Stai pagando CHF 5 al mese per l'hosting. Il tuo sito funziona, le email arrivano, tutto sembra a posto. Cosa potrebbe andare storto?
Parecchio, in realta. Quei CHF 5 ti comprano una piccola fetta di un server condiviso con decine o addirittura centinaia di altri siti web. Non sai chi siano i tuoi vicini, che software usino o quanto bene mantengano i loro siti. Ed ecco il problema: i loro errori di sicurezza possono colpire direttamente la tua attivita.
Questo articolo spiega come funziona davvero l'hosting condiviso, quali rischi comporta e quali alternative esistono. Alcune di queste alternative sono sorprendentemente accessibili.
Come funziona davvero l'hosting condiviso
Hosting condiviso significa esattamente quello che sembra. Un singolo server fisico (o macchina virtuale) ospita piu siti web di clienti diversi. Tutti condividono CPU, RAM, spazio su disco, indirizzo IP e spesso la stessa installazione PHP e lo stesso server MySQL.
Il provider di hosting usa software come cPanel, Plesk o DirectAdmin per creare account utente isolati. Ogni cliente ha la propria directory, le proprie credenziali FTP e il proprio database. L'isolamento tra account e gestito dai permessi del sistema operativo e, nelle configurazioni migliori, da tecnologie di containerizzazione come CloudLinux.
Ma l'"isolamento" nell'hosting condiviso e relativo. Il livello di separazione non e paragonabile a quello di un server dedicato o anche solo di un VPS. Pensalo come un condominio. Hai la tua porta d'ingresso, ma condividi l'impianto idraulico, quello elettrico, le fondamenta e il tetto. Se l'appartamento sotto il tuo si allaga, il tuo soffitto si bagna.
L'economia dell'hosting condiviso
Un server decente costa tra CHF 80 e CHF 300 al mese da gestire. Se un'azienda di hosting mette 200 siti su quel server e addebita CHF 5 a ciascun cliente, incassa CHF 1.000 al mese. Questo e il loro modello di business. Piu siti per server, piu alto il margine di profitto.
Questo incentivo economico e direttamente in conflitto con le tue esigenze di sicurezza e prestazioni. Ogni inquilino aggiuntivo sul server aumenta il tuo rischio e diminuisce le tue risorse disponibili.
Contaminazione tra siti
Questo e il rischio maggiore dell'hosting condiviso, e quello che la maggior parte dei titolari d'azienda non conosce. Se un sito sul tuo server condiviso viene violato, l'attaccante potrebbe essere in grado di raggiungere anche i tuoi file.
Come succede
Quando un attaccante compromette un sito WordPress mal manutenuto sul tuo server (ad esempio uno con un plugin che ha una vulnerabilita nota di upload file), ottiene la capacita di eseguire codice come utente di quel sito. Da li puo tentare di:
- Leggere file di altri account se i permessi dei file sono configurati male (cosa frequente negli hosting economici).
- Accedere a directory temporanee condivise come
/tmpdove possono trovarsi file di sessione e file caricati temporaneamente. - Sfruttare vulnerabilita di privilege escalation locale nel sistema operativo o nel kernel del server per ottenere accesso root, che da accesso a ogni sito sul server.
- Accedere ai database server condivisi dove sono ospitati tutti i database degli inquilini, a volte con convenzioni di naming prevedibili e credenziali deboli.
Uno scenario reale
Lo abbiamo visto con i nostri occhi durante le valutazioni di sicurezza. Il sito ecommerce di un cliente era su hosting condiviso. Il sito stesso era ben manutenuto, con versioni software aggiornate e password forti. Eppure e comparso malware nei loro file. La causa? Un sito completamente non correlato sullo stesso server era stato compromesso settimane prima. L'attaccante aveva usato un exploit di privilege escalation locale per muoversi lateralmente sul server.
Il sito del cliente era pulito. Quello del vicino no. Ma il prezzo lo ha pagato il cliente.
Vicini rumorosi: prestazioni sotto il controllo di qualcun altro
Le prestazioni sono l'altra grande vittima dell'hosting condiviso. Poiche tutti gli inquilini condividono CPU, RAM e I/O disco, un singolo sito che si comporta male puo rallentare tutti gli altri.
