WordPress è il CMS che alimenta più del 35% di tutti i siti web secondo le stime di W3 Techs e detiene una quota di mercato pari al 69% comparato agli altri CMS noti.

WordPress è sicuro? La risposta è sì, nella maggior parte dei casi. Spesso, però, l’utilizzo di software WordPress obsoleti, PHP, temi e plugin non aggiornati rendono il CMS un bersaglio attraente per tutti i cyber-criminali. Quali sono le misure che puoi prendere per proteggere il tuo sito web da attacchi e vulnerabilità?

Le vulnerabilità di WordPress

Quali sono le principali vulnerabilità che potresti riscontrare?

1. Backdoor

Le backdoor offrono agli hacker dei passaggi nascosti per bypassare la crittografia di sicurezza e accedere ai siti WordPress tramite metodi utilizzati esclusivamente dagli amministratori: wp-Admin, SFTP, FTP, ecc. Accedendo da amministratore, l’intruso potrà effettuare attacchi cross-site, compromettendo più siti ospitati sullo stesso server. Le backdoor sono spesso criptate per apparire come file legittimi di sistema di WordPress e sfruttano debolezze e bug delle versioni obsolete della piattaforma.

Come puoi prevenire gli attacchi tramite backdoor?

  • Scansiona il tuo sito con SiteCheck per individuare backdoor comuni.
  • Utilizza l’autenticazione a due fattori, il blocco degli IP, la limitazione dell’accesso all’amministrazione e la prevenzione dell’esecuzione non autorizzata di file PHP.

2. Pharma Hacks

Il Pharma Hack viene utilizzato per inserire codice malevolo in versioni obsolete di WordPress, in modo che i motori di ricerca restituiscano annunci di prodotti farmaceutici quando viene cercato un sito web compromesso. Questo è più una minaccia di spam che malware ma fornisce ai motori di ricerca un motivo sufficiente per bloccare il sito con l’accusa di diffondere spam.

3. Tentativi di accesso brute-force

I tentativi di accesso brute-force utilizzano script automatici per sfruttare password deboli e accedere al tuo sito.

Come puoi prevenire gli attacchi brute-force?

  • Scegli password solide.
  • Utilizza l’autenticazione a due fattori, la limitazione dei tentativi di accesso, il monitoraggio degli accessi non autorizzati e il blocco degli IP.

4. Redirect malevoli

Questa tipologia di attacco sfrutta delle backdoor in WordPress utilizzando FTSP, SFTP, wp-admin e altri protocolli e inietta codici di reindirizzamento malevoli nel sito web. Spesso i redirect vengono inseriti nel file .htaccess e in altri file del core di WP in moduli codificati.

5. Cross-site Scripting (XSS)

Il Cross-site Scripting (XSS) consiste nell’inserimento di uno script dannoso in un sito web attendibile. Lo scopo è di prendere i dati di cookie o di sessione fino a riscrivere l’HTML di una pagina. Questa è una delle vulnerabilità più frequenti nei plugin di WordPress.

6. Denial of Service

La vulnerabilità DoS (Denial of Service) sfrutta errori e bug nel codice per sovraccaricare la memoria dei sistemi operativi dei siti web, sfruttando versioni obsolete del software di WordPress.

Come proteggere il tuo sito?

In questa guida vogliamo rispondere ad una domanda frequente: “Come posso proteggere il mio sito dagli hacker e renderlo sicuro?”. Ecco perché abbiamo raccolto un elenco di step fondamentali per aumentare la sicurezza del tuo sito in WordPress.

1. Scegli un hosting provider affidabile

Per proteggere al meglio il tuo sito, devi innanzitutto scegliere un hosting provider affidabile e sicuro. Noi in Shellrent rivolgiamo particolare attenzione alla tua sicurezza, da qui il motto “Il primo hosting italiano Security First” che ci accompagna nel nostro framework di lavoro:

  • Tutti i servizi prevedono di default una politica di backup settimanale per la protezione dei dati.
  • Analisi del traffico di rete in tempo reale per identificare possibili vulnerabilità e correggerle.
  • Effettuiamo controlli di qualità su ogni processo aziendale, dall’ingegnerizzazione al rilascio di nuovi software.
  • Supporto tecnico costante ed efficace.
  • I sistemi e l’infrastruttura sono controllati attraverso un unico punto per poter intervenire rapidamente.
  • Monitoriamo la qualità delle performance dei servizi in tempo reale per darti tutto il supporto necessario.
framework sicurezza shellrent

2. Utilizza username e password intelligenti

Sembra banale dirlo eppure molti utilizzano password troppo facili da hackerare: da una classifica di TeamsID del 2019 le 3 password peggiori del 2019 sono state “123456”, “123456789” e “qwerty”. Quindi mi raccomando, scegli una password forte, difficile da rubare.

