Se da un lato WordPress alimenta il 43% di tutti i siti web, tra blog, vetrine di piccole aziende e pagine complesse di realtà di grandi dimensioni, dall’altro risulta essere anche il CMS più colpito da attacchi informatici.
Questo si verifica soprattutto se la versione installata non è recente e quando temi e plugin non vengono aggiornati. Le condizioni appena citate rendono il CMS un bersaglio attraente per tutti i cyber-criminali.
Indice dei contenuti:
Le vulnerabilità di WordPress
Di seguito, presentiamo quelle che sono le principali vulnerabilità che interessano WordPress.
Backdoor
Le backdoor offrono agli hacker dei passaggi nascosti per bypassare la crittografia di sicurezza e accedere ai siti WordPress tramite metodi utilizzati esclusivamente dagli amministratori: wp-Admin, SFTP, FTP, ecc. Accedendo da amministratore, l’intruso potrà effettuare attacchi cross-site, compromettendo più siti ospitati sullo stesso server. Le backdoor sono spesso criptate per apparire come file legittimi di sistema e sfruttano debolezze e bug delle versioni obsolete della piattaforma.
Come puoi prevenire gli attacchi tramite backdoor?
- Scansiona il tuo sito con SiteCheck per individuare backdoor comuni.
- Utilizza l’autenticazione a due fattori, il blocco degli IP, la limitazione dell’accesso all’amministrazione e la prevenzione dell’esecuzione non autorizzata di file PHP.
Pharma Hacks
Il Pharma Hack viene utilizzato per inserire codice malevolo in versioni obsolete di WordPress, in modo che i motori di ricerca restituiscano annunci di prodotti farmaceutici regolamentati come Cialis, Viagra e Xanax.
Nel momento in cui Googlebot trova il malware, inserisce nella lista nera il tuo sito web.
Tentativi di accesso brute force
I tentativi di accesso brute force utilizzano script automatici per sfruttare password deboli e accedere al tuo sito.
Come puoi prevenire gli attacchi brute force?
- Scegli password solide, utilizzando lettere, numeri e caratteri speciali.
- Utilizza l’autenticazione a due fattori e limita i tentativi di accesso.
Redirect malevoli
Questa tipologia di attacco sfrutta delle backdoor in WordPress utilizzando FTSP, SFTP, wp-admin e altri protocolli e inietta codici di reindirizzamento malevoli nel sito web. Spesso i redirect vengono inseriti nel file .htaccess e in altri file del core di WP in moduli codificati.
Cross-site Scripting (XSS)
Il Cross-site Scripting (XSS) consiste nell’inserimento di uno script dannoso in un sito web attendibile. Lo scopo è di prendere i dati di cookie o di sessione fino a riscrivere l’HTML di una pagina. Questa è una delle vulnerabilità più frequenti di WordPress.
Denial of Service
La vulnerabilità DoS (Denial of Service) sfrutta errori e bug nel codice per sovraccaricare la memoria dei sistemi operativi dei siti web, sfruttando versioni obsolete del software di WordPress.
Come proteggere il tuo sito?
In questa guida vogliamo rispondere ad una domanda frequente: “Come posso proteggere il mio sito dagli hacker e renderlo sicuro?”. Ecco perché abbiamo raccolto un elenco di step fondamentali per aumentare la sicurezza del tuo sito in WordPress.
Scegli un hosting provider affidabile
Affida il tuo sito web a un hosting affidabile e sicuro. In Shellrent rivolgiamo particolare attenzione alla sicurezza dei progetti web, condizione che ci riconosce come “Il primo hosting italiano Security First”, infatti:
- tutti i servizi prevedono di default una politica di backup settimanale per la protezione dei dati.
- Svolgiamo una analisi del traffico di rete in tempo reale per identificare e correggere possibili vulnerabilità.
- Effettuiamo controlli di qualità su ogni processo aziendale, dall’ingegnerizzazione al rilascio di nuovi software.
- Offriamo supporto tecnico per soddisfare le tue esigenze.
- Monitoriamo in maniera attiva la qualità delle performance dei servizi erogati in tempo reale con personale qualificato pronto ad intervenire in ogni momento.
