Enrico Cassinelli

Sicurezza: perché i siti delle piccole aziende vengono hackati?

/in /da

Vedendo in televisione e sui giornali i numerosi casi di mega corporation che cadono vittime di attacchi hacker, è difficile immaginare che anche le piccole aziende possano essere vittima di questo tipo di pratica.

La realtà è però piuttosto diversa. Secondo uno studio della CNBC, le piccole e medie imprese sono il target del 43% degli attacchi, e circa il 61% delle piccole e medie imprese ha avuto a che fare con un attacco virtuale nell’ultimo anno.

Perché le piccole e medie imprese sono obiettivi preferenziali?

Anche se una piccola azienda può sembrare un obiettivo poco appetibile, in realtà la torta è molto ghiotta, specialmente per grandi gruppi organizzati che agiscono “a tappeto”.

Questo perché le piccole imprese hanno pratiche di sicurezza poco adeguate: è facile “entrare”, e una volta entrati è facile collezionare grandi quantità di dati sensibili.

Come fa un un hacker a bucare un sito web? e perché proprio il tuo?

Ci sono solitamente due modi facili per “bucare” un sito:

  1. Se una grande azienda (p.es. Facebook) subisce un attacco e vengono rubate delle credenziali di accesso, quelle credenziali verranno testate per accedere a milioni di siti tramite degli script automatici. Se hai riutilizzato delle combinazioni di nome utente / password è possibile che con questo metodo gli hacker possano accedere al tuo sito o ad altri servizi che utilizzi
  2. Viene sfruttata una vulnerabilità del sito (o del server) per avere accesso alla macchina

Gli hacker non ce l’hanno proprio con te: tutte e due le tecniche impiegano degli automatismi che vanno a colpire i siti “alla cieca” cercando una porta di ingresso. Se il tuo sito non è sicuro, troveranno una “porta aperta” in cui infilarsi, ma appunto senza particolare malizia nei tuoi confronti.

Cosa cerca un hacker quando buca un sito?

Spesso cerca di ottenere accesso ad informazioni personali salvate sulla macchina, come indirizzi mail, o numeri di carta di credito (se sei stato così incauto da salvarli sul tuo sito e non passare attraverso un gateway di pagamento come Stripe).

Ma nella maggior parte dei casi, il loro obiettivo è semplicemente quello di compromettere la macchina e assumerne il controllo. A questo punto il tuo sito viene messo in un pacchetto di macchine “zombie”, e il suo accesso venduto ad un soggetto terzo.

L’acquirente utilizzerà poi il pacchetto di macchine compromesse solitamente per tre obiettivi:

  1. Piazzare sul sito in questione link nascosti, o reindirizzi verso siti terzi con lo scopo di fare pubblicità occulta (o installare software malevolo)
  2. Utilizzare la macchina come “soldato” in attacchi distribuiti (DDoS) su larga scala
  3. Usare la macchina per scambiare materiale e/o informazioni illecite (per le quali tu potresti diventare responsabile).

Cosa cerca un’hacker quando buca il tuo computer?

Diverso è il caso del “buco” su un computer personale (o aziendale). In questo caso il danno è potenzialmente più grande. Dal tuo computer infatti, un malintenzionato ha la possibilità di accedere a un sacco di informazioni diverse.

  • può accedere alla tua posta (e inviare mail a nome tuo)
  • può intercettare la tua posta in uscita, e modificarla a scopi malevoli
  • può registrare le password che digiti per accedere a diversi servizi
  • può copiare i numeri delle tue carte di credito
  • può rubarti l’identità sui social network
  • può accedere ad altri dati personali (cartelle mediche, messaggi, ecc)

Come fare per difendersi

Per quanto riguarda il sito:

  • tieni sempre i software (dal sistema operativo alla parte applicativa) aggiornati alle ultime versioni
  • non usare la stessa combinazione nome utente / password che usi su altri servizi
  • se puoi, opta per la semplicità (meno codice vuol dire meno vulnerabilità)
  • se usi WordPress, usa pochi plugin, e non scegliere quelli “gratis” (gratis vuol solo dire che lo sviluppatore è meno incentivato a lavorare per tenere il plugin sicuro)
  • Fai periodicamente degli audit di sicurezza / hardening di sistema

Per quanto riguarda la tua vita digitale

  • usa password sicure (almeno 12 caratteri, non importa se simboli, numeri o lettere)
  • non ripetere mai le password (puoi usare un gestore di password come LastPass per salvarle in modo sicuro)
  • non ripetere mai le password
  • non ripetere mai le password
  • prima di cliccare su un link in una mail o aprire un allegato, controlla sempre che il mittente sia davvero chi dice di essere (molto spesso una mail ha indicato un nome di mittente che poi non corrisponde all’indirizzo che ha effettivamente inviato il messaggio: es mittente: Intesa San Paolo, indirizzo mail: dorisquaua1987@durumwheat.ru)
  • attiva un antivirus (quello “base” di Windows funziona molto bene)
  • attiva un antivirus anche su usi mac (davvero, fidati)
  • aggiorna sempre il sistema operativo e le applicazioni alle ultime versioni
  • evita di scaricare programmi o app da siti troppo sparafleshanti
Nicolas Roncea

Facebook Shop: non è tutto oro quello che luccica

/in /da

Oggi è possibile caricare e gestire il catalogo dei tuoi prodotti direttamente su Facebook. Se hai il tuo negozio online, puoi aumentare la visibilità dei tuoi prodotti e inserire nella tua strategia un nuovo canale di vendita

Al momento, quando l’utente visita la tua pagina Facebook può vedere i prodotti che hai messo in vetrina e acquistare sul tuo sito E-commerce o su un’app per la vendita online.  

Da qualche mese si sta parlando dell’introduzione, anche in Italia, della possibilità di acquistare direttamente da Facebook, una funzionalità comoda per gli utenti e strategica per il social network perché l’utente non finirà su una pagina di destinazione o su un app esterna per completare l’acquisto, ma continuerà a rimanere e navigare sul social in questione. 

Attualmente la funzionalità è disponibile solo in alcuni paesi inclusi gli Stati Uniti. Dato che eravamo molto curiosi, abbiamo chiesto alla nostra amica Julia, che vive a San Francisco, di fare un acquisto direttamente da Facebook e raccontarci la sua esperienza: il processo di acquisto è veloce, semplice e intuitivo.

Puoi scegliere tra diversi metodi di pagamento e in pochi minuti completare l’operazione senza finire su app, siti o landing page esterne.  

Gli svantaggi 

Anche se Facebook offre tutto quello di cui hai bisogno per vendere, non ha tutte le funzionalità di un e-commerce vero e proprio e questo potrebbe rappresentare un limite importante per la tua strategia di marketing

Prima di tutto devi considerare che solo i prodotti fisici possono essere venduti direttamente su Facebook, quindi se vendi servizi come per esempio dei corsi online, questa funzionalità non ti serve a nulla.

Un altro aspetto da considerare consiste nel fatto che non puoi sincronizzare la tua vetrina con un database esterno, un gestionale o un foglio excel contenente la lista dei prodotti quindi oltre a doverli inserire manualmente devi fare attenzione alla tua vetrina assicurandoti che disponibilità e prezzi siano sempre aggiornati. 

Hai pensato a Google? 

Non dimenticarti che la tendenza di un individuo che cerca un prodotto sul web è di rivolgersi a un motore di ricerca, Google in primis, quindi scegliere di vendere esclusivamente su Facebook compromette in modo significativo la tua presenza online e sarai sempre dipendente dalle politiche di uno spazio online che non possiedi ma per cui in un certo senso “lavori” e a cui dovrai sempre adeguarti

E’ su Google che le aziende trovano la domanda consapevole, fatta di individui che sanno quello che vogliono, a differenza di Facebook dove si trova quella latente

Credi che vendere direttamente su Facebook sia la scelta giusta per la tua strategia di marketing online? E’ molto rischioso scegliere una sola piattaforma di vendita, nella stragrande maggioranza dei casi si riducono drasticamente le opportunità di incontrare il tuo target nelle diverse tappe di quello che viene chiamato customer journey, ovvero il percorso che mette in contatto il consumatore con un marchio.

Quindi Facebook Shop sì o no? La nostra risposta è: dipende. Il consiglio che ti diamo è di riflettere attentamente prima di spendere tempo e risorse nella soluzione che sembra più facile e immediata, perché questa spesso e volentieri può rivelarsi deludente.

Il primo passo è sempre quello di avere chari i tuoi obiettivi e poi cercare la soluzione migliore in relazione alle risorse che si hanno a disposizione. 

Nicolas Roncea

Cybersquatting: occhio al dominio!

/in /da

Mi hanno fregato il dominio

La sicurezza sul web è un tema sempre in voga: ogni giorno qualche hacker in giro per il mondo si inventa nuovi modi per violare sistemi di sicurezza informatici e compiere azioni fraudolente, cercando di non lasciare traccia.

Recentemente si è parlato di Cybersquatting, perché ne è stato vittima perfino il premier Mario Draghi, che si è trovato il dominio mariodraghi.it “occupato” e ha dovuto rinunciare all’estensione “.it” del suo dominio, ovvero www.mariodraghi.it.

Per Cybersquatting, fenomeno che secondo le statistiche è poco conosciuto dalla maggior parte degli internauti, si intende l’acquisto di domini che richiamano marchi, personaggi celebri, aziende o termini comuni, all’insaputa dei diretti interessati

Nei casi più gravi questa attività è finalizzata ad ottenere dati sensibili e informazioni personali approfittando della fiducia verso un nome che gli utenti ingannati conoscono, oppure generare traffico per inserire pubblicità. Talvolta si tratta semplicemente di un acquisto di un dominio, nella speranza che questo interessi a qualcuno per iniziare una trattativa

Esiste anche una versione chiamata Typosquatting che è l’acquisto di domini per intercettare il traffico derivante da errori di battitura (ad es. www.gogle.com) e il Punycode, ovvero l’utilizzo di caratteri che a livello visivo sono simili alle lettere di un brand conosciuto, ingannando l’osservatore.

Come devo comportarmi? 

La registrazione del dominio è soggetta al criterio di tempestività: vince chi arriva prima. L’unico controllo che verrà fatto da parte delle autorità competenti è che il dominio in questione sia effettivamente libero. 

Sebbene sia evidente che il dominio costituisce a tutti gli effetti il marchio o l’azienda in questione, non esiste ancora una legge dedicata al reato in questione ma di norma si fa riferimento alle leggi generiche che tutelano il marchio

Il Cybersquatting è considerato un reato, tra gli altri, identificabile come truffa, contraffazione e diritto al nome. 

Per tutelarti devi registrare il tuo marchio presso l’Ufficio Brevetti e Marchi e rinnovare costantemente il tuo tuo dominio, magari acquistandone anche di simili, tenendo d’occhio le scadenze per evitarne l’acquisto da parte di malintenzionati. 

Tuttavia, una vittima di Cybersquatting può presentare un reclamo alla Internet Corporation for Assigned Names and Numbers (ICANN) per provare la proprietà del proprio brand registrato.

Enrico Cassinelli

SEO, E-Commerce & Multilingua: tutti gli aggiornamenti di inizio autunno

/in /da

La nostra più grande soddisfazione è sapere di aver fatto un buon lavoro. Qualche settimana fa abbiamo festeggiato 10 anni “senza buco”: nessun nostro sito è stato “bucato” da un hacker negli ultimi 10 anni.

Il merito di questo piccolo successo va anche dato alla continua attività di aggiornamento sulla nostra/vostra piattaforma tecnologica.

WordPress 5.5

Uno degli aggiornamenti più importanti è stato quello a WordPress 5.5, che ha introdotto il caricamento “lazy” (pigro) delle immagini: in buona sostanza il browser scarica solo le immagini visibili sullo schermo, mentre ritarda il caricamento di quelle non visibili.

Questo migliora i tempi di caricamento della pagina, rendendo così l’utente finale più propenso ad interagire con il tuo sito, e da un piccolo vantaggio dal punto di vista del posizionamento sui motori di ricerca.