Anche nel nostro sito puoi trovare un tool utilissimo per la generazione di password sicure: provalo!

3. Aggiorna la versione di PHP

PHP è il linguaggio di programmazione utilizzato da WordPress: utilizza una versione aggiornata per evitare di essere esposto a vulnerabilità prive di patch. Ad oggi la l’ultima versione è la 7.4: per tutte le informazioni sulla nuova versione leggi l’articolo Web Hosting con PHP 7.4: più velocità e sicurezza.

Secondo il sito ufficiale, le versioni al di sotto della 7.2 non hanno più supporto per la sicurezza.

importanza di aggiornare php

Come puoi vedere dal sito ufficiale, è circa il 50% degli utenti WordPress ad utilizzare un PHP non più supportato (dalla 7.1 in giù).

perché aggiornare php

4. Aggiorna la versione di WordPress, plugin e tema

Stesso discorso del linguaggio di programmazione: è fondamentale tenere sempre aggiornato il core di WordPress e i vari plugin, spesso per miglioramenti alla sicurezza e correzioni di bug. Spesso, molte aziende utilizzano software obsoleti e plugin non aggiornati causando blocchi e malfunzionamenti nel loro sito web a causa dei bug presenti nelle versioni non aggiornate. Di solito, gli aggiornamenti di WordPress riguardano patch di sicurezza fondamentali per il tuo sito, quindi perché restare indietro?

Un altro consiglio è di installare solo plugin attendibili e necessari, scegliendoli magari tra le sezioni “in evidenza” e “popolari”: ricorda, non sovraccaricare il tuo sito con plugin inutili.

Le componenti principali di una struttura WordPress sono, infatti, WordPress stesso, i plugin installabili e il tema/template attivo (meglio ancora se il template attivo è l’unico installato). Queste componenti vanno aggiornate in modo costante, meglio se settimanalmente.

Come aggiornare questi elementi essenziali?

Anteprima pagina generale wordpress

Pagina aggiornamenti di WordPress

Aggiornamenti plugin

Pagina aggiornamenti dei vari plugin

anteprima aggiornamento temi wordpress

Pagina aggiornamento dei vari temi

5. Proteggi il tuo sito con un certificato SSL e protocollo HTTPS

I certificati SSL ti aiutano a prevenire numerose tipologie di attacchi e minacce. Il protocollo HTTPS permette la protezione client-server dei dati che non potranno essere né letti né utilizzati da un hacker senza l’apposita chiave di decrittazione privata.

Leggi l’articolo Certificato SSL: perché serve e che attacchi previene per maggiori informazioni.

6. Utilizza dei plugin per aumentare la tua sicurezza

Quali sono i migliori plugin per la sicurezza di WordPress? Eccone alcuni:

7. Proteggi il database cambiando nome

Per garantire maggiore sicurezza al tuo database puoi cambiare il nome di default (collegato al tuo sito) rendendolo meno esplicativo: in questo modo sarà più difficile per gli hacker identificare il tuo database e accedere ai relativi dati.

In alternativa, puoi utilizzare un prefisso al wp_ utilizzato di default da WordPress.

8. Assegna i ruoli utente

Per una maggiore sicurezza è utile assegnare i ruoli utente all’interno di WordPress in modo che gli autori o gli editori abbiano meno competenze rispetto agli amministratori, che possono invece effettuare tutte le modifiche.

9. Protezione DDos

Come puoi proteggerti da un attacco DDos? Utilizza un servizio di sicurezza di terze parti affidabile come Cloudflare, di cui noi siamo partner. In sostanza, è un sistema di server che fungono da filtro tra gli utenti e i siti web per una maggiore protezione da minacce esterne.

Leggi l’articolo Quali sono i benefici di Cloudflare? per saperne di più.

10. Fare sempre i backup

Una solida politica di backup e disaster recovery è fondamentale: noi includiamo in tutti i nostri piani un backup settimanale con la possibilità di aggiungere il backup giornaliero o mensile.

Leggi l’articolo Perché ci definiamo il primo hosting italiano Security First per maggiori dettagli sulle nostre politiche di sicurezza.

Oltre al backup settimanale che includiamo nei nostri piani, abbiamo pensato ad una soluzione aggiuntiva: il Backup First Save che non è soggetto a scadenza e potrai ripristinare i dati quando ritieni opportuno.

Conclusione

Sono diversi i consigli che abbiamo fornito per incrementare la sicurezza del tuo sito in WordPress: tieni i vari elementi aggiornati, investi sulle misure di sicurezza e affidati ad un hosting provider affidabile.

Noi proponiamo un piano hosting WordPress, realizzato appositamente su misura per questo CMS: clicca per le specifiche.

Il tuo sito è il biglietto da visita per clienti e fornitori: non perdere occasioni di business!