Aggiorna la versione di WordPress, i plugin e il tema
È fondamentale tenere sempre aggiornato il core del CMS e i vari plugin. Ogni release, infatti, offre correzioni di bug e corregge falle di sicurezza. Spesso, molti utilizzano software obsoleti e plugin non aggiornati, causando malfunzionamenti nel loro sito web a causa dei bug presenti nelle versioni non aggiornate.
Un altro consiglio è di aggiornare periodicamente il tema e installare solo plugin attendibili e strettamente necessari allo scopo di non sovraccaricare il tuo sito con strumenti inutili.
Come puoi verificare la sicurezza e l’usabilità di ogni plugin? Leggi attentamente le recensioni e verifica il numero di persone che sta attualmente utilizzando quel plugin specifico. Molto spesso è proprio dalle recensioni che puoi farti un’idea più veritiera del servizio. Lo stesso discorso vale per i temi: quelli gratuiti possono nascondere codice malevolo.
Aggiorna la versione di PHP
PHP è il linguaggio di programmazione utilizzato da WordPress: usa la versione aggiornata per evitare di essere esposto a vulnerabilità; ogni release, infatti, integra patch di sicurezza.
Secondo il sito ufficiale, le versioni precedenti alla PHP 7.2 non hanno più supporto per la sicurezza, risultando essere maggiormente esposte a vulnerabilità prive di patch.
Esegui backup automatici o manuali
Tutti i nostri hosting includono un backup settimanale al fine di garantire la massima sicurezza dei tuoi dati in caso di spiacevoli imprevisti.
Puoi decidere di abbinare al tuo piano il backup giornaliero oppure il backup mensile per tutelare al massimo il tuo progetto web.
Utilizza username e password complesse
Molti utenti scelgono ancora password semplici. Per cercare di proteggere il tuo sito web da attacchi brute force, imposta una password complicata: più una password è complessa più è sicura.
Attiva un certificato SSL e il protocollo HTTPS
I certificati SSL ti aiutano a prevenire numerose tipologie di attacchi e minacce. Il protocollo HTTPS permette la protezione client-server dei dati, che non potranno essere né letti né utilizzati da un hacker senza l’apposita chiave di decrittazione privata.
Utilizza dei plugin di sicurezza
I plugin per la sicurezza rappresentano un valido alleato per la tutela del tuo sito WordPress.
Quali sono i migliori plugin per la sicurezza di WordPress? Eccone alcuni:
- Wordfence Security
- WP fail2ban
- iThemes Security
- Sucuri Security
- Jetpack
- All in One WP Security & Firewall
Nascondi il tuo URL di accesso e la versione di WordPress
Per trovare la dashboard di WordPress e lanciare un attacco brute force è sufficiente aggiungere /wp-admin al nome dominio: ecco perché ti suggeriamo di nascondere il tuo URL di accesso.
Come abbiamo potuto sottolineare, non aggiornare la versione di WordPress è come servire un buon assist ai malintenzionati. Ricorda quindi di nascondere anche la tua versione attuale, un’informazione spesso sfruttata dagli hacker per condurre attacchi.
Attiva l’autenticazione a due fattori
Un’altra valida soluzione per proteggere il tuo WordPress consiste nel limitare il numero di tentativi di accesso errati di login. Puoi utilizzare il plugin Login Lockdown: se viene rilevato più di un certo numero di tentativi in un breve periodo di tempo dallo stesso IP, l’accesso viene disabilitato. Questo aiuta a prevenire il rilevamento della password in caso di attacco brute force.
Aggiungi un firewall adeguato
La presenza di un firewall su WordPress offre una barriera protettiva al tuo sito web.
È molto facile lanciare un attacco DDoS e compromettere il sito una volta stabilita una connessione tra i dispositivi. Un firewall scansiona qualsiasi tipo di attività che potrebbe danneggiare il tuo sito web: se incontrasse qualcosa fuori dall’ordinario, questo impedirà all’operazione malevola di andare oltre.
In conclusione
Sono diversi gli accorgimenti che possono incrementare la sicurezza del tuo sito WordPress: aggiorna il core del CMS e i plugin, investi sulle misure di sicurezza e affidati ad un hosting provider affidabile.
In Shellrent puoi trovare un piano hosting WordPress realizzato su misura, con caratteristiche performanti anche in termini di sicurezza.
