Quando si tratta della sicurezza di WordPress, ci sono molte cose che potete fare per chiudere a chiave il vostro sito per impedire che hacker e vulnerabilità possano compromettere il vostro ecommerce o il vostro blog. L’ultima cosa che vorreste che succedesse è svegliarvi una mattina per scoprire il vostro sito in rovina. Quindi oggi condivideremo con voi molti consigli, strategie e tecniche che potete utilizzare per migliorare la sicurezza di WordPress e rimanere protetti.

WordPress è Sicuro?


La prima domanda che probabilmente vi state facendo è questa: WordPress è sicuro? Nella maggior parte dei casi, sì. Tuttavia, WordPress spesso ha fama di essere vulnerabile sotto l’aspetto della sicurezza e di non essere intrinsecamente è una piattaforma sicura per l’utilizzo aziendale. Ma il più delle volte questo è dovuto al fatto che gli utenti seguono quelle che si sono dimostrate le peggiori pratiche per quello che riguarda la sicurezza.

Sono l’utilizzo di software WordPress obsoleto e di plugin annullati, un sistema di amministrazione scadente, la cattiva gestione delle credenziali e la mancanza delle necessarie conoscenze sul Web e sulla sicurezza tra gli utenti non tecnici di WordPress a dare agli hacker il controllo del loro gioco cyber-criminale. Persino i leader del settore non seguono sempre le migliori pratiche. Reuters è stato violato perché utilizzava una versione obsoleta di WordPress.

Fondamentalmente, la sicurezza non consiste nell’avere sistemi perfettamente sicuri. Una cosa del genere potrebbe essere poco pratica, o impossibile da raggiungere e/o mantenere nel tempo. La sicurezza è la riduzione del rischio, non l’eliminazione del rischio. Si tratta di utilizzare tutti i controlli appropriati a vostra disposizione, entro limiti ragionevoli, che vi consentono di migliorare la vostra esposizione generale, riducendo le probabilità di rendervi un bersaglio, e quindi di essere hackerati. – WordPress Security Codex

WordPress alimenta oltre il 43.3% di tutti i siti web su Internet e, con centinaia di migliaia di combinazioni di temi e plugin, non sorprende che le vulnerabilità esistano e ne vengano costantemente scoperte di nuove. Tuttavia, c’è anche una grande community intorno alla piattaforma di WordPress, per garantire che queste vulnerabilità vengano risolte in modo tempestivo. Nel 2022, il team di sicurezza di WordPress è composto da circa 50 esperti (dai 25 del 2017), tra cui responsabili dello sviluppo e ricercatori sulla sicurezza – circa la metà di essi lavorano da Automattic e molti di loro sono impegnati nel campo della sicurezza web.

Le Vulnerabilità di WordPress


Backdoor

Giustamente conosciuta come backdoor, questa vulnerabilità offre agli hacker passaggi nascosti che bypassano la crittografia di sicurezza per accedere ai siti WordPress tramite metodi anormali: wp-admin, SFTP, FTP e così via. Una volta che sono state scoperte, le backdoor consentono agli hacker di devastare i server di hosting con attacchi di contaminazione cross-site – compromettendo più siti ospitati sullo stesso server. Nel terzo trimestre del 2017, Sucuri ha riportato che le backdoor continuano ad essere una delle tante azioni post-attacco portate avanti dagli hacker, con il 71% dei siti infetti aventi una qualche forma di backdoor injection.

Le backdoor sono spesso criptate per apparire come legittimi file di sistema di WordPress e si fanno strada attraverso i database di WordPress, sfruttando debolezze e bug delle versioni obsolete della piattaforma. Il fiasco di TimThumb è stato un ottimo esempio di vulnerabilità backdoor che sfrutta script oscuri e software obsoleti che compromettono milioni di siti web.

Per fortuna, la prevenzione e la cura di questa vulnerabilità sono abbastanza semplici. Potete scansionare il vostro sito WordPress con strumenti come SiteCheck, che possono facilmente individuare backdoor comuni. L’autenticazione a due fattori, il blocco degli IP, la limitazione dell’accesso all’amministrazione e la prevenzione dell’esecuzione non autorizzata di file PHP risolvono facilmente le comuni minacce di backdoor.

Pharma Hack

L’exploit Pharma Hack viene utilizzato per inserire il codice malevolo in versioni obsolete di siti web e plugin di WordPress, facendo sì che i motori di ricerca restituiscano annunci di prodotti farmaceutici quando viene cercato un sito web compromesso. La vulnerabilità è più una minaccia di spam che malware tradizionale, ma fornisce ai motori di ricerca un motivo sufficiente per bloccare il sito con l’accusa di diffondere spam.

