamo per tali ospiti. Tuttavia, dopo la comunicazione e-mail iniziale, ignara, il potenziale “ospite” richiede immediatamente le nostre informazioni personali. Questo è il momento in cui dobbiamo stare molto attenti e trovare un modo per assicurarci che la richiesta non sia falsa. È auspicabile e consentito Google l’ospite, il suo nome e indirizzo email e continuare la comunicazione per garantire che la richiesta sia vera.

Come riconoscere il phishing?

1. A chi è destinata l’e-mail?

Molte e-mail di phishing utilizzano un saluto generico al destinatario (ad es. Gentile cliente) prima di chiamare il destinatario con il suo vero nome. Ciò è particolarmente importante se ricevi un’e-mail da un’organizzazione a cui hai fornito personalmente le tue informazioni (ad es. PayPal). Se hai fornito i tuoi dati all’organizzazione, il tuo nome può essere inserito nel nome dell’e-mail utilizzando una tecnologia molto semplice.

Quindi, se il tuo nome non è presente nell’indirizzo email, è molto probabile che la “ricompensa”, il “regalo” e l'”occasione speciale” siano una grande truffa! Naturalmente, questo non significa che ogni e-mail che inizia con Gentile cliente sia di dubbia credibilità: il più delle volte, le e-mail di phishing hanno anche altre caratteristiche identificabili!

2.La credibilità dell’indirizzo e-mail e del dominio

A volte i messaggi ricevuti possono sembrare inviati da un indirizzo autentico, ma in realtà il messaggio non è correlato all’organizzazione originale e reale presumibilmente dietro tale messaggio. Le organizzazioni rispettabili, nella maggior parte dei casi, utilizzano i propri domini (o indirizzi) per associarsi ai propri siti web.

Puoi controllare questa funzione passando il mouse sull’indirizzo da cui è stato inviato il messaggio e verificando che sia reale. A volte le differenze sono molto piccole, in numeri o lettere aggiunti per renderlo il più credibile possibile. Ma ancora una volta, tieni presente che la stessa organizzazione può avere domini diversi per scopi diversi.

3. Grammatica e ortografia del messaggio

Questo è uno dei trucchi molto vecchi ma utili. La maggior parte delle organizzazioni rispettabili comporrà e invierà un’e-mail che è impeccabile nell’ortografia e nella grammatica e ha il “tono” e lo scopo giusti. Questo tipo di scrittura è coerente tra i diversi messaggi. Nonostante i vantaggi tecnologici e la maggiore sofisticatezza degli attacchi di phishing, gli errori grammaticali e di ortografia sono ancora comuni. Pertanto, leggere attentamente i messaggi può prevenire il furto di informazioni personali.

4.Informazioni o azioni richieste dal destinatario

Le aziende “reali” non invieranno email ai propri utenti chiedendo informazioni personali. Se l’e-mail contiene un collegamento o un allegato con le istruzioni per raccogliere informazioni sensibili per realizzare qualcosa (ad es. un rimborso fiscale) o evitare qualcosa (ad es. chiudere un account online), è probabile che si tratti di phishing.

Inoltre, le aziende nazionali si sforzano di comunicare con i propri clienti in modo coerente. Se le loro e-mail non contengono collegamenti e ora ricevi numerosi collegamenti contemporaneamente, questo potrebbe essere un segno che si tratta di una truffa. Questa coerenza si applica anche allo stile di scrittura dei messaggi e al motivo per cui l’altra persona ti sta contattando.

Le e-mail di phishing a volte cercano di convincere l’utente a fare ciò che vuole ricattandolo che si verificheranno conseguenze indesiderabili se la richiesta non viene eseguita. È anche possibile che gli aggressori inviino prima un’e-mail iniziale chiedendo al destinatario di rispondere. Se il destinatario risponde, è probabile che nell’e-mail successiva comparirà un collegamento o un allegato destinato alla truffa. È così che cerchiamo di giocare la carta della “fedeltà e coerenza” che abbiamo già indicato.

