WordPress, che oggi alimenta circa il 43% dei siti web a livello globale – da piccoli blog a e-commerce di medie dimensioni – è anche il CMS più vulnerabile agli attacchi informatici. Ciò si verifica soprattutto se la versione installata non è recente e quando temi e plugin non vengono aggiornati. Le condizioni appena citate rendono il CMS un bersaglio attraente per tutti i cyber-criminali.
Indice dei contenuti:
Le vulnerabilità di WordPress
Quali sono le vulnerabilità più diffuse?
Backdoor
Le backdoor offrono agli hacker dei varchi non esposti per bypassare la crittografia di sicurezza e accedere ai siti WordPress. Nella fattispecie, vengono spesso create approfittando di:
- Temi o plugin compromessi (specialmente se scaricati da fonti non ufficiali).
- Vulnerabilità nei file core di WordPress non aggiornati.
- