Defaults.Exposed › Correzioni › CDN / WAF e hosting
Come correggere CDN / WAF e hosting
Due letture dell'impianto dietro il tuo sito: se sei dietro uno scudo protettivo (una CDN con un Web Application Firewall, come Cloudflare) che filtra gli attacchi e assorbe i picchi di traffico, e una mappa di chi gestisce davvero il tuo DNS, il tuo sito e la tua email. Entrambi sono informativi nel nostro punteggio — non spostano il tuo voto — ma descrivono quanto sia esposto il tuo server di origine ad attacchi e interruzioni, e quanto siano aggrovigliati i tuoi fornitori. Uno scudo davanti e un insieme di fornitori sensatamente suddiviso è ciò a cui assomigliano le imprese resilienti.
In sintesi per la tua attività: Un sito senza scudo davanti incassa ogni attacco e ogni picco di traffico direttamente sul server di origine, così un'ondata di bot, un'impennata nel giorno del lancio o un singolo attacco automatico può metterti offline per ore, e il ripristino tocca a te. Mettere davanti una CDN/WAF (esiste un piano gratuito) filtra la stragrande maggioranza degli attacchi automatici, assorbe le impennate e velocizza il sito in tutto il mondo — di norma il lavoro di un pomeriggio per il tuo referente IT, senza costo di licenza. Inoltre, se il tuo DNS, il tuo sito e la tua email vivono tutti con un solo fornitore, una sua singola interruzione o violazione manda giù tutta la tua presenza online in una volta; conoscere la mappa dei tuoi fornitori è la prima cosa che ti serve in un incidente. Nessuno dei due controlli cambia il tuo voto, ma entrambi descrivono una reale esposizione a downtime, vendite perse e un ripristino lento e doloroso.
Cosa può costarti
- Un'ondata di traffico bot o un piccolo DDoS colpisce il tuo server senza scudo la mattina di una grande promozione: il sito arranca o crolla, i clienti ottengono errori al checkout, e perdi le vendite della giornata mentre il tuo host corre ai ripari. Una CDN/WAF davanti l'avrebbe assorbita.
- Il tuo DNS, il tuo sito e la tua email passano tutti per un solo fornitore; quel fornitore ha un'interruzione e il tuo sito, il tuo sistema di prenotazioni E la tua email si spengono tutti nello stesso momento — non puoi nemmeno inviare un «siamo a conoscenza del problema» perché anche la casella è giù.
- Un attacco automatico sonda il tuo sito tutta la notte — script di SQL injection e di tentativi di accesso che martellano la tua origine direttamente perché non c'è uno strato firewall a filtrarli — e te ne accorgi solo quando qualcosa si rompe. Un WAF blocca il grosso di quel rumore prima ancora che raggiunga il tuo codice.
- Scoppia un incidente e nessuno sa rispondere alla domanda di base «ma a chi telefoniamo?» — il sito è sullo stesso host dell'email? Chi gestisce il DNS? Le ore svaniscono solo per mappare l'impianto mentre il sito resta giù.
- Il team IT di un potenziale cliente ti scansiona prima di firmare e vede un server di origine spoglio senza CDN/WAF e un header di versione del server che fa trapelare esattamente quale software (e versione) gestisci — un piccolo segnale «questa gente non ha irrobustito le basi» nel momento peggiore possibile.
Perché è importante. Entrambi i controlli qui sono informativi nella nostra metodologia — sono registrati con zero punti e non cambiano mai il tuo voto — perché descrivono la tua infrastruttura anziché testare un controllo di sicurezza con esito superato/fallito. Li facciamo emergere perché mappano una reale esposizione aziendale. Un sito senza CDN/WAF incassa ogni attacco e ogni picco di traffico direttamente sull'origine, senza filtraggio e senza assorbimento delle impennate; aggiungerne uno (il piano gratuito di Cloudflare è la via comune) è uno degli aggiornamenti di resilienza a maggior leva e minor costo che una piccola impresa possa fare. E una mappa chiara dei fornitori — sapere se il tuo DNS, web ed email sono suddivisi o impilati su un unico fornitore — è la prima cosa che ti serve quando qualcosa va storto, e la differenza tra un incidente contenuto e un blackout totale.