5.Link

La maggior parte delle e-mail di phishing tende a reindirizzare gli utenti a siti Web in cui dovrebbero lasciare le proprie informazioni private. Anche le organizzazioni autentiche possono inviare collegamenti, ma i collegamenti sono estremamente comuni nel mondo del phishing, quindi è importante controllarli più da vicino. Puoi verificare l’autenticità del collegamento confrontando il collegamento con il dominio dell’e-mail. Se il collegamento non corrisponde al dominio del normale sito Web di quel dominio, probabilmente è una truffa! Inoltre, le e-mail di phishing possono chiedere ai destinatari di intraprendere azioni diverse che portano a URL diversi. Ma se guardi più da vicino, tutti i collegamenti portano allo stesso posto e cercano gli stessi dati. A volte viene inviata un’intera e-mail come collegamento e, se il destinatario fa clic in un punto qualsiasi, il collegamento lo porta a un sito Web falso.

6. Documenti allegati

Se l’e-mail è inaspettata e contiene allegati, è probabile che si tratti di una truffa o di qualche altra forma di violenza online. Naturalmente, molte organizzazioni credibili inviano allegati ai propri utenti e clienti. Pertanto, è utile pensare allo stile dell’e-mail scritta e al suo scopo prima di classificarla come una truffa. Alcuni allegati possono contenere malware che può danneggiare il tuo computer. Prestare particolare attenzione agli allegati con le seguenti estensioni: .exe, .msi, .jar, .bat, .cmd, .js, .vb, .vbs, .scr, .psc1

Tipi di attacchi di phishing

Email scam Gli
attacchi di phishing, nella loro forma più comune, sono email che chiedono al destinatario di fare qualcosa, solitamente per raggiungere uno dei due obiettivi:

per ingannarti e farti divulgare informazioni personali
per indurti a scaricare software dannoso
Dopo aver concesso loro l’accesso, gli hacker possono accedere al tuo conto bancario, rubare la tua identità o effettuare acquisti a tuo nome.

Negli ultimi anni, le truffe via e-mail sono aumentate di oltre il 400%. La crescita e il successo dell’e-mail phishing ha anche portato a limitazioni di questo metodo.

SMiShing
Come suggerisce il nome, SMiShing è simile alle truffe via email ma truffa gli utenti tramite messaggi di testo. Molti hanno familiarità con il phishing via e-mail, ma meno persone diffidano dei messaggi di testo, il che aumenta la probabilità di cadere nelle truffe.

Spear phishing Lo
spear phishing utilizza gli stessi metodi delle truffe di cui sopra, ma prende di mira una persona specifica. Potresti ricevere una serie di e-mail progettate per indurti a compiere una determinata azione. Gli attacchi di spear phishing possono anche prenderti di mira su più piattaforme di messaggistica.

Caccia
alle balene Simile allo spear phishing, anche la caccia alle balene prende di mira un individuo o un’organizzazione. Tuttavia, di solito è qualcuno che ha molto da perdere, come amministratori delegati, celebrità, politici o famiglie benestanti.

“Esistono innumerevoli truffe di phishing, ma usano un’esca simile per ingannare le loro vittime: phishing sui social media, phishing sui motori di ricerca, phishing di pescatori, phishing vocale, phishing interno, iniezione di contenuti, frode del CEO, siti Web falsi, phishing clone, pharming, tabnabbing, Reindirizzamento nascosto, phishing mobile, dirottamento di sessione, Wi-Fi Evil Twin, phishing pop-up…”

Suggerimenti per aiutare a prevenire gli attacchi di phishing

Oltre alla cautela già consigliata e al controllo dei mittenti di indirizzi e-mail sconosciuti, senza aprire allegati o fare clic sui collegamenti nelle e-mail non verificate, ci sono alcuni altri modi per proteggersi dagli attacchi di phishing:

Evita i pop-up
cos’è il phishing 02 – VirusdieUn attacco di phishing può utilizzare banner pop-up che appaiono su siti web conosciuti e verificati. Un pop-up può sembrare un modulo di iscrizione su un sito familiare. Non dovremmo mai registrarci su un sito pop-up.

Utilizza l’autenticazione a più fattori
Ove possibile, proteggiti con più passaggi, come una password e alcune altre informazioni personali, proprio come la maggior parte delle banche ora utilizza alcuni passaggi per accedere o confermare una transazione di denaro. Un token è uno dei modi più sicuri per proteggere le informazioni sensibili.

HTTPS o HTTP?
Tutte le banche utilizzano https: // nell’indirizzo dei loro siti Web perché tali siti Web sono più difficili da hackerare. Si prega di verificare il prefisso dell’indirizzo prima di inserire i dati personali.