Cosa causa i problemi dei vicini rumorosi
- Picchi di traffico: Se un altro sito sul tuo server diventa virale o subisce un attacco DDoS, le risorse del server vengono consumate e il tuo sito rallenta vistosamente.
- Codice scritto male: Un vicino che esegue query di database non ottimizzate o script ad alto consumo di memoria puo esaurire CPU e RAM di cui hai bisogno.
- Cron job e processi batch: Attivita pianificate pesanti (come invio massivo di email o esportazioni di database) da parte di altri inquilini possono creare rallentamenti periodici difficili da diagnosticare.
- Contesa I/O disco: Quando piu siti leggono e scrivono sullo stesso disco fisico contemporaneamente, tutto rallenta. Questo e particolarmente negativo per i siti con uso intensivo del database.
Il provider di hosting potrebbe implementare limiti di risorse per account, ma l'applicazione varia enormemente. Alcuni host sono rigidi. Molti non lo sono, perche l'applicazione rigida porta a lamentele dei clienti e ticket di supporto, che costano.
L'impatto sulla tua attivita
La velocita di caricamento influisce direttamente sui tassi di conversione. Diversi studi hanno dimostrato che ogni secondo aggiuntivo di tempo di caricamento riduce le conversioni del 7-10%. Se il tuo sito e lento a causa dell'attivita di un vicino, stai perdendo soldi per ragioni completamente fuori dal tuo controllo.
Anche i motori di ricerca considerano la velocita della pagina nel ranking. Google e stato sempre piu esplicito su questo punto. Un sito che carica lentamente si posizionera piu in basso di uno veloce, a parita di tutti gli altri fattori.
Reputazione IP e blacklist email
Nell'hosting condiviso, condividi un indirizzo IP con ogni altro sito sul server. Questo conta piu di quanto la maggior parte delle persone si renda conto, in particolare per le email.
Come funziona la reputazione IP
I provider di posta elettronica (Gmail, Outlook, Yahoo) mantengono punteggi di reputazione per gli indirizzi IP. Se un indirizzo IP invia spam, la sua reputazione cala. Quando la reputazione scende sotto una certa soglia, le email da quell'IP finiscono nello spam o vengono rifiutate del tutto.
Nell'hosting condiviso, se un qualsiasi inquilino sul tuo server invia spam (intenzionalmente o perche il suo sito e stato hackerato e usato come relay per spam), la reputazione IP cala per tutti. Le tue email aziendali perfettamente legittime iniziano a finire nella cartella spam.
Il danno
- Proposte commerciali inviate via email finiscono nello spam e non vengono mai lette.
- Conferme d'ordine dal tuo sito ecommerce svaniscono nella cartella posta indesiderata.
- Email di reset password non arrivano mai, bloccando i clienti fuori dai loro account.
- Il tuo dominio email viene associato a un IP in blacklist, e la risoluzione puo richiedere settimane o mesi.
Puoi verificare se l'IP del tuo server e in blacklist usando strumenti come MXToolbox o Spamhaus. Raccomandiamo di farlo periodicamente se sei su hosting condiviso. I risultati sono spesso spiacevoli.
Attacchi symlink
Gli attacchi symlink (symbolic link) sono una tecnica specifica che colpisce gli ambienti di hosting condiviso. Sfruttano il modo in cui i file system Unix/Linux gestiscono i link simbolici.
Come funzionano gli attacchi symlink
Un link simbolico e come una scorciatoia. Punta da una posizione nel file system a un'altra. Su un server condiviso, un attaccante che controlla un account puo creare un symlink che punta ai file di un altro account. Per esempio:
ln -s /home/tuo-account/wp-config.php /home/account-attaccante/rubato.txt
Se il server non restringe correttamente il following dei symlink tra i confini degli account, l'attaccante puo leggere i tuoi file di configurazione. E quei file contengono credenziali del database, chiavi API e altri dati sensibili.
La direttiva FollowSymLinks di Apache e l'opzione SymLinksIfOwnerMatch dovrebbero prevenire tutto questo. In pratica, molti hosting condivisi non le configurano correttamente, o usano altri software web server con protezioni diverse (e a volte piu deboli).
Sessioni PHP condivise
PHP memorizza i dati di sessione su disco per impostazione predefinita, tipicamente in /tmp o in una directory di sessione condivisa. Nell'hosting condiviso, piu siti possono usare la stessa posizione di archiviazione delle sessioni.
Il rischio
Se un attaccante puo leggere i file di sessione della tua applicazione, puo dirottare le sessioni utente attive. Questo significa che puo impersonare gli utenti connessi al tuo sito, inclusi gli amministratori.
L'hosting condiviso configurato correttamente usa directory di sessione separate per account. Ma "configurato correttamente" sta facendo un lavoro pesante in quella frase. Abbiamo verificato ambienti di hosting condiviso dove l'isolamento delle sessioni non era presente.
Perche l'hosting "illimitato" e un segnale d'allarme
Molti provider di hosting economici pubblicizzano spazio "illimitato", banda "illimitata" e account email "illimitati". Questo e marketing, non realta.
Cosa significa davvero "illimitato"
Leggi i Termini di Servizio con attenzione (cosa che quasi nessuno fa). Troverai clausole come:
"Le risorse sono soggette a politica di uso corretto. Gli account che utilizzano risorse eccessive possono essere limitati o sospesi."
Non esistono risorse illimitate su un server finito. Quello che "illimitato" significa in pratica e: "Non metteremo un limite rigido, ma se usi risorse significative, ti limiteremo o ti chiederemo di fare upgrade."
I limiti reali
- Tempo CPU: Solitamente limitato a pochi punti percentuali della capacita totale del server per account.
- RAM: Limitata per processo, spesso a 256MB o 512MB.
- I/O disco: Limitato per impedire a un account di monopolizzare l'accesso al disco.
- Connessioni simultanee: Limitate per impedire a un sito di consumare tutti i worker process di Apache/nginx disponibili.
- Invio email: Solitamente limitato a poche centinaia di email all'ora per prevenire abusi di spam.
L'etichetta "illimitato" attira clienti focalizzati sul prezzo. E un segnale che il provider di hosting compete sul prezzo piuttosto che sulla qualita o sulla sicurezza. Questo dovrebbe preoccuparti.
Hosting economico = risorse condivise = rischio
Parliamoci chiaro. Se paghi meno di CHF 10 al mese per l'hosting, sei su un server condiviso con alta densita di inquilini. L'azienda di hosting guadagna mettendo il maggior numero possibile di siti su ogni server e fornendo supporto minimo.
Questo va bene per un blog personale o un progetto hobby. Non e accettabile per un sito web aziendale, specialmente uno che gestisce dati dei clienti, elabora pagamenti o rappresenta la tua azienda verso clienti e partner.
Cosa rischi
| Rischio | Impatto | Probabilita su hosting condiviso economico |
|---|---|---|
| Contaminazione tra siti | Il tuo sito viene hackerato tramite un vicino | Medio-Alta |
| Degrado prestazioni | Caricamento lento, clienti persi | Alta |
| Blacklist IP | Le email finiscono nello spam | Media |
| Attacchi symlink | Credenziali del database rubate | Media |
| Violazione dati | Dati dei clienti esposti | Media |
| Downtime | Sito irraggiungibile in orario lavorativo | Medio-Alta |
Il "risparmio" di CHF 50-100 all'anno sull'hosting puo facilmente trasformarsi in perdite molte volte superiori se uno di questi rischi si concretizza.
Opzioni di hosting a confronto: VPS vs condiviso vs gestito vs distribuzione statica
Vediamo le alternative. Ci sono piu opzioni di quante la maggior parte dei titolari d'azienda realizzi, e alcune non sono costose come si potrebbe pensare.
Hosting condiviso
Costo: CHF 3-15/mese
Isolamento: Minimo
Prestazioni: Variabili, dipendono dai vicini
Sicurezza: La piu bassa
Gestione: Il provider gestisce il server, tu gestisci il tuo sito
Ideale per: Progetti personali, siti hobby
VPS (Virtual Private Server)
Costo: CHF 10-50/mese
Isolamento: Forte (virtualizzazione a livello hardware)
Prestazioni: Risorse dedicate, costanti
Sicurezza: Buona, ma devi gestire il server
Gestione: Tu gestisci tutto (aggiornamenti OS, patch di sicurezza, firewall)
Ideale per: Aziende con personale tecnico o budget per servizi gestiti
Un VPS ti da la tua macchina virtuale con CPU, RAM e storage dedicati. I tuoi vicini non possono influenzare le tue prestazioni o la tua sicurezza perche l'isolamento e a livello di hypervisor, non solo a livello di file system. Il compromesso e che sei responsabile dell'amministrazione del server, inclusi aggiornamenti di sicurezza e configurazioni.