Cos’è, in parole semplici
Ogni sito gira su un server da qualche parte. La domanda a cui risponde questa pagina è: cosa sta tra l’internet aperto e quel server, e chi gestisce davvero i pezzi della tua presenza online?
Ci sono due parti:
-
CDN / WAF — lo scudo davanti. Una CDN (Content Delivery Network) è una rete globale che sta davanti al tuo sito, serve i tuoi contenuti rapidamente ai visitatori ovunque e assorbe le impennate di traffico. Un WAF (Web Application Firewall) è un filtro che ispeziona le richieste in entrata e blocca quelle malevole prima che raggiungano il tuo server. I servizi popolari (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri e altri) li raggruppano insieme. Guardiamo le risposte del tuo sito e riportiamo se riusciamo a vedere uno scudo davanti, e notiamo anche quale server web stai usando.
-
Mappa hosting / fornitori — chi gestisce il tuo impianto. Leggiamo i record pubblici che dicono chi gestisce il tuo DNS (l’elenco che trasforma il tuo dominio in un indirizzo) e chi gestisce la tua email. Da questo possiamo capire se il tuo DNS, sito ed email sono suddivisi tra fornitori (resiliente) o impilati su uno solo (comodo, ma un singolo punto di guasto).
La cosa più importante da sapere subito: nel nostro punteggio, entrambi sono informativi. Non influiscono sul tuo voto. Li facciamo emergere perché descrivono quanto la tua impresa sia esposta a downtime e attacchi — una domanda diversa, e molto pratica, rispetto al voto.
Quanto può costarti
Non sono rischi astratti: sono i modi quotidiani in cui una configurazione senza scudo e aggrovigliata trasforma un piccolo problema in una brutta giornata.
-
Messo offline nel giorno che conta di più. Il tuo sito sta sul server di origine senza nulla davanti. La mattina di un lancio o di una promozione, il traffico si impenna — o colpisce una modesta ondata di bot — e il server non regge. Le pagine vanno in timeout, il checkout dà errore, e perdi gli incassi della giornata mentre il tuo host spegne incendi. Una CDN assorbe le impennate e un WAF filtra il traffico spazzatura; insieme sono la differenza tra «giornata intensa» e «giù tutta la mattina».
-
Tutto si spegne in una volta. Il tuo DNS, sito ed email passano tutti per un solo fornitore. Quel fornitore ha un’interruzione (prima o poi capita a tutti) e il tuo sito, il tuo sistema di prenotazioni e la tua email svaniscono insieme. Non puoi elaborare ordini, e non puoi nemmeno scrivere ai clienti per dire che ne sei a conoscenza, perché anche la casella è giù. Suddividere i fornitori significa che un guasto è contenuto, non totale.
-
Il tuo codice incassa ogni attacco direttamente. Senza WAF, ogni sonda automatica — tentativi di injection, tentativi di accesso, scanner di exploit noti — colpisce il codice della tua applicazione senza filtraggio. Stai scommettendo che il tuo software sia impeccabile e pienamente aggiornato, per sempre. Un WAF blocca la stragrande maggioranza di quel rumore automatico prima che ti raggiunga, trasformando «attacco di fondo costante» in «per lo più filtrato».
-
Un incidente lento e nel panico perché nessuno ha la mappa. Qualcosa si rompe e la prima ora va sprecata su «aspetta, chi gestisce il nostro DNS? L’email è sullo stesso host? A chi telefoniamo?». Quando la tua mappa dei fornitori non è chiara, ogni incidente parte da zero. Conoscere la mappa in anticipo trasforma una corsa frenetica in una telefonata.
-
Una cattiva prima impressione su un compratore attento. Il team IT di un potenziale cliente ti scansiona prima di firmare e vede un’origine spoglia senza CDN/WAF — e un header di server che pubblicizza apertamente il tuo software e la tua versione esatti. È un piccolo segnale, ma ti colloca nella colonna «non hanno irrobustito le basi» esattamente nel momento sbagliato.
Cos’è davvero
CDN / WAF — lo strato protettivo
Quando un visitatore (o un aggressore) richiede il tuo sito, la richiesta può andare direttamente al tuo server di origine, oppure passare prima attraverso una CDN/WAF. Se c’è uno scudo davanti, quello scudo può:
- Filtrare le richieste malevole (la parte WAF): bloccare tentativi di injection, attacchi bot e schemi di exploit noti prima che raggiungano il tuo codice.
