La sicurezza non è un prodotto che compri una volta e dimentichi. È un piccolo insieme di abitudini applicate con coerenza. La buona notizia: la maggior parte dei siti aziendali e delle applicazioni web può coprire la maggior parte dei rischi realistici con una manciata di pratiche di base.
HTTPS e gestione dei certificati
Ogni pagina deve caricarsi via HTTPS. Non è più un di più, browser, utenti e motori di ricerca trattano tutti l'HTTP come rotto. Reindirizza l'HTTP a HTTPS, rinnova i certificati automaticamente (la maggior parte degli host lo fa gratuitamente) e controlla che gli avvisi di contenuto misto siano spariti.
Autenticazione fatta bene
- Usa password lunghe o passphrase, non quelle corte e complesse.
- Attiva l'autenticazione a due fattori (2FA) per tutto ciò che conta, pannelli di amministrazione, account di hosting, e-mail, strumenti di pagamento.
- Usa un gestore di password nel team, non un foglio di calcolo condiviso.
- Rimuovi gli account quando le persone se ne vanno. Gli account "dormienti" sono un punto di ingresso comune.
Accesso amministrativo
Gli URL di amministrazione non dovrebbero essere indovinabili dall'esterno. Limita la frequenza dei tentativi di login, registra i tentativi falliti e considera un livello extra (allowlist di IP o VPN) per i pannelli altamente sensibili.
Aggiornamenti software
La maggior parte delle vulnerabilità pubbliche viene corretta rapidamente dopo la divulgazione; il rischio reale è eseguire software che non viene aggiornato da mesi. Mantieni aggiornati framework, CMS, plugin, runtime e librerie. Programma aggiornamenti di routine invece di farli solo dopo un incidente.
Gestione sicura dell'input utente
- Valida sul server, non solo nel browser, tutto ciò che proviene dal client può essere modificato.
- Usa query parametrizzate o un ORM adeguato per prevenire l'SQL injection.
- Esegui l'escape dell'output correttamente per prevenire il cross-site scripting (XSS).
- Limita quali file gli utenti possono caricare e dove finiscono.
- Limita la frequenza di moduli ed endpoint presi di mira dagli aggressori (login, registrazione, contatto).
Segreti e configurazione
- Non codificare a mano password, chiavi API o token nel codice sorgente.
- Tienili in variabili d'ambiente o in un gestore di segreti, non committati nel repository.
- Ruota i segreti quando qualcuno se ne va, o dopo qualsiasi incidente.
Backup e ripristino
Un backup non è un backup finché non è stato ripristinato. Backup regolari e automatizzati sono essenziali, ma lo è anche una procedura testata per ripristinarli. Ransomware e cancellazioni accidentali capitano a tutti prima o poi.
Monitoraggio e log
Non puoi reagire a ciò che non vedi. Come minimo, conserva i log del server, cattura gli errori dell'applicazione e imposta avvisi su picchi insoliti di risposte 401/403/500. È così che scopri un attacco in anticipo invece che dopo i fatti.
Privacy e conformità
- Raccogli solo i dati di cui hai davvero bisogno.
- Abbi un'informativa sulla privacy chiara e un consenso ai cookie che rifletta la realtà, non un modello copiato da qualche altra parte.
- Comprendi quali dati sono regolamentati (pagamento, salute, dati personali secondo il GDPR) e trattali di conseguenza.
Errori comuni
- Audit di sicurezza che si fermano al report. I risultati vanno corretti e verificati, non solo archiviati.
- "Siamo troppo piccoli per essere un bersaglio". La maggior parte degli attacchi è automatizzata e cerca qualsiasi sistema non aggiornato.
- Trattare le password come l'intera storia. 2FA, aggiornamenti, backup e monitoraggio contano più delle regole di complessità delle password.
- Una sola persona che detiene tutte le chiavi. L'accesso critico dovrebbe avere un responsabile di riserva, documentato chiaramente.