Inoltre, sono state introdotte una ventina di piccole correzioni di bug, di cui 3 problemi di sicurezza critici.

SEO

Anche questa release è incentrata sul miglioramento delle performance, in particolare le modalità di accesso al database, così da rendere il caricamento delle pagine più veloci, sia quelle pubbliche, sia quelle dell’area amministrativa.

E’ stato inoltre aggiornato il modo in cui vengono generate le tag (chiamate robot) utilizzate impartire degli ordini diretti ai crawler dei vari motori di ricerca.

Nuove funzionalità

Ora è possibile collegare il proprio sito con SemRush così da ricevere informazioni sulle parole chiave in tempo reale.

E-Commerce

Con la nuova versione di WooCommerce, è stato rivisitato il modo in cui si gestiscono i coupon, che ora si trovano nella voce di menu “Marketing”.

Oltre a numerosi fix di sicurezza, sono stati anche corretti alcuni errori più grossolani.

Per esempio se hai scelto di nascondere i costi di spedizione finché l’indirizzo non è stato inserito, ora i costi rimarranno nascosti per davvero.

Oppure se cancelli un ordine in cui era stato usato un coupon con dei limiti di utilizzo, il coupon ora viene resettato.

A fini di aumentare la sicurezza, ora i codici dei coupon vengono sanitizzati (vengono rimosse eventuali tag sospette), così da impedire un input indesiderato e potenzialmente rischioso da parte dell’utente.

Pagamenti con carta di credito

Sono state migliorate le prestazioni e la velocità di caricamento del pagamento con carta di credito. Inoltre, quando possibile, vengono inviati i dati “livello 3” della carta, in modo da evitare (rari) casi di rifiuto della transazione da parte della banca.

Multilingua

Anche il plugin che gestisce il multilingua su WordPress è stato aggiornato all’ultima versione.

Non è stato un update particolarmente importante, ma sono stati corretti alcuni piccoli bug, come la generazione dei file MO per le traduzioni delle stringhe.

Inoltre è stata aggiunta la possibilità di tradurre le pagine di login e registrazione, ed è stata migliorata la velocità di caricamento dell’area di amministrazione per i siti con tanti utenti, come gli e-commerce.

Servizi di traduzione

Se usi i servizi esterni di traduzione per tradurre i tuoi contenuti, sarai felice di sapere che è stata aggiunta un’opzione per sincronizzare in blocco tutti i lavori di traduzione, ed è stato corretto un problema che causava la corruzioni dei dati tradotti su contenuti molto lunghi.

Enrico Cassinelli

10 anni senza buco: come essere hackerfree e vivere felici.

/in /da

Quest’anno festeggiamo il decimo anno di migrazione della piattaforma tecnologica su WordPress, e con questo traguardo ne raggiungiamo un altro: sono 10 anni che nessun nostro sito viene “bucato” o “hackerato”.

Secondo questa ricerca, sono circa 30.000 i siti che ogni giorno vengono infiltrati da malintenzionati di varie nazionalità. Vuol dire circa 10.950.000 siti all’anno.

I siti più vulnerabili sono quelli delle piccole aziende: obiettivi facili, poco protetti e poco sorvegliati, i cui proprietari, nella maggiorparte dei casi, si accorgono del problema solo dopo parecchio tempo.

3 suggerimenti per rimanere “hackerfree”

#1 – Infrastruttura aggiornata

La prima cosa da fare è mantenere aggiornato il lato server del proprio sito. Sistema operativo, linguaggi e librerie dovrebbero sempre essere all’ultima versione stabile disponibile.

Anche il modo con cui il server “parla” verso l’esterno può essere configurato in modo da renderlo più sicuro: firewall e reverse-proxy per esempio, sono due componenti importanti per una connettività sicura verso l’esterno.

Di seguito trovi alcune fra le attività più importanti che abbiamo fatto negli ultimi anni sulle nostre macchine:

  • 2012 – dopo due anni passati al limite del “fai da te”, ci siamo indirizzati ad un servizio di hosting gestito torinese, con l’aziende NaNo Sistemi come partner
  • 2014 – i server, sempre gestiti da NaNo Sistemi, sono stati spostati in COLT, uno dei data center più importanti e sicuri di Europa
  • 2016 – con il crescere del traffico e della pirateria informatica, l’architettura del nostro sistema di hosting è stata totalmente rivisita: reverse proxy a filtrare le connessioni in entrata, 2 server database e 2 server applicativi
  • 2018 – sistema aggiornato a PHP 7.1
  • 2020 – sistema aggiornato a PHP 7.3

Senza contare le attività di hardening e di update minori semestrali.

#2 – Applicativi aggiornati

Se la macchina è a posto ma il guidatore è ubriaco, è molto facile finire fuori strada.

Se il server è tutto aggiornato, ma i programmi che girano sopra sono vecchi, il tuo sito continua ad essere a rischio.

Se usi WordPress, oltre a tenere WordPress aggiornato all’ultima versione, devi anche controllare che i plugin e i temi siano altrettanto aggiornati.

Sulla nostra piattaforma testiamo e mandiamo in produzione gli aggiornamenti ogni settimana, così da essere al riparo anche dalle vulnerabilità 0-day.

#3 – Monitor costante

Anche se hai fatto tutto giusto, come ci insegna la legge di Murphy, qualcosa può andare comunque storto.

In questo caso è fondamentale avere un sistema per monitorare il proprio sito, così da accorgersi in tempo di eventuali problemi, e limitare i danni.

I siti dei nostri clienti sono hostati sullo stesso sistema che ospita il nostro portale e il nostro e-commerce.

Oltre a una serie di monitor automatici, che rilevano e ci allertano di eventuali problemi, monitoriamo il nostro ambiente informatico in modo continuativo, tramite lo staff editoriale che lavora sul portale in modo pressoché costante.

Enrico Cassinelli

WordPress, Sicurezza, Privacy & SEO: gli aggiornamenti degli ultimi mesi

/in /da

Causa lockdown, successiva corsa alla ripresa, e alcuni momenti difficili a livello aziendale, è da diversi mesi che non scrivevamo un articolo sugli aggiornamenti al sistema, benché quest’attività non si sia mai fermata.