- Assorbire il traffico (la parte CDN): servire contenuti in cache da server vicini a ogni visitatore e assorbire le impennate, così che un picco — legittimo od ostile — non schiacci la tua origine.
- Velocizzare il sito: i contenuti serviti da un server edge vicino si caricano più in fretta per i visitatori di tutto il mondo.
Rileviamo uno scudo guardando le impronte che questi servizi lasciano negli header di risposta del tuo sito — per esempio un header cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai) o x-sucuri-id (Sucuri). Leggiamo anche l’header Server per identificare il tuo server web sottostante (nginx, Apache, IIS, LiteSpeed, Caddy e così via), e segnaliamo qualsiasi header X-Powered-By che condivida troppo.
Come si presenta una configurazione corretta: una CDN/WAF rilevata davanti alla tua origine, e un header Server che non pubblicizza un numero di versione specifico.
Mappa hosting / fornitori — le tue dipendenze infrastrutturali
Il tuo dominio punta in silenzio a diversi servizi:
- DNS — l’elenco che trasforma
tuaimpresa.comnell’indirizzo reale del server. Leggiamo i tuoi record nameserver (NS) e riconosciamo i fornitori comuni (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode e registrar regionali tra questi). - Email — dove viene gestita la tua posta. Leggiamo i tuoi record MX e riconosciamo i fornitori comuni (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho e altri).
Da questo possiamo vedere se queste responsabilità sono suddivise tra fornitori (un guasto in uno non manda giù gli altri) o impilate su un singolo fornitore (comodo, ma una sola interruzione o violazione porta via tutto).
Come si presenta una configurazione corretta: come minimo, il DNS affidato a un fornitore dedicato e affidabile anziché raggruppato nello stesso account di tutto il resto — così che l’elenco del tuo dominio non condivida la sorte con il tuo sito e la tua casella.
Come correggerlo (gratis, circa 1 pomeriggio)
Passa questo al tuo referente IT o sviluppatore web: la correzione è gratuita. Mettere una CDN/WAF davanti al tuo sito non costa nulla sui comuni piani gratuiti, e sopprimere la versione del tuo server è un’impostazione di una riga. Non c’è licenza da acquistare. (Le opzioni a pagamento qui sono solo monitoraggio, tracciamento di portafoglio e audit — mai la correzione in sé.) L’unica decisione del titolare è: sì, metti uno scudo davanti al sito.
Poiché entrambi i controlli sono informativi, nulla di questo è a voto, ma una CDN/WAF è uno degli aggiornamenti di resilienza a maggior valore che una piccola impresa possa fare, quindi vale la pena farlo.
1. Metti una CDN/WAF davanti al tuo sito
La via più comune e gratuita è Cloudflare:
- Crea un account Cloudflare gratuito e aggiungi il tuo dominio.
- Cloudflare legge i tuoi record DNS esistenti; verifica che siano stati importati correttamente.
- Cambia i nameserver del tuo dominio (presso il tuo registrar) con i due che Cloudflare ti dà. È questo l’interruttore che instrada il traffico attraverso Cloudflare.
- Imposta la modalità SSL/TLS su Full (strict) così che la cifratura resti end-to-end tra visitatore → Cloudflare → la tua origine. (Evita «Flexible», che lascia l’ultimo tratto non cifrato.)
- La CDN e un WAF di base sono ora attivi. Potrai mettere a punto le regole del WAF in seguito, ma i valori predefiniti filtrano già molto.
Altre vie, a seconda del tuo stack:
- AWS CloudFront — crea una distribuzione che punta alla tua origine; abbinala ad AWS WAF per il filtraggio. Meglio se sei già su AWS.
- Sucuri WAF — basato su DNS, non richiede modifiche sul tuo server; buono se non puoi toccare l’origine.
- Fastly / Akamai — CDN/WAF di livello enterprise, di norma per siti più grandi o ad alto traffico.
Dopo il passaggio, testa il sito, conferma che HTTPS funzioni ovunque e sorveglialo per un giorno. Non mettere in cache in modo aggressivo le pagine che devono restare personali o in tempo reale (aree con accesso, carrelli, checkout).