Hosting gestito
Costo: CHF 30-200/mese
Isolamento: Forte (tipicamente VPS o dedicato)
Prestazioni: Da buone a eccellenti
Sicurezza: Buona (il provider gestisce la sicurezza del server)
Gestione: Il provider gestisce server, aggiornamenti, backup, sicurezza
Ideale per: Aziende che usano WordPress o altre piattaforme CMS
L'hosting gestito (come WP Engine, Kinsta o Flywheel per WordPress) ti offre l'isolamento di un VPS con la comodita di avere esperti che gestiscono il server. Si occupano di aggiornamenti, scansioni di sicurezza, backup e ottimizzazione delle prestazioni. Il costo e piu alto, ma paghi per competenza e tranquillita.
Distribuzione statica/basata su CDN
Costo: CHF 0-20/mese (spesso gratuito per siti piccoli e medi)
Isolamento: Completo (nessun server condiviso)
Prestazioni: Eccellenti (CDN globale, cache edge)
Sicurezza: La piu alta (nessuna esecuzione di codice server-side, nessun database esposto)
Gestione: Minima (distribuisci e dimentica)
Ideale per: Siti aziendali, siti marketing, landing page, documentazione
I vantaggi di sicurezza dell'hosting basato su CDN
Qui le cose si fanno interessanti, e qui la maggior parte dei titolari d'azienda resta sorpresa. Servizi come Cloudflare Pages, Vercel e Netlify offrono un modello di hosting fondamentalmente diverso che elimina la maggior parte dei rischi discussi in questo articolo.
Come funziona l'hosting basato su CDN
Invece di eseguire il tuo sito web su un singolo server, il tuo sito viene costruito in file statici (HTML, CSS, JavaScript) e distribuito su una rete globale di server edge. Quando qualcuno visita il tuo sito, viene servito dalla posizione edge piu vicina. Non c'e nessun server di origine che esegue PHP o un database.
Per una spiegazione piu approfondita, leggi il nostro articolo sulla architettura web moderna.
Perche elimina i rischi dell'hosting condiviso
- Nessuna contaminazione tra siti: Non c'e nessun server condiviso dove altri siti possono essere compromessi. I tuoi file sono serviti da un CDN che gestisce milioni di siti, ma l'infrastruttura e progettata per il multi-tenancy dal principio con isolamento adeguato.
- Nessun vicino rumoroso: Le risorse CDN sono distribuite globalmente. Un picco di traffico su un sito non influenza il tuo perche il carico e distribuito su centinaia di data center.
- Nessun rischio blacklist IP: Gli IP del CDN sono gestiti dal provider e non sono associati a siti individuali. L'email e gestita separatamente (come dovrebbe essere).
- Nessun attacco symlink: Non c'e un file system da sfruttare. Il tuo sito e immutabile una volta distribuito.
- Nessuna vulnerabilita server-side: Niente PHP, niente MySQL, niente pannello admin, niente endpoint di upload file. La superficie di attacco e minima.
Leggi di piu su come l'architettura CDN migliora la sicurezza nel nostro articolo sui benefici di sicurezza del CDN.
Prestazioni irraggiungibili per l'hosting condiviso
I siti basati su CDN ottengono costantemente punteggi di 95-100 su Google PageSpeed Insights perche il contenuto e pre-costruito e servito da posizioni edge vicine al visitatore. Non c'e nessuna query al database, nessuna esecuzione PHP, nessun ritardo di rendering server-side. Il browser riceve una pagina HTML completamente formata in millisecondi.
Per un'azienda a Lugano con clienti in tutta la Svizzera e in Europa, questo significa tempi di caricamento veloci a Zurigo, Ginevra, Monaco e Milano. Un server condiviso in un data center in Germania non puo competere con un CDN che ha server edge in tutte queste citta.