Ci sono talmente tante cose di cui parlare che ho deciso di dividere questo articolo in due parti. Il prossimo sarà dedicata al multilingua e all’e-commerce.

WordPress 5.4 include parecchi miglioramenti, in particolare legati al nuovo editor a blocchi (Gutenberg). Ma non mancano anche diverse migliorie dal punto di vista della sicurezza, del SEO, e della gestione della privacy.

Sicurezzza

Nell’ultima release della suite di sicurezza il codice è stato completamente riscritto, e sono stati tappati numerosi buchi:

  • In alcuni casi i token dei link di reset della password non venivano invalidati correttamente (portando quindi ad un loro possibile riutilizzo)
  • In alcuni casi, gli articoli impostati come privati potevano essere comunque visualizzati
  • Sono stati sistemati 4 bug di sicurezza cross-site rispettivamente nel customizer, nel blocco di ricerca, nella cache ad oggetti, e nell’uploader dei file multimediali
  • E’ stato risolto un bug per cui alcuni utenti potevano aggiungere del codice javascript negli articoli o nei file media
  • In alcuni casi l’opzione set-screen-options poteva essere utilizzata in modo malevolo dai plugin causando un’escalation dei privilegi utente

Inoltre abbiamo migliorato la protezione contro gli attacchi che tentano di effettuare accessi non autorizzati all’area amministrativa utilizzando combinazioni nome utente / password conosciute.

Privacy

Sul versante privacy e GDPR sono state introdotte alcune migliorie sull’export dei dati personali degli utenti: l’interfaccia utente è stata migliorata e ripulita, in modo da rendere il processo più semplice e le informazioni più semplici da interpretare.

Inoltre, il testo del banner della cookie policy è stato leggermente accorciato, mentre è stato introdotto il supporto al TCF versione 2 (il TCF è il “framework trasparenza e consenso” dell’Unione Europea che regola tutta la normativa comunitaria in materia di privacy),

Infine, lo strumento per il consenso dei moduli ora permette di utilizzare più moduli di richiesta nella stessa pagina.

SEO & Ottimizzazione Google

E’ stata migliorata tutta la parte di analisi automatica del contenuto nelle lingue europee, in particolare i risultati per la lunghezza delle frasi, della distribuzione e densità delle parole chiave, e della presenza delle parole chiave nella meta descrizione.

Inoltre il feedback sulla presenza di parole chiave nei titoli della pagina è ora più chiaro ed esplicito.

Dati strutturati

I dati strutturati permettono a Google capire in modo specifico il tipo di contenuto del tuo sito (quindi se per esempio una pagina è una scheda di un prodotto, un evento, ecc). In questa release abbiamo aggiunto l’attributo “lingua” a questo insieme di meta-dati, così da rendere ancora più efficace la “leggibilità” dei contenuti da parte del motore di ricerca.

Performance

In queste ultime release è stato introdotto un nuovo metodo per salvare le informazioni SEO, utilizzando una tabella dedicata sul database, in modo da rendere il sistema più veloce per chi naviga il sito.

Interfaccia grafica

Sono stati sistemati oltre 30 piccoli bug sull’interfaccia grafica della dashboard.

Statistiche & Google Analytics

In quest’ultima release sono stati introdotte alcune nuove funzionalità, e migliorate alcune funzionalità esistenti:

  • L’output del codice di tracciamento è stato migliorato in modo da evitare i (rari) falsi positivi
  • E’ stato introdotto un nuovo strumento per costruire link tracciabili per le campagne, direttamente dall’area amministrativa!
  • E’ stato sistemato un bug che in alcune situazioni impediva all’analisi avanzata dei link di funzionare correttamente
  • E’ stato introdotto il supporto per i nuovi container di Google Optimize
Nicolas Roncea

Pubblicità su TikTok: sì o no?

/in /da

Il Social Network della generazione Z è made in China

L’applicazione più scaricata nel 2019 è TikTok o Douyin (fonte Forbes), se vogliamo chiamarla col suo nome cinese, che ha letteralmente fatto impazzire i teenager di tutto il mondo e che conta oggi più di 40 milioni di utenti attivi al giorno. 

La piattaforma cinese lanciata nata dall’imprenditore Zhang Yiming, membro del colosso ByteDance che gestisce più di 20 app in Cina e all’estero, ha un fatturato di 18 miliardi di dollari.

Perché piace tanto?

Tik Tok permette di realizzare brevi video di 15-60 secondi dove l’utente può sbizzarrirsi improvvisando balletti o piccoli sketch con effetti, filtri, musiche, dialoghi o discorsi celebri. Un passatempo che piace tantissimo alla generazione Z, in particolare ai ragazzi tra i 13 e i 20 anni, anche se il target si sta alzando

La particolarità dell’app di intrattenimento cinese è quella di avere due feed: Seguiti dove l’utente trova gli account che ha scelto di seguire e Per te, dove si trovano i contenuti più popolari in linea con i gusti dell’utente, in base alle azioni che ha svolto sull’app. 

Su Tik Tok esistono le challenge, ovvero “sfide” dove l’utente deve cliccare sull’hashtag e seguire le direttive riportate, e i trend, video adatti ad essere imitati e riprodotti che un utente propone ai suoi followers.  

La formula pay-to-play renderà difficile ai brand farsi vedere gratuitamente. Questo potrebbe significare l’ulteriore aumento di popolarità dell’app, oppure la sua caduta. Il tempo ce lo dirà!

L’era dei TikToker  

Come su Instagram anche su Tik Tok si può diventare famosi come influencer e poter guadagnare grazie alla visibilità che il Tiktoker può offrire a un brand o ad un prodotto. 

Ciascun utente può trasformare il proprio account in “pro” che offre la possibilità di avere una panoramica e approfondimenti su visualizzazioni settimanali e mensili, monitorare la crescita dei followers e scoprire i video di tendenza sul proprio profilo.

Il dato fondamentale per chi deve investire su questo genere di pubblicità è l’engagement rate del TikToker ovvero quanto mediamente un profilo riesce a coinvolgere il suo pubblico, una testimonianza del fatto che i propri follower siano effettivamente interessati ai contenuti pubblicati. 

Quindi è il momento di fare una campagna con TikTok Ads?

Dipende. Risposta deludente, lo so, ma è così. 

TikTok Ads è lo strumento integrato che permette di lanciare e monitorare campagne di advertising

Le aziende più grandi come Nike, Disney e Ferrero sono tra le prime ad aver investito sul nuovo canale mentre le aziende medio piccole sono ancora scettiche, anche perchè il costo è più alto rispetto agli altri social network

Considerando il fatto che nessun altro Social Network ha mai avuto una crescita così rapida (oggi conta più di 3 milioni di utenti attivi in Italia), non lo si può scartare o ignorare a prescindere. 

Tuttavia è necessario comprendere se il prodotto o servizio che vogliamo promuovere è interessante per il pubblico di TikTok, o se abbiamo scelto di affidarci a un influencer, dobbiamo studiare le statistiche che ci vengono fornite, e assicurarci che il suo engagement rate sia considerevole su brand affini e prodotti simili al mio. 

Se TikTok è partito con un target di adolescenti, oggi il suo pubblico sta crescendo in termini di età anagrafica. Inoltre è stato registrato un aumento significativo del tempo medio che ogni utente trascorre sul social network.

Per tutte queste ragioni, vale la pena tenerlo d’occhio. 

Enrico Cassinelli

Lavorare da remoto: cosa abbiamo imparato in 15 anni di Smart Working

/in /da

Fin dalla nascita, la nostra azienda ha sempre lavorato in “smart working“.

Inizialmente era una necessità, ma in seguito è diventata una vera e propria filosofia aziendale.

Se da un lato crediamo fermamente nella migliore qualità del lavoro svolto al di fuori di un ufficio, dall’altra è diventata anche un po’ una questione di “coerenza”: cerchiamo di spronare le aziende ad avere un approccio più digitale al proprio lavoro, quindi dobbiamo essere i primi a “dare il buon esempio”.

Questo articolo vuole essere una piccola guida per chi si trova oggi, vista l’emergenza COVID-19, ad essere obbligato ad adottare uno stile lavorativo diverso dal solito.

E’ basato esclusivamente sulla nostra esperienza, e sicuramente non tutto quello che leggerai sarà applicabile alla lettera alla tua realtà lavorativa… ma magari troverai qualche consiglio utile 🙂

Organizzazione & Processi

Una delle sfide più difficili è impostare dei processi formali e informali che tengano conto della distanza fisica con i tuoi colleghi.

Quello che prima era una passeggiata fino ad un’altra scrivania, non si può, in questo contesto, tramutare in una telefonata.

Cosa starà facendo il tuo collega nel momento in cui lo chiami?

Magari è impegnato in una videoconferenza, o magari è davvero concentrato su un problema da risolvere.

Sapevi che dopo un’interruzione una persona impiega circa 23 minuti per recuperare il filo dei propri pensieri? Pensa quanto tempo sprecato in un singolo giorno solo per 4-5 “toccatine” sulle spalle.

Lavoro asincrono

La prima cosa da accettare è questa: il lavoro remoto è principalmente un lavoro asincrono.

Non saprai mai su che cosa stanno lavorando i tuoi colleghi in un dato momento, e in linea di massima è più facile che tu li interrompa nel mezzo di un lavoro quando scrivi per ricevere qualche tipo di informazione (vedi capitolo “comunicazione” poco sotto)”.

L’azienda e i lavoratori devono quindi essere attrezzati per gestire il know-how interno in modo trasparente e accessibile. Un aspetto che crea un ambiente e una mentalità molto proattiva.

Comunicazione

Vista l’asincronicità, in cui la comunicazione informale trova poco spazio, la comunicazione tende ad concentrarsi in mezzi più formali.

Per evitare problemi e musi lunghi è importante creare delle aspettative condivise sulle comunicazioni.

Per esempio, noi cerchiamo di lavorare con questi presupposti:

  • la telefonata è solo per le cose urgentissime: mi aspetto che il mio collega risponda immediatamente (a meno che impossibilitato perché in video conferenza per esempio)
  • la chat è per richieste veloci: cerchiamo di non usarla per cose troppo complesse e mi aspetto che un collega mi risponda nel giro di 15 minuti / 2 ore
  • la mail serve solo per ragionamenti di ampio respiro e questioni complesse: mi aspetto che un collega mi risponda nel giro di 24/48h, o anche di più se il discorso è davvero difficile
  • sistema di commenti nel programma di gestione dei progetti: tutto quello che è legato ad attività specifiche (sia discussioni complesse, che piccole richieste) cerchiamo di tenerlo qui dentro, così che l’assegnatario del compito abbia sempre tutte le risposte sottomano

Consiglio bonus: non usare Whatsapp come sistema di chat. Su Whatsapp ti scrivono i parenti, gli amici, la nonna, il moroso/a, la moglie/marito, tienili separati dal tuo lavoro.

Documentazione scritta

Verba volant, scripta manent, dicevano i latini. Niente è più vero quando si fa lavoro remoto.

Vista l’asincronicità, è essenziale che i tuoi processi aziendali siano scritti e documentati, ma soprattutto accessibili a tutti i colleghi.

Consiglio bonus: se riesci a creare una documentazione interna ben fatta, ti tornerà utile anche con la tua forza lavoro “non remota”. L’onboarding dei nuovi assunti sarà molto più semplice. Eviterai che la stessa cosa venga fatta in cento modi diversi. Fantastico.

Organizzazione e misurazione del lavoro

Quando il metro di giudizio del lavoro smette di essere il tempo in cui una persona sta seduta alla sua scrivania, cambiano molte cose.

Le attività da svolgere devono essere soppesate, quantificate, suddivise e organizzate in modo chiaro.

Noi abbiamo un approccio di tipo progetto/task.

