Spesso incappiamo in siti web aziendali non aggiornati da molti anni, spesso anche 5-10.
Non entrando per adesso nel tema del senso di trascuratezza che viene trasmesso, vorremmo condurre una valutazione – sulla mancanza di aggiornamento del codice html e dei componenti adottati (javascript) ed in particolare dell’OS e del software del webserver – al riguardo della sicurezza generale del servizio web.
In primis, sappiamo che il sistema operativo e le componenti accessorie quali Apache2, mySQL, PHP manifestano nel tempo vulnerabilità – talvolta gravissime; per esempio, si cerchi in un search engine “vulnerabilità PHP“, tenendo conto che la versione 5 è abbandonata da tempo (al momento siamo alla versione 8.3) e purtroppo ancora usata (si stima che sia in uso ancora da alcune centinaia di migliaia di siti).
Questo espone gravemente il sito ad essere attaccato e compromesso; ogni giorno abbiamo notizie di decine di hacking a danno di siti, dei quali uno o due italiani.
Inoltre, molti siti web “trascurati” spesso non hanno adottato il protocollo di connessione https:// (s=secure), il cui costo di set-up è irrilevante per una qualsiasi azienda (occorre acquistare un certificato crittografico da qualche decina di euro/anno, e peraltro sono anche disponibili certificati SSL/TLS gratuiti forniti da LetsEncrypt).
Di certo – stanti le premesse – non ci meravigliamo quando le aziende che non aggiornano regolarmente il loro sito web, cadono vittime del primo gruppo cyber che passa ai loro confini elettronici; un device aziendale trascurato – prima o poi – cade preda di hacking, malware o ransomware ed il risparmio ottenuto scompare nei confronti dei costi derivanti dal data breach e dalla perdita della fiducia di clienti ed altre aziende con le quali sussitono collaborazioni.
Con buona pace delle misure di sicurezza sempre aggiornate, ma specialmente degli assessments periodici da condurre alla ricerca delle vulnerabilità di OS, softwares e firmwares.