Confronto costi: la sorpresa
Ecco cosa sorprende la maggior parte delle persone: l'hosting basato su CDN e spesso piu economico dell'hosting condiviso, pur essendo drasticamente migliore sotto ogni altro aspetto.
| Tipo di hosting | Costo mensile | Prestazioni | Sicurezza | Manutenzione |
|---|---|---|---|---|
| Hosting condiviso economico | CHF 5-10 | Scarse-medie | Bassa | Media |
| Hosting condiviso di qualita | CHF 15-30 | Medie | Bassa-Media | Media |
| VPS (non gestito) | CHF 10-50 | Buone | Media (se manutenuto) | Alta |
| WordPress gestito | CHF 30-200 | Buone | Medio-Alta | Bassa |
| Cloudflare Pages | CHF 0 (tier gratuito) | Eccellenti | Alta | Molto bassa |
| Vercel | CHF 0-20 | Eccellenti | Alta | Molto bassa |
| Netlify | CHF 0-19 | Eccellenti | Alta | Molto bassa |
Si, hai letto bene. Cloudflare Pages ha un tier gratuito che soddisfa le esigenze della maggior parte dei siti aziendali. Vercel e Netlify hanno tier gratuiti altrettanto generosi. Anche i loro piani a pagamento sono competitivi con l'hosting condiviso, pur essendo enormemente superiori in prestazioni e sicurezza.
Il rovescio della medaglia? Il tuo sito deve essere costruito con un generatore di siti statici o un framework JavaScript moderno (come Next.js, Astro o Nuxt). I siti WordPress tradizionali non possono essere distribuiti in questo modo senza modifiche significative. Ma se stai costruendo un nuovo sito o stai considerando un redesign, questa e la direzione giusta.
Cosa dovresti fare
Se il sito web della tua azienda e attualmente su hosting condiviso, ecco una valutazione pratica:
- Verifica il tuo hosting attuale. Accedi al pannello di controllo del tuo hosting. Guarda le informazioni del server. Quanti altri siti ci sono sul tuo server? Su quale indirizzo IP sei? Controlla quell'IP su MXToolbox per le blacklist.
- Valuta il tipo di sito. E un sito WordPress? Un CMS personalizzato? Un semplice sito vetrina? Il tipo di sito determina le tue opzioni di migrazione.
- Considera le tue reali esigenze. La maggior parte dei siti aziendali sono informativi. Non hanno bisogno di PHP o di un database. Hanno bisogno di caricamento veloce, buona SEO e uptime affidabile. Un sito statico su CDN offre tutto questo meglio dell'hosting condiviso.
- Calcola i costi reali. Includi non solo il canone di hosting, ma anche il tempo speso a gestire i rallentamenti, il rischio di incidenti di sicurezza e l'impatto potenziale sulla tua attivita se il sito va giu.
- Pianifica una migrazione. Passare dall'hosting condiviso a una soluzione migliore non e cosi difficile o costoso come potresti pensare, specialmente se lavori con un team che comprende l'architettura web moderna.
Quando l'hosting condiviso potrebbe essere accettabile
Per essere onesti, l'hosting condiviso non e sempre sbagliato. Puo essere accettabile per:
- Blog personali senza scopo commerciale.
- Siti temporanei o usa e getta (pagine evento, ambienti di test).
- Siti senza dati sensibili e senza impatto sul business se vanno offline.
Ma se il tuo sito rappresenta la tua azienda, gestisce qualsiasi forma di dati dei clienti o contribuisce al tuo fatturato, l'hosting condiviso e una falsa economia. I soldi che risparmi sull'hosting sono soldi che rischi di perdere molte volte tanto attraverso incidenti di sicurezza, prestazioni scarse e problemi di recapito email.
Prossimi passi
In Envestis aiutiamo le aziende a Lugano e in tutta la Svizzera a migrare da ambienti di hosting rischiosi ad alternative sicure e ad alte prestazioni. Che si tratti di passare a un VPS gestito, ricostruire su uno stack moderno con distribuzione CDN, o semplicemente rafforzare la tua configurazione attuale, possiamo consigliare il percorso migliore per la tua situazione specifica.
Se vuoi capire i rischi del tuo hosting attuale, contattaci per una valutazione gratuita. Ti diremo esattamente a quali rischi sei esposto e cosa servirebbe per risolverli.
Vuoi sapere se il tuo sito è sicuro?
Richiedi un audit di sicurezza gratuito. In 48 ore ricevi un report completo.
Richiedi Audit Gratuito