Un progetto è un insieme di task (attività) collegate fra loro. Ogni progetto (quasi 😉 ) ha un responsabile. Ogni task ha un assegnatario e una data di scadenza entro cui deve essere svolta.

A seconda del tipo di progetto, ad ogni task può venir assegnato un peso (solitamente in ore lavoro), definito possibilmente da chi il lavoro lo dovrà svolgere.

Questo permette ad ogni membro del team di avere un’idea chiara di cosa deve fare in un determinato giorno, ai “capi” di vedere chi sta facendo cosa, e ci permette di pianificare nel medio periodo le nostre attività.

Incontri dal vivo

Ogni tanto (non abbastanza!) organizziamo serate / aperitivi / cene per incontrarci di persona.

Siamo bellissimi o no?

Fa bene al morale e ci aiuta ad essere più coesi 🙂

Software & Applicazioni

Pensare di avvicinarsi allo smart working armati solo di e-mail e telefono secondo me è un po’ suicida.

Ci sono delle applicazioni apposta che ti permettono di gestire i diversi aspetti del lavoro.

Gestione dei progetti

Questo tipo di software ti permette di tenere traccia delle varie attività da svolgere, di assegnarle ai rispettivi incaricati, mettere date di scadenza ecc.

  • ClickUp – è quello che usiamo noi. E’ molto flessibile, puoi usare la gestione classica a liste di task, un’approccio kanban, visione a calendario, GANTT ecc.
  • Trello – l’ho usato per una vita ed è estremamente bello e facile da usare. Approccio solo kanban, quindi forse un po’ limitato.
  • ActiveCollab – l’abbiamo usato per alcuni anni in azienda. E’ vagamente simile a ClickUp, ma meno flessibile e con meno funzionalità (che non è necessariamente un male)
  • Asana – non l’ho mai provato ma va molto di moda nel mondo delle startup

Di queste applicazioni ne puoi trovare a centinaia.

Comunicazione

Ribadisco ancora qui il concetto: non usare whatsapp come chat lavorativa.

Noi usiamo Slack. Esistono anche Microsoft Teams, Mattermost (open source) e molte altre.

Videoconferenza

Noi usiamo principalmente Google Hangouts internamente, e 3cx per le videoconferenze con i clienti. Esistono anche Zoom (mai provato) e Microsoft Teams.

File condivisi

E’ necessario dotarsi di un sistema di file condivisi, in modo che tutti possano accedervi. Se hai pochi file (o tanti soldi da spendere) una soluzione potrebbe essere DropBox.

Un’alternativa molto valida sono Google Drive o Microsft OneDrive.

Noi usiamo NextCloud, un sistema open source installato sui nostri server.

Gestione e misurazione del tempo

Se hai bisogno di tracciare il tempo speso sulle diverse task (per esempio per fare un consuntivo ad un cliente), devi usare un time tracker.

ClickUp, il programma per gestire i progetti che utilizziamo, ne ha uno interno, ma preferiamo usare una soluzione apposta, chiamata Clockify.

Suite di applicazioni

Se preferisci avere una soluzione che faccia (quasi) tutto quello elencato sopra, puoi provare a guardare GSuite (Google), oppure Microsft Office 365.

Altre applicazioni

A seconda del lavoro principale che svolgi, potresti aver bisogno di altre applicazioni, come un CRM, un repository remoto per il codice, oppure un software di helpdesk o ticketing.

Strumenti hardware

Non puoi fare lavoro remoto con (solo) tablet o telefono. Hai bisogno di un computer.

Consigli pratici per chi lavora da remoto per la prima volta

Uno spazio per lavorare

Attrezzati uno spazio dedicato al lavoro. Non è necessaria una stanza intera, basta anche solo un tavolino, sempre lo stesso.

Questo ti aiuta a stabilire una routine e dà dei “confini” definiti al tuo lavoro.

Attenzione alle distrazioni…

Hai presente quando “dai solo un’occhiata a Facebook” e improvvisamente sono passate tre ore? Ecco.

Fai attenzione a non perderti in distrazioni, altrimenti dovrai recuperare il lavoro in orari tristi, tipo alla sera 😉

Programma delle pause “fisse” per le distrazioni, magari usando un timer.

Mai sentito parlare della tecnica del pomodoro? E’ un buon modo per cominciare a creare una routine sana.

…e a non lavorare troppo

Quando lavori in modo tradizionale, la tua giornata lavorativa finisce (quasi sempre) quando esci dall’ufficio e ritorni a casa.

Lavorando in remoto è molto più difficile “staccare”, specialmente in alcune professioni legate al terziario, in cui il lavoro letteralmente non termina mai (c’è sempre qualcosa da fare).

Se non ci si attiva per avere una routine sostenibile, il rischio è quello del burnout.

Fai qualche pausa

Come detto sopra, ricordati di fare qualche pausa, per riposare gli occhi e la mente. Sei fai un lavoro stressante, puoi fare anche una mini meditazione (10 minuti) per riprendere il fiato e recuperare energie.

Stacca quando è ora

Il bello di lavorare da casa è che (solitamente) gli orari te li puoi dare tu. Quindi… datti degli orari. Decidi di lavorare dalle 7 alle 14, o dalle 9 alle 17, o come preferisci. Ma imponiti dei limiti e cerca di rispettarli.

Non stare in pigiama

Ok, forse questa è una cosa molto personale 😉 ma io non sto in pigiama mentre lavoro. I miei colleghi avrebbero qualcosa da obiettare, ma diversi studiosi dicono che è giusto così.

Enrico Cassinelli

Aggiornamenti di inverno: sicurezza, SEO e privacy

/in /da

L’attività di manutenzione del sistema prosegue anche nell’anno nuovo, e siamo felici di raccontarti alcuni degli aggiornamenti più importanti che abbiamo rilasciato sui siti web della nostra piattaforma in questi mesi.

WordPress 5.3.x

WordPress 5.3 è stato rilasciato a Novembre 2019, ma abbiamo preferito ritardarne l’installazione sui nostri/vostri sistemi per essere sicuri che tutto funzionasse a dovere.