2. Smetti di pubblicizzare la versione del tuo server
Che tu aggiunga o no una CDN, sopprimi la versione che il tuo server annuncia: è informazione gratuita che stai porgendo agli aggressori.
Nginx:
server_tokens off;
Apache (nella configurazione principale):
ServerTokens Prod
ServerSignature Off
Rimuovi un header X-Powered-By che condivide troppo (es. da PHP o da un framework applicativo) a livello di server o CDN — su Cloudflare puoi eliminarlo con una regola di trasformazione dell’header di risposta.
3. Verifica la mappa dei tuoi fornitori (facoltativo, circa 10 minuti)
Guarda dove vivono davvero il tuo DNS, sito ed email:
- Se tutti e tre stanno in un solo account di fornitore, valuta almeno di spostare il DNS su un fornitore dedicato (il DNS di Cloudflare è gratuito e veloce). Quella singola suddivisione significa che l’elenco del tuo dominio sopravvive a un’interruzione dell’hosting.
- Scrivi la mappa — provider DNS, host web, provider email, registrar, e il contatto di accesso/assistenza per ciascuno. Questa singola pagina è la cosa più utile che tu possa avere davanti durante un incidente.
Note per piattaforma
- Google Workspace / Microsoft 365: questi sono i tuoi provider email, non il tuo sito web. Mettere una CDN/WAF davanti al sito non tocca l’email, e viceversa — sono decisioni separate. (Avere l’email su Google/Microsoft e il sito dietro Cloudflare è una configurazione del tutto valida e deliberatamente suddivisa.)
- Costruttori di siti gestiti (Wix, Squarespace, Shopify): includono una propria CDN e un livello di protezione WAF come parte della piattaforma, quindi potresti essere già protetto anche se il nostro controllo degli header non nomina un fornitore. Di solito non puoi mettere davanti il tuo Cloudflare; va bene — la piattaforma se ne occupa.
- WordPress sul tuo hosting: candidato ideale per uno strato Cloudflare gratuito davanti. Combinalo con il firewall di un plugin di sicurezza per le regole a livello applicativo.
Errori comuni
- Gestire un’origine spoglia «perché il sito è piccolo». I siti piccoli vengono colpiti dagli stessi attacchi automatici e dalle stesse ondate di bot di quelli grandi: i bot non controllano prima il tuo fatturato. Il piano gratuito CDN/WAF esiste proprio per i siti piccoli; non usarlo è lasciare una vittoria facile sul tavolo.
- Usare l’SSL «Flexible» di Cloudflare. Mostra un lucchetto ma lascia non cifrata la connessione tra Cloudflare e la tua origine. Usa sempre Full (strict) così è cifrata end-to-end.
- Mettere in cache le cose sbagliate. Mettere in cache in modo aggressivo pagine con accesso, carrelli o checkout può mostrare a un cliente il contenuto di un altro o prezzi obsoleti. Metti in cache i contenuti statici; lascia non in cache le pagine personalizzate e transazionali.
- Impilare tutto su un solo fornitore senza rendersene conto. La comodità va bene se è una scelta consapevole — ma molte imprese scoprono che DNS, web ed email condividono un account solo durante l’interruzione che li manda giù tutti e tre. Rendilo una decisione, non una scoperta.
- Lasciare la versione del server in bella mostra. È un passo di irrobustimento gratuito, di una riga, facile da dimenticare. Disattivalo.
Una nota sul voto
Per essere del tutto chiari: nessuno di questi due controlli influisce sul tuo voto. Sono registrati nella nostra metodologia come informativi, con zero punti, e non ti penalizziamo mai per un’origine senza scudo o una configurazione con un solo fornitore. Li riportiamo perché descrivono una reale esposizione a downtime, attacchi e ripristino lento dagli incidenti — e perché aggiungere una CDN/WAF gratuita è uno degli aggiornamenti dal miglior rapporto valore-prezzo che una piccola impresa possa fare. Se qui non fai nulla, il tuo voto è invariato. Se metti uno scudo davanti al tuo sito e suddividi il tuo DNS, hai reso l’impresa significativamente più resiliente gratis. È il modo giusto di leggere questa pagina: non un numero da difendere, ma un aggiornamento di resilienza che vale la pena prendere.