Parti di un Pharma Hack possono essere anche delle backdoor in plugin e database, che possono essere ripulite seguendo le istruzioni del blog di Sucuri. Tuttavia, gli exploit sono spesso varianti viziose di iniezioni maligne crittografate nascoste nei database e richiedono un’accurata procedura di pulizia per correggere la vulnerabilità. Ciononostante, potete facilmente prevenire i Pharma Hack utilizzando i provider di hosting WordPress consigliati, dotati di server aggiornati, ed effettuando regolarmente l’upgrade delle vostre installazioni, dei temi e dei plugin di WordPress.

Tentativi di Accesso Brute-force

I tentativi di accesso brute-force utilizzano script automatici per sfruttare password deboli e accedere al vostro sito. L’autenticazione a due fattori, la limitazione dei tentativi di accesso, il monitoraggio degli accessi non autorizzati, il blocco degli IP e l’utilizzo di password forti sono solo alcuni dei metodi più semplici ed efficaci per prevenire attacchi brute-force. Sfortunatamente, molti proprietari di siti WordPress non si adeguano a queste prassi di sicurezza, quindi gli hacker sono facilmente in grado di compromettere fino a 30.000 siti web in un solo giorno utilizzando attacchi brute-force.

Reindirizzamenti Malevoli

I reindirizzamenti malevoli creano backdoor nelle installazioni WordPress utilizzando FTSP, SFTP, wp-admin e altri protocolli e iniettano codici di reindirizzamento nel sito web. I redirect vengono spesso inseriti nel file .htaccess e in altri file del core di WP in moduli codificati, indirizzando il traffico web verso siti maligni.

Cross-site Scripting (XSS)

Il Cross-Site Scripting (XSS) si ha quando uno script dannoso viene iniettato in un sito web o in un’applicazione attendibili. L’hacker lo utilizza per inviare codice dannoso, in genere script lato browser, all’utente finale senza che questi lo sappia. Lo scopo è di solito quello di prendere i dati di cookie o di sessione, o magari anche riscrivere l’HTML di una pagina.

Secondo WordFence, le vulnerabilità di Cross-Site Scripting sono le vulnerabilità che si possono trovare più frequentemente nei plugin di WordPress.

Denial of Service

Forse la più pericolosa di tutte, la vulnerabilità Denial of Service (DoS) sfrutta errori e bug nel codice per sovraccaricare la memoria dei sistemi operativi dei siti web. Gli hacker hanno compromesso milioni di siti web e raccolto milioni di dollari sfruttando versioni obsolete e bacate del software di WordPress con attacchi DoS. Sebbene i criminali informatici motivati ​​da interessi finanziari siano meno propensi ad attaccare piccole imprese, tendono a compromettere siti obsoleti e vulnerabili creando catene di botnet per attaccare grandi imprese.

Persino le ultime versioni del software di WordPress non possono ritenersi completamente al sicuro dagli attacchi DoS di alto profilo, ma almeno vi aiuteranno ad evitare di rimanere intrappolati nel fuoco incrociato tra istituzioni finanziarie e sofisticati criminali informatici. E non dimenticate il 21 ottobre 2016. Questo fu il giorno in cui Internet è andata giù a causa di un attacco DDoS DNS.

Guida alla Sicurezza di WordPress


Secondo Internet live stats, oltre 100.000 siti web vengono violati ogni giorno. Questo è il motivo per cui è così importante prendersi un po’ di tempo per leggere i seguenti consigli su come migliorare la sicurezza di WordPress.

1. Investire in un Servizio di Hosting WordPress Sicuro

Per quello che riguarda la sicurezza di WordPress, c’è da fare molto di più che bloccare gli accessi al vostro sito, e in questo post vi daremo i nostri migliori consigli per farlo. Esiste anche una sicurezza a livello di server della quale è responsabile il vostro host WordPress. Qui in Easyteam.org SRL prendiamo molto sul serio la sicurezza e gestiamo molti di questi problemi per conto dei nostri clienti.

È molto importante scegliere un host affidabile per la vostra attività. Oppure, se state gestendo WordPress dal vostro VPS, dovrete avere le conoscenze tecniche per fare queste cose da soli. E, ad essere sinceri, cercare di fare gli amministratori di sistema per risparmiare 20 dollari al mese è una cattiva idea.

L’Hardening del Server è la chiave per mantenere un ambiente WordPress completamente al sicuro. Occorrono più livelli di sicurezza hardware e software per garantire che l’infrastruttura IT che ospita i siti WordPress sia in grado di difendersi da minacce sofisticate, sia fisiche che virtuali.

Per questo motivo, i server che ospitano WordPress dovrebbero essere aggiornati con il sistema operativo e il software (di sicurezza) più recenti, nonché essere accuratamente testati e scansionati alla ricerca di vulnerabilità e malware.

2. Utilizzare la Versione Più Recente di PHP

PHP è la spina dorsale del vostro sito WordPress e quindi utilizzare l’ultima versione di PHP sul vostro server è molto importante. Ogni major release di PHP è in genere pienamente supportata per due anni dal momento del suo rilascio. Durante questo periodo, i bug e i problemi di sicurezza sono corretti e aggiornati regolarmente. A partire da ora, chiunque abbia una versione di PHP 7.0 o inferiore non ha più supporto per la sicurezza ed è esposto a vulnerabilità prive di patch.

Secondo la pagina ufficiale di WordPress Stats, al momento in cui scriviamo, oltre il 57% degli utenti di WordPress utilizza ancora una PHP 5.6 o precedente. Se aggiungete a questo dato PHP 7.0, viene fuori che un sorprendete 77,5% degli utenti utilizzano versioni di PHP non supportate. È spaventoso!

Non sapete quale versione di PHP state utilizzando? La maggior parte degli host in genere inserisce questa informazione in una richiesta dell’header del vostro sito. Un modo rapido per verificarlo è eseguire il sito tramite Pingdom. Fate clic sulla prima richiesta e cercate il parametro X-Powered-By. In genere questo vi mostrerà la versione di PHP attualmente in uso sul vostro server.

3. Username e Password Intelligenti

Sorprendentemente, uno dei modi migliori per aumentare la sicurezza di WordPress è semplicemente quello di utilizzare nomi utente e password intelligenti. Sembra abbastanza facile, vero? Bene, controllate la lista annuale del 2019 di SplashData delle password più popolari che sono state rubate durante l’anno (ordinate in base alla popolarità).

  • 123456
  • password
  • 123456789
  • 12345678
  • 12345
  • 111111
  • 1234567
  • sunshine
  • qwerty
  • iloveyou

Esatto! La password più popolare è “123456”, seguita da una incredibile “password”.

La migliore sicurezza parte dalla base. Google offre alcuni ottimi consigli su come scegliere una password sicura. In alternativa, potete utilizzare uno strumento online come Strong Password Generator.

E per quanto riguarda l’installazione di WordPress, non dovreste mai utilizzare il nome utente predefinito “admin”. Create un nome utente WordPress univoco per l’account di amministratore ed eliminate l’utente “admin”, se esiste. Potete farlo aggiungendo un nuovo utente dal menu “Utenti” del pannello di controllo e assegnandogli il profilo da “Amministratore”. Una volta assegnato il ruolo di amministratore al nuovo account, è possibile tornare indietro ed eliminare l’utente “Admin” originale. Assicuratevi, quando fate clic su Elimina, di selezionare l’opzione “Attribuisci tutto il contenuto a” e di selezionare il vostro nuovo profilo da amministratore. Questo imposterà la persona come autore di quei post.

4. Usare Sempre l’Ultima Versione di WordPress e dei Plugin

Un altro modo molto importante per rafforzare la sicurezza di WordPress è di tenerlo sempre aggiornato. Ciò riguada sia il core di WordPress che i vostri plugin. Questi vengono aggiornati per un motivo preciso, e molte volte questo motivo riguarda miglioramenti della sicurezza e correzioni di bug.

Sfortunatamente, milioni di aziende utilizzano versioni obsolete di software e plugin di WordPress, e continuano a credere di operare correttamente per il successo aziendale. Danno i loro motivi per non eseguire gli aggiornamenti, come “il loro sito si bloccherà” o “le modifiche principali se ne andrebbero” o “il plugin X non funzionerà” o perché “semplicemente non hanno bisogno della nuova funzionalità”.

In realtà, i siti web si bloccano principalmente a causa di bug nelle precedenti versioni di WordPress. Le modifiche al core non sono mai consigliate dal team di WordPress e da sviluppatori esperti che comprendono i rischi che queste comportano. Gli aggiornamenti di WordPress riguardano principalmente patch di sicurezza indispensabili, insieme con le funzionalità aggiuntive necessarie per eseguire gli ultimi plugin.

Lo sapevate che è stato segnalato che le vulnerabilità dei plugin rappresentano il 55,9% dei punti di ingresso noti per gli hacker? È quello che ha scoperto WordFence in uno studio del 2016 in cui hanno intervistato oltre 1.000 proprietari di siti WordPress vittime di attacchi. Aggiornando i vostri plugin potete essere sicuri che non sarete una di queste vittime.

É anche consigliato di installare solo plugin attendibili. Le categorie “in evidenza” e “popolari” della repository di WordPress possono essere un buon punto di partenza.

Come Aggiornare il Core di WordPress

Per aggiornare il core di WordPress è possibile fare clic su “Aggiornamenti” nella dashboard di WordPress e poi fare clic sul pulsante “Aggiorna ora”.

Come Aggiornare i Plugin WordPress

L’aggiornamento dei plugin di WordPress è un processo molto simile all’aggiornamento del core. Fate clic su “Aggiornamenti” nella dashboard di WordPress, selezionate i plugin che desiderate aggiornare e fate clic su “Aggiorna plugin”.

È anche importante notare che gli sviluppatori non mantengono sempre aggiornato il loro plugin. Il team di WP Loop ha fatto una piccola analisi di quanti plugin di WordPress nella repository non sono aggiornati con al core di WordPress corrente. Secondo la loro ricercaquasi il 50% dei plugin nella repository non è stato aggiornato da oltre 2 anni.

Questo non significa che il plugin non funzionerà con la versione corrente di WordPress, ma si consiglia di scegliere plugin che vengono aggiornati attivamente. I plugin obsoleti hanno maggiori probabilità di contenere vulnerabilità. Usate il vostro miglior giudizio quando dovete scegliere i plugin. Guardate la data dell’ultimo aggiornamento (“Last updated”) e il numero di valutazioni che ha il plugin.

Inoltre, esistono molte risorse per aiutarvi a rimanere al corrente degli ultimi aggiornamenti e delle vulnerabilità nella sicurezza di WordPress. Ecco alcuni esempi qui di seguito:

Automatizzare gli aggiornamenti

E’ possibile automatizzare gli aggiornamenti del Core, dei plugin e dei temi attraverso un plugin chiamato Easy Update Manager, installabile dalla directory dei plugin di WordPress.

Modificare l’URL di Accesso di WordPress

Di default, l’URL di accesso del vostro sito WordPress è domain.com/wp-admin. Uno dei problemi che questo può comportare è che tutti i bot, gli hacker e gli script in circolazione lo sanno. Modificando l’URL potrete rendervi meno visibili e proteggervi meglio dagli attacchi brute force. Questa non è una soluzione per tutti i problemi, è semplicemente un piccolo trucco che può esservi molto utile nel proteggervi. Per cambiare il vostro URL di accesso a WordPress, consigliamo di utilizzare il plugin gratuito WPS Hide login o il plugin premium Perfmatters. Entrambi i plugin hanno un semplice campo di testo. Basta ricordarsi di scegliere qualcosa di unico che non sia già in un elenco che un bot o uno script possano tentare di analizzare.

Limitare i Tentativi di Accesso

Mentre la soluzione vista sopra di modificare l’URL di accesso da amministratore diminuirà la maggior parte dei tentativi di accesso non validi, anche la fissazione di un limite può essere molto efficace. Il plugin gratuito Cerber Limit Login Attempts è un ottimo modo per impostare facilmente la durata del blocco, i tentativi di accesso e whitelist e blacklist degli IP.

Se state cercando una soluzione di sicurezza WordPress più semplice, un’altra ottima alternativa è il plugin gratuito Login Lockdown. Login LockDown registra l’indirizzo IP e il timestamp di ogni tentativo di accesso fallito. Se vengono rilevati più di un certo numero di tentativi in un breve periodo di tempo dallo stesso intervallo di IP, la funzione di accesso viene disabilitata per tutte le richieste da quel range di IP. Ed è completamente compatibile con il plugin WPS Hide Login sopra menzionato.

Aggiungere l’Autenticazione Base HTTP (protezione htpasswd)

Un altro modo per bloccare il pannello di amministrazione è aggiungere l’autenticazione HTTP. Ciò richiede l’inserimento di un nome utente e una password prima di poter accedere alla pagina di login di WordPress. Nota: questo in genere non dovrebbe essere utilizzato nei siti eCommerce o nei siti con iscrizioni. Ma può fornire un modo molto efficace per impedire ai bot di colpire il vostro sito.

Post simili