Ecco alcune delle nuove funzionalità:

Sicurezza

In questa release di WordPress sono stati sistemati alcuni problemi di sicurezza:

  • Problema legato all’API, che permetteva ad un utente senza abbastanza privilegi di modificare il contenuto di una pagina
  • Attraverso la creazione di link particolari (non è stata resa pubblica la tecnica in modo da non diffonderla) era possibile fare del cross-site scripting (uno dei pericoli più comuni e dannosi)
  • La funzione wp_kses_bad_protocol() (che serve a “ripulire” l’input degli utenti) ora elimina la possibilità di fare del cross-site scripting tramite l’uso del carattere “:” in alcune stringhe javascript

Rotazione automatica delle immagini

Quando carichi un’immagine, verrà automaticamente ruotata per rispettare la sua posizione originale, che viene letta e ricavata fra i meta-dati (i dati aggiuntivi che la macchina fotografica quando scatta una foto) dall’immagine stessa.

Diagnostica di sicurezza del sito

Con la nuova release, gli strumenti di diagnostica del sito sono stati migliorati, rendendo più facile e veloce individuare eventuali problemi.

Verifica email amministratore

Periodicamente, quando esegui l’accesso all’area amministrativa, ti verrà richiesto di verificare che l’email amministrativa del sito sia corretta. La procedura è estremamente semplice e veloce (vedi immagine qui sotto)…

…e serve a far si che, nel caso non leggessi l’indirizzo in questione, tu ti possa ricordare di cambiarlo, così da evitare di perdere alcune comunicazioni importanti.

Compatibilità con PHP 7.4

Ad inizio anno è stata rilasciata la nuova versione di PHP (il linguaggio di programmazione con cui è costruito il tuo sito WordPress), e con cui la nuova versione di WordPress è ora al 100% compatibile.

Iubenda & Privacy

Iubenda è la soluzione “privacy e cookie policy” che consente una gestione dei cookie “a norma di legge”, bloccando effettivamente i cookie fino a che l’utente non ha dato il consenso al loro utilizzo.

Ci sono due novità importanti in questa versione:

la prima è la possibilità per l’utente accettare solo i Cookie di una certa categoria (per esempio solo quelli traccianti) come richiesto dal framework legislativo dell’Unione Europea.

La seconda è la possibilità per l’utente di rifiutare tutti i cookie, tranne quelli tecnici ovviamente, che sono necessari al corretto funzionamento del sito stesso.

SEO & Ottimizzazione per i motori di ricerca

La componente che gestisce l’ottimizzazione per i motori di ricerca è passata alla versione 13.0 e include diverse novità, principalmente legate alla cosiddetta snippet preview (l’anteprima che ti mostra come comparirà la pagina su Google).

Novità nella preview mobile

La preview mobile è stata aggiornata per adeguarsi al nuovo formato dei risultati di ricerca di Google. Ora viene infatti inclusa sia l’immagine in evidenza, sia la la favicon (l’icona) del sito. Inoltre la grandezza dei caratteri è stata modificata in modo da essere identica a quella del motore di ricerca.

Adeguamento alle normative europee

Alcune nuove normative Europee in materie di privacy dispongono che i titolari di un sito possano scegliere nel dettaglio che cosa mostrare su Google quando una loro pagina compare fra i risultati di ricerca. La nostra componente per il SEO è stata aggiornata in modo da permettere questa gestione granulare.

Notifica per gli utenti di Internet Explorer 11

Internet Explorer è un browser molto vecchio, poco sicuro, di cui Microsoft stessa scoraggia l’utilizzo. Se utilizzi questo browser, sappi che la parte amministrativa del SEO non funzionerà correttamente.

Sicurezza generale

Oltre ad aggiornare costantemente la parte applicativa del tuo sito (quindi WordPress, i plugin e i temi), una parte del nostro lavoro consiste anche nel mantenere funzionanti e prestanti le macchine (i server) su cui il sito è ospitato.

Trackback disabilitati

Sono stati disabilitati i trackback a livello di piattaforma. Questa è una vecchia funzionalità di WordPress, usata per segnalare agli amministratori di nuovi link in ingresso. Ormai nessuno la usa più, ed essendo potenzialmente pericolosa per il cross-site scripting, abbiamo preferito disabilitarla.

Migliorato il blocco di “enumerazione” degli utenti

Una delle tecniche preferite dagli hacker per bucare un sito web, è quello di provare a lanciare migliaia di tentativi di login con delle credenziali generate in modo sequenziale (così da tentare tutte le possibili combinazioni).

Anche se l’hacker non riesce a individuare le credenziali di accesso corrette, le migliaia di richieste al secondo possono mettere in ginocchio il sito e renderlo inaccessibile ai normali utenti.

Abbiamo quindi migliorato il codice che individua e blocca questi tentativi, prima che possano arrecare danni.

Compliance GDPR

il sistema di gestione della sicurezza sul nostro ambiente raccoglie qualche “informazione personale” sugli utenti (per esempio l’indirizzo IP con cui navigano e il paese di provenienza). Questi dati adesso vengono salvati per un periodo di tempo limitato (giusto quanto serve per prevenire gli attacchi informatici, si parla di qualche ora) e poi vengono eliminati.

e-Commerce

WooCommerce è il plugin che permette ti trasformare un sito in un negozio online completo di catalogo, carrello, sistema di pagamento e gestione di spese di spedizione.

La nuova major release di WooCommerce (versione 3.9.2) contiene principalmente modifiche “under the hood” (sotto il cofano, quindi invisibili per gli utenti normali), principalmente legate alla sicurezza e alla correzione di bug.

Ci sono tuttavia un paio di funzionalità degne di nota.

Integrazione del servizio MaxMind per la geolocalizzazione

E’ stato integrato un nuovo database per geolocalizzare gli utenti, chiamato MaxMind. Questa nuova funzione permette al sistema di riconoscere la provenienza geografica di un utente e fargli trovare il modulo dell’indirizzo già (parzialmente) compilato.

Bottone “visualizza password”

E’ stato aggiunto il bottone “mostra la password” nel form di login sulla pagina “Il mio account”, particolarmente utile per chi naviga da un dispositivo mobile.