Utilizzare una VPN
Una VPN è una rete privata virtuale, il cui utilizzo crea un’ulteriore barriera tra il computer e le reti virtuali. Una VPN si occupa di crittografare i dati provenienti dal nostro computer in modo che il mondo di Internet ci veda come parte della rete VPN e non possa monitorare i dati sul nostro computer. È possibile connettersi a un server VPN tramite più server. I più affidabili sono NordVPN, Pia, Express VPN e altri.

Cambia le tue password più spesso
Quando è stata l’ultima volta che hai cambiato la password del tuo account di posta elettronica? Fai quello…

Cosa fare se sei stato vittima di un attacco di phishing?

  • Segnalalo! La polizia è sempre una buona scelta.
  • Cambia le tue password.
  • Scansiona il tuo computer alla ricerca di virus e malware.

5 modi che la tua azienda può fare per aumentare la propria consapevolezza sul phishing

  1. Formazione sulla consapevolezza dei dipendenti
  2. Distribuisci soluzioni di sicurezza della posta elettronica
  3. Utilizza il monitoraggio e la protezione degli endpoint
  4. Conduci test sugli attacchi di phishing
  5. Limitare l’accesso degli utenti a sistemi e dati di alto valore

Conclusione

Il phishing ci insegna che non basta proteggere un sito web dagli hacker utilizzando solo strumenti di sicurezza di alta qualità come Sito Sicuro , ma che serve anche protezione da altre minacce alla sicurezza. Questa protezione risiede principalmente nella nostra responsabilità e cautela reciproche. Il mondo online è fantastico finché non incontri truffatori. Proprio come nel mondo reale. Pertanto, stai sempre attento .

Google Drive: aggiungere a Il mio Drive una cartella condivisa e non uno collegamento

Avrai notato che ora in  Google Drive è possibile creare un collegamento ad una cartella condivisa nel “Il mio Drive” mentre precedentemente era possibile spostare la cartella condivisa completamente.

Per qualcuno questo è un limite, capita quando di rende necessario, per esempio, sincronizzare il contenuto di una cartella condivisa Google Drive con altri sistemi come WEB DAV, sistemi NAS Synology o ancora sistemi NAS QNAP.

Spostare una cartella in “Il mio Drive” è ancora possibile con semplici comandi da tastiera:

  1. accedere a Drive
  2. selezionare la cartella condivisa in “Condivisa con me”
  3. preme i pulsanti Shift + Z e selezionare la cartella di destinazione

Ecco, il gioco è fatto! 🙂

Vulnerabilità del CMS WordPress WP.Core.5.8.CVE

WordPress ha rilasciato una nuova versione che risolve i problemi di sicurezza, inclusi XSS e vulnerabilità di esposizione dei dati.

Vedi: https://wordpress.org/news/2021/09/wordpress-5-8-1-security-and-maintenance-release/ .

Fai l’ultimo aggiornamento a WordPress, ti consigliamo anche di controllare le cartelle con le vecchie versioni del tuo sito (vecchio, backup ecc.), poiché potrebbe esserci file WordPress vulnerabili.

Vulnerabilità del CMS WordPress. L’aggiornamento immediato è altamente raccomandato.
Versioni: < 5.8.1, < 5.7.3, < 5.6.5, < 5.5.6, < 5.4.7.
File interessato: wp-includes/functions.php.
Tipo: Cross-Site Scripting (XSS), divulgazione di informazioni.

Le minacce rilevate sul tuo sito Web possono portare al degrado dei risultati SEO nella pagina dei risultati del motore di ricerca (SERP), nella lista nera o in altre sanzioni. Potresti perdere i tuoi clienti e la tua reputazione.

Vulnerabilità plugin WordPress Redux Framework

Il popolare plugin WordPress con oltre 1 milione di installazioni attive – Redux Framework – ha delle vulnerabilità che sono state fixate.

La vulnerabilità consente a un utente malintenzionato di eseguire azioni non autorizzate, come l’installazione arbitraria dei plug-in e la post cancellazione.

Patch automatica: non disponibile
Livello di minaccia: 6/10
Vulnerabilità del plugin WordPress Redux Framework. L’aggiornamento immediato è altamente raccomandato!
Versioni: < 4.2.13.
File interessato: redux-core/class-redux-core.php.
Tipo: controllo di accesso interrotto.
Aggiorna il plugin all’ultima versione: https://wordpress.org/plugins/redux-framework/ .