FAQ
Questi non influiscono sul mio voto: perché dovrei interessarmene?
Perché il voto misura controlli di sicurezza specifici (cifratura, anti-spoofing email, header di sicurezza), mentre questi due controlli descrivono la tua resilienza — quanto sei esposto a downtime e attacchi. Un server spoglio senza scudo può comunque ottenere un buon punteggio sui controlli a voto ed essere comunque messo offline da un'ondata di bot nel giorno del lancio. Il voto e la resilienza sono domande diverse; questa pagina riguarda la seconda. Aggiungere una CDN/WAF è uno degli aggiornamenti con il miglior rapporto valore-prezzo che tu possa fare, voto o non voto.
Non sono una persona tecnica: cosa devo fare in concreto?
Una decisione e una consegna. La decisione: vuoi uno scudo protettivo (CDN/WAF) davanti al tuo sito? Per quasi ogni impresa la risposta è sì, e la via comune — il piano gratuito di Cloudflare — non costa nulla. La consegna: dai la sezione «Come correggerlo» a chi gestisce il tuo sito o dominio. Configurare una CDN/WAF gratuita è di norma il lavoro di un pomeriggio e non c'è canone di licenza. La correzione è gratuita; solo il monitoraggio facoltativo e gli strumenti di portafoglio sono a pagamento.
Qual è la differenza tra una CDN e un WAF: mi servono entrambi?
Una CDN (Content Delivery Network) è una rete globale di server che sta davanti al tuo sito, mette in cache i tuoi contenuti vicino ai visitatori così le pagine si caricano più in fretta, e assorbe i picchi di traffico così un'impennata non schiaccia la tua origine. Un WAF (Web Application Firewall) è uno strato di filtraggio che ispeziona le richieste in entrata e blocca quelle malevole — tentativi di injection, attacchi bot, schemi di exploit noti — prima che raggiungano il tuo server. La buona notizia è che i servizi popolari raggruppano entrambi: attiva Cloudflare (o simile) e ottieni la CDN e un WAF di base insieme. Quindi in pratica è una sola configurazione, due benefici.
È un male che tutti i miei servizi siano con un solo fornitore?
È un rischio di concentrazione, non un peccato. La comodità è reale — una bolletta, un accesso, una linea di assistenza. Ma il prezzo è che una sola interruzione o una sola compromissione dell'account può mandare giù insieme il tuo DNS, sito ed email, e lasciarti incapace persino di comunicarlo. Molte piccole imprese lo accettano consapevolmente. Lo scopo del controllo è semplicemente rendere visibile la dipendenza così che sia una decisione, non una sorpresa. Un miglioramento comune e a basso sforzo è spostare il DNS su un fornitore dedicato (il DNS di Cloudflare è gratuito), così almeno l'elenco del tuo dominio non condivide la sorte con il tuo hosting.
Abbiamo rilevato il software del vostro server e la versione: perché conta?
Quando il tuo server pubblicizza esattamente quale software gestisce e quale versione (nell'header «Server» o «X-Powered-By»), porge agli aggressori una scorciatoia: possono cercare le vulnerabilità note per quella versione esatta e puntarci dritto. Non ti rende insicuro di per sé, ma è una divulgazione di informazioni inutile — come lasciare marca e modello delle tue serrature sulla porta d'ingresso. Sopprimere la versione (un'impostazione del server di una riga, gratuita) è un piccolo e sensato passo di irrobustimento. È coperto nei passaggi di correzione qui sotto.
Mettere una CDN davanti al mio sito romperà qualcosa o lo rallenterà?
Fatto correttamente, velocizza il sito — è proprio lo scopo di una CDN. Le cose principali da fare bene durante la configurazione sono: assicurarsi che HTTPS resti end-to-end (usa la modalità «Full (strict)» su Cloudflare, non «Flexible»), e non mettere in cache in modo aggressivo le pagine che devono essere personali o in tempo reale (dashboard con accesso, checkout). I provider affidabili usano impostazioni sensate per impostazione predefinita. Testa il sito dopo aver cambiato i nameserver, sorveglialo per un giorno, e avrai un sito più veloce e protetto senza svantaggi.