Gravity Forms

Gravity Forms è il plugin che consente di costruire dei moduli per richieste di soggiorno, prenotazioni, preventivi e quant’altro, tramite una semplice interfaccia drag & drop.

In questa versione è stato corretto un bug che impediva al form di essere inviato correttamente quando si utilizzava re-captcha (il sistema antispam di Google) in determinate circostanze.

WPML

WPML è il plugin che permette di gestire un sito in molteplici lingue. Con il recente aggiornamento alla versione 4.8, è stata ottimizzata la compatibilità con PHP 7.4.

Enrico Cassinelli

Analisi SEO di Yoast: come funziona e cosa c’è di nuovo

/in /da

Con uno degli ultimi update rilasciati sulla nostra piattaforma, abbiamo aggiornato anche la componente che gestisce il SEO sui nostri siti web.

Quest’ultima versione ha introdotto una serie di miglioramenti sulla parte di analisi dei contenuti, che vorrei vedere insieme a voi.

Cos’è l’analisi SEO?

L’analisi SEO fa parte del “kit” di ottimizzazione con cui equipaggiamo ogni sito web che costruiamo: si tratta di un pannello, che trovi al fondo di ogni pagina e articolo, in cui sono segnalati eventuali problemi di quella pagina o articolo legati all’ottimizzazione per i motori di ricerca.

Analisi SEO di Yoast, come trovarla

Come funziona l’analisi SEO?

Per far funzionare l’analisi SEO è necessario compilare il campo della “frase chiave“. Questa frase è quella per cui vuoi far posizionare l’articolo / pagina in questione.

Una volta compilato questo campo, il sistema procederà ad una verifica del tuo contenuto, analizzandone diversi aspetti e parametri. Ad ognuno di essi verrà assegnato un punteggio:

  • rosso: parametro non rispettato
  • arancione: parametro rispettato in parte
  • verde: parametro corretto

Ma passiamo a vedere cosa c’è di nuovo nell’ultima versione.

#1 – Analisi SEO del titolo h1

Questa nuova funzione controlla che sulla pagina sia presente un solo titolo h1 (e non più di uno), e che sia posizionato prima del contenuto.

Analis SEO: l'importanza del Titolo h1

A cosa serve?

I titoli aiutano Google a comprendere il contenuto essenziale della tua pagina/articolo. Se hai più di un h1 nella stessa pagina Google potrebbe “confondersi”.

Inoltre, una struttura corretta dei titoli (h1, h2, h3, ecc) è anche importante per “guidare” i tuoi utenti nella lettura.

E infine, la struttura dei titoli è molto importante anche per quanto riguarda l’accessibilità: chi ha problemi di vista e utilizza uno screen reader, di solito usa i titoli per “navigare” all’interno della pagina.

#2 – Valutazione densità frasi chiave

Questa funzionalità adesso tiene in conto la lunghezza della frasi chiave prima di dare il suo “giudizio”: se hai selezionato delle frasi chiave piuttosto lunghe, sarà molto più difficile usarle spesso nel testo, ed è quindi giusto che tu non venga “forzato” ad usarle troppo, così da non incappare in una penalizzazione per “troppa ottimizzazione” (sovraottimizzazione) da parte di Google.

Densità parole chiave

Inoltre, adesso l’analisi è in grado di valutare la presenza della frase chiave anche quando le parole sono usate in ordine diverso.

Perché è importante?

Google cerca di fornire a chi ha fatto una ricerca i risultati più rilevanti: per poter fare questo, il motore di ricerca letteralmente “legge” il contenuto della tua pagina per capire “di cosa parla”.

Per questo motivo devi cercare di usare la tua “frase chiave”, cioè quella frase per cui vorresti che la tua pagina venisse trovata su google, nel contenuto della pagina stessa.

Se usi questa frase chiave troppo spesso però, l’esperienza di lettura dell’utente può risultare compromessa e, allo stesso tempo, potresti incappare in una penalizzazione da parte di Google per sovraottimizzazione.

#3 – Link in uscita

Ora l’analisi mostra un “pallino rosso” invece che arancione quando non sono presenti dei link che puntano a siti esterni. Il web si basa sui link, e per sostenere questa filosofia devi aggiungere un link ad una risorsa esterna ogni volta che ha senso farlo (per esempio se parli di Napoleone Bonaparte, potresti aggiungere un link alla pagina di WikiPedia che ne parla).

#4 – Attributi delle immagini

Ora l’analisi controlla in automatico il numero di immagini nella pagina, ma soprattutto controlla che in una certa percentuale di esse (ma non tutte per evitare una penalità di “sovraottimizzazione” sia presente un testo alternativo con la frase chiave da te scelta.

A cosa serve?

Conosciamo tutti l’importanza di avere delle buone immagini per il proprio sito, ma forse non sai che anche le immagini possono essere ottimizzate per il SEO.

Il campo “testo alternativo” di un’immagine viene infatti attivamente letto da Google per capire di cosa parla la pagina in questione e viene usato per la sezione “ricerca immagini”.

Infine il testo alternativo viene usato dagli strumenti di accessibilità, per esempio gli screen reader, per “leggere” l’immagine a chi ha problemi di vista.

#5 – Parole chiave nel titolo

Per diverse lingue (incluso l’italiano), per calcolare il livello di pertinenza del titolo della pagina rispetto alle frasi chiavi scelte, vengono adesso esclusi gli articoli, le preposizioni, e così via, in modo da ottenere un giudizio più veritiero.

A cosa serve?

Il titolo della pagina è una delle parti più importanti del SEO. Il titolo della tua pagina è la prima cosa che vedono gli utenti, e molto spesso l’unica cosa. E’ anche uno dei primi parametri che Google controlla per determinare di cosa parla quella pagina.

Se vuoi che la tua pagina sia ben posizionata per una specifica parola chiave, devi assolutamente cercare di utilizzarla nel titolo.

Prossimo appuntamento

Prossimamente voglio scrivere una guida completa su come utilizzare l’analisi SEO. Se ti interessa, rimani sintonizzato 😉