Le minacce rilevate sul tuo sito Web possono portare al degrado dei risultati SEO nella pagina dei risultati del motore di ricerca (SERP), nella lista nera o in altre sanzioni. Potresti perdere clienti e reputazione.

27 suggerimenti per proteggere i tuoi siti Web WordPress

Perché la sicurezza del sito web è importante? La sicurezza in Internet è una componente chiave del web design e dello sviluppo. I problemi di sicurezza possono dissuadere gli utenti da un sito Web e gettare un’ombra di dubbio sul tuo marchio. La sicurezza del sito web protegge le tue informazioni e la tua reputazione, i tuoi visitatori se lo aspettano e a Google piace. Non dimenticarlo, mai…

Migliora la sicurezza del tuo sito web seguendo questi 27 suggerimenti

1. Proteggi il tuo computer (evita di essere un fattore di rischio)

Circa 10 anni fa, c’era molta copertura mediatica sulla necessità di installare un sistema antivirus. Oggi si parla poco di questo, molto del lavoro sulla protezione del computer viene svolto dai produttori di sistemi operativi nel loro software, che è necessario aggiornare regolarmente .

Questo suggerimento (mantieni il tuo computer “pulito”) è il primo passo per proteggere il tuo sito Web basato su WordPress da malware, spyware e trojan.

2. Investi in un hosting WordPress sicuro

Oggigiorno è tutta una questione di sicurezza, ed è qui che entrano in gioco i certificati SSL. Il tuo provider di hosting deve essere in grado di fornirti un certificato SSL di alta qualità. Ciò consentirà al tuo sito di utilizzare il protocollo HTTPS, i browser non avviseranno i tuoi utenti che il sito non è sicuro e la visibilità del tuo sito nelle ricerche non sarà influenzata.

Inizia assicurandoti che la tua società di hosting esegua backup regolari . Una perdita di dati equivale a un incendio in un’azienda tradizionale!

Inoltre, l’hosting dovrebbe adottare TUTTE le altre misure/protezioni attive e passive per fermare gli attacchi sul nascere.

3. Usa HTTPS per connessioni crittografate (certificato SSL)

HyperText Transfer Protocol Secure combina il protocollo HTTP con SSL/TLS per formare HTTPS, HyperText Transfer Protocol Secure. Con questo protocollo, puoi comunicare in modo crittografato con il tuo server Web su una rete e identificarlo in modo sicuro. Le connessioni HTTPS sono comunemente utilizzate per transazioni di denaro sul World Wide Web e altre transazioni riservate nei sistemi informativi aziendali.

In che modo HTTPS differisce da HTTP?HTTP/HTTPS differisce in quanto HTTP utilizza la porta TCP/IP 443 per impostazione predefinita e i suoi URL iniziano con “https: //”. HTTP, d’altra parte, utilizza la porta TCP/IP 80 per impostazione predefinita e i suoi URL iniziano con “http: //”. Sembra abbastanza complicato, ma in parole povere, solo la lettera S alla fine del nome del protocollo significa SICUREZZA. La differenza tra i protocolli HTTP e HTTPS è che HTTP non è sicuro e può essere sfruttato se viene eseguito un attacco man-in-the-middle o un attacco di intercettazione per accedere ad account web sensibili.

HTTPS è considerato sicuro contro tali attacchi (escluse le versioni precedenti di SSL) poiché è stato progettato per resistervi. In questo senso, HTTPS è semplicemente HTTP su una connessione SSL/TLS crittografata, non un protocollo separato .

4. Usa le ultime versioni di PHP

PHP è un popolare linguaggio di scripting utilizzato principalmente nello sviluppo di applicazioni web (incluso WordPress). In un’applicazione pratica per distribuire applicazioni Web, è utile utilizzare l’ultima versione con alcuni dei rami attivamente supportati della versione.

Se non utilizzi la versione più recente, è facilmente possibile che non sia supportata .

5. Disabilita la segnalazione degli errori di WordPress

Secondo WordPress, la segnalazione degli errori dovrebbe essere disabilitata perché è possibile utilizzare il registro degli errori per esporre informazioni sensibili. È consigliabile disabilitare questa funzione se non stai testando o risolvendo i problemi del tuo sito Web basato su WordPress, altrimenti gli aggressori potrebbero facilmente rilevare le vulnerabilità/problemi sul tuo sito Web e utilizzarli per hackerare il tuo sito Web.

6. Disabilita l’esecuzione dei file PHP nelle directory di WordPress

Se non disabiliti l’esecuzione dei file PHP, chiunque può installare un malware nel tuo sito web. Tutto quello che devono fare è caricare un file PHP dannoso. Se lo hai nella tua directory principale, può essere chiamato. Chiunque può rilasciare un file di questo tipo sul tuo sito web. È essenziale che gli eseguibili in WordPress siano adeguatamente protetti dall’essere chiamati.

7. Controlla e modifica i permessi dei file (proteggi i dati sul tuo server)

I diritti su un sito Web basato su WordPress dovrebbero essere attentamente controllati. Se le raccomandazioni sui permessi dei file consigliate da WordPress non vengono seguite, gli hacker potrebbero trarne vantaggio.

8. Installa una soluzione di backup WordPress

Un backup è una copia dei file che compongono il tuo sito web. WordPress archivia tutti i suoi dati in un database centrale. Questo database cambia quando aggiungi nuovi post, pagine, prodotti, ecc. Se questo database viene danneggiato, il tuo sito web smetterà di funzionare. Se disponi di un backup del tuo sito web, puoi ripristinare le parti danneggiate o sostituire tutto per riportare rapidamente il tuo sito online.

Esistono molti strumenti che possono essere utilizzati per creare un backup del tuo sito Web WordPress. Se gestisci un sito WordPress autonomo, puoi installare un software che esegue il backup del tuo sito. Oppure chiedi al tuo attuale provider di hosting se offre un servizio di backup automatico. Se utilizzi WordPress, potresti essere in grado di utilizzare un plug-in per eseguire il backup del tuo sito.

9. Usa Web Application Firewall/WAF (e ferma gli attacchi prima ancora che inizino)

Sito Sicuro viene eseguito in un berserk modalità di default. Per ridurre la reattività di WAF, vai semplicemente alla sezione Impostazioni e seleziona una delle 3 possibili impostazioni: Soft, Medium o Berserk. Ogni posizione ha una forza di risposta media doppia rispetto a una più alta.

10. Approfitta dell’autenticazione a due fattori

È stato sviluppato in risposta a phishing e attacchi simili in cui i criminali utilizzano siti Web falsi (e spesso molto convincenti) e un vasto (e spesso molto pieno di risorse) di strumenti di ingegneria sociale per ottenere in modo fraudolento nome utente e password e accesso ai dati. Puoi impostare l’autenticazione in due passaggi utilizzando un’app/plugin di autenticazione come Google Authenticator, Authy o Duo.

11. Limita i tentativi di accesso

Se un hacker non riesce a indovinare la tua password, continuerà a provare. Spesso lo fanno con l’aiuto di script . Limita i tentativi di accesso ci consente di monitorare e limitare il numero di tentativi di accesso non riusciti.

12. Usa nomi utente intelligenti e password complesse

Se chiedi all’utente medio dei servizi di web hosting quanti nomi utente e password utilizza per diversi account, abbonamenti, ecc., probabilmente impiegherà del tempo prima di risponderti. Anche allora, potrebbe non essere in grado di ricordare i nomi utente e le password per tutti i servizi per i quali ne ha bisogno. La vita moderna implica avere una varietà di account digitali protetti da password, come è la natura dell’era digitale di oggi. Gli utenti, tuttavia, utilizzano spesso le stesse credenziali per più account, come cPanel, e-mail, WordPress, FTP, SSH, ecc. Alcune persone usano persino informazioni personali come password, come compleanni, nomi e indirizzi. Le password così semplici non dovrebbero essere utilizzate per l’hosting web e possono avere effetti disastrosi .

Per le password più complesse e complesse, dovresti utilizzare tutte e quattro le categorie di caratteri:
– Lettere maiuscole (A, B, C, D…)
– Lettere minuscole (a, b, c, d…)
– Numeri (0, 1, 2, 3…)
– Simboli della tastiera (“’ ,.? ~!{} []^ & * () _ – + = # $% \ |:; /@)

13. Rimuovere gli utenti inattivi

Identifica, rimuovi e previeni i problemi con gli utenti inattivi per migliorare la fidelizzazione, il coinvolgimento e la crescita del tuo sito.

14. Modificare il nome utente predefinito “admin” user

Basta fare clic sul campo Nome utente e modificare il nome utente nella parte inferiore della pagina, quindi fare clic su Vai. Le tue impostazioni verranno ora aggiornate. Oppure puoi creare un nuovo utente amministratore ed eliminare l’utente amministratore predefinito. Seleziona la casella Attribuisci tutto il contenuto a per salvare i contenuti che hai creato in precedenza con il tuo vecchio account amministratore. Successivamente, puoi selezionare il nuovo nome utente amministratore dal menu a discesa.

15. Prevenire l’acquisizione del nome utente di WordPress

Oggi sul mercato sono disponibili firewall per applicazioni Web di qualità . Cerca quelli che bloccano automaticamente gli indirizzi IP con ripetuti tentativi di accesso o errori 404. L’idea è che il tuo firewall bloccherà automaticamente gli indirizzi IP che scansionano il tuo sito alla ricerca di pagine che non esistono o che tentano di accedere ripetutamente al tuo sito. Una buona funzionalità è anche il blocco delle iniezioni XSS e SQL.

16. Disconnetti automaticamente gli utenti inattivi in ​​WordPress (e previeni problemi di terze parti)

Il primo passo è installare il plug-in Disconnessione inattiva sul tuo sito Web WordPress.

Per fare ciò, apri la dashboard di WordPress Aggiungi nuovi plugin e cerca “Disconnessione inattiva”. Dopo aver trovato il plug-in, fai clic sul pulsante “Installa ora”. Nella dashboard di WordPress, vai alle impostazioni di disconnessione inattiva dopo aver attivato il plug-in.

Una volta raggiunta la pagina delle impostazioni del plugin, vedrai la schermata delle opzioni di configurazione di base. Se desideri fornire ai tuoi utenti la migliore esperienza sul tuo sito, devi impostare il periodo di tempo in cui un utente può rimanere inattivo prima di essere disconnesso. Puoi impostare questo periodo di tempo come desideri, ma non renderlo troppo breve o troppo lungo . Una volta impostata l’ora, inserire il messaggio o il testo che verrà visualizzato dopo il logout dell’utente.

17. Prestare attenzione ai ruoli utente (applicare autorizzazioni utente minime e ridurre il rischio di terze parti)

Nel mondo online, ci sono cinque ruoli standard: amministratore, editore, autore, collaboratore e sottoscrittore. Pensa sempre attentamente a chi assegni a quale ruolo e a quale parte del lavoro è destinato quel ruolo.

18. Contribuire come collaboratore o editore

La pubblicazione di Contributor ti offre un’opzione per condividere i tuoi post e le tue pagine ma non consente di modificarli o eliminarli senza prima richiedere la modifica ed essere approvati da un altro amministratore/editor.

La pubblicazione dell’editor ti consente di pubblicare post e pagine e anche di eliminarli senza alcuna richiesta. Dovresti pubblicare come collaboratore o editore in un sito WordPress per ridurre il rischio per la sicurezza nel caso in cui il tuo utente amministratore venga violato e ciò impedirà a qualsiasi persona non autorizzata di diventare un amministratore.

19. Usa solo temi e plugin da fonti attendibili (evita di compromettere il tuo sito)

Non utilizzare plugin e temi WordPress “falsi” o “annullati”. Dai semplici siti Web alle complesse attività online, i temi e i plug-in di WordPress possono essere utilizzati per creare qualsiasi cosa. Temi e plugin possono fare molte cose, ma a volte vengono utilizzati per scopi fraudolenti o illegali. Devi essere sicuro che il sito web che stai creando sia legale e non ti metta in pericolo o in una situazione spiacevole.

20. Usa sempre l’ultima versione di WordPress, plugin e temi (e riduci al minimo i rischi per la sicurezza)

WordPress è gratuito. È anche una comunità di sviluppatori che lo crea. Ogni nuova versione del software corregge bug, aggiunge nuove funzionalità, apporta miglioramenti alle prestazioni e migliora le funzionalità esistenti per rimanere aggiornati .

21. Disinstalla temi e plugin indesiderati

I temi e i plugin non utilizzati rappresentano un rischio per la sicurezza . È facile dimenticare i vecchi temi che hai provato e non hai usato. Ma ognuno di quei temi vecchi e inutilizzati dovrebbe essere rimosso perché ognuno è un’apertura per problemi di sicurezza.

22. Disabilita l’editor di temi e plugin

Per impostazione predefinita, l’editor è abilitato in modo da poter fornire ai tuoi clienti una vasta gamma di opzioni per modificare il contenuto del loro sito web. Disattiva l’editor per evitare che il contenuto dei tuoi siti web venga modificato da qualcun altro. Inoltre, l’editor diventa un punto di ingresso per utenti malintenzionati che potrebbero utilizzare questa funzione per caricare ed eseguire codice dannoso sul tuo sito web.
Per disabilitare l’editor dei temi e l’editor dei plugin, devi aggiungere alcune righe di codice al tuo wp-config.php Il codice è il seguente:
define( ‘DISALLOW _FILE_ EDIT’, true );
define( ‘DISALLOW _FILE_ MODS’, true );

23. Disabilita l’indicizzazione e la navigazione delle directory

Per proteggere il tuo sito web, ti consigliamo di disabilitare gli elenchi delle directory . La navigazione nelle directory espone la struttura interna del server Web, che di per sé non è una minaccia, ma può aggirare i meccanismi di sicurezza e i controlli di configurazione. Tuttavia, è un passaggio importante, quindi fallo bene.

Per disabilitare la navigazione nelle directory in WordPress devi aggiungere una singola riga di codice nel file .htaccess del tuo sito WordPress che si trova nella directory principale del tuo sito Web:
Opzioni -Indici

24. Disabilita XML-RPC

XML-RPC che è stato utilizzato in modo improprio per attacchi DDoS ed è un invito aperto agli attacchi DoS (denial of service). Se stai eseguendo una versione vulnerabile di WordPress, lo script xmlrpc.php potrebbe essere un obiettivo della vulnerabilità del pingback di WordPress. Una volta disabilitato XML-RPC, gli hacker non avranno più spazio per gli attacchi. Puoi installare un plugin chiamato Disable XML-RPC per disabilitarlo.

Tuttavia, questo semplice codice fa la stessa cosa:
add_filter(‘xmlrpc_enabled’, ‘__return_false’); Per far funzionare la soluzione di cui sopra, puoi utilizzare un file .htaccess per bloccare le richieste a xmlrpc.php che non provengono da WordPress. Ciò ridurrà il carico sul tuo server.

25. Blocca l’amministratore di WordPress

La soluzione migliore sarebbe utilizzare un Website Application Firewall (WAF) , un’applicazione che monitora il traffico del sito Web e impedisce alle richieste sospette di raggiungere il tuo sito Web.

Inoltre puoi aggiungere la protezione con password alla tua area di amministrazione di WordPress tramite cPanel o puoi consentire solo l’accesso in lettura alla tua area di amministrazione di WordPress, ma hai ancora la possibilità di aggiornare plugin e temi impedendo qualsiasi accesso alla cartella wp-admin e mantenerla leggibile solo per te stesso (aggiungi semplicemente wp-admin al campo utente/gruppo del tuo .htaccess).

26. Proteggi il wp-config.php tramite i file .htaccess

Alla fine del file .htaccess, aggiungi le seguenti righe di codice:

#secure wp-config.php

<file wp-config.php>

ordinare consentire, negare

negato da tutti

</files>

Queste righe fondamentalmente bloccano l’accesso al tuo wp-config.php dall’hacking interno e dalla modifica del codice, proteggendo così il file wp-config.php.

27. Rimuovi il numero di versione di WordPress

Per rimuovere completamente il numero di versione di WordPress sia dal file head che dai feed RSS, dovrai aggiungere il seguente codice snippet a WordPress:
function remove_version() { return ”; }

add_filter(‘the_generator’, remove_version’);

La sicurezza del sito web è molto importante per una serie di motivi. Senza di esso, i siti Web sono aperti e suscettibili di tentativi di hacking. I siti Web possono essere attaccati in molti modi diversi, quindi è fondamentale disporre del livello di protezione più completo (implementare tutti questi suggerimenti per la sicurezza) per garantire che non accada sul tuo sito o sul sito dei tuoi clienti.

Articolo di Ivica Delic


GiBiLogic srl Società a socio unico  |  via Aldo Moro 48, 25124 Brescia  |  P.IVA 02780970980
REG.IMPRESE N.02780970980 BRESCIA  |  CAP. SOC. € 10.000 I.V.
info@gibilogic.com  |  +39.030.7778980

iubenda Certified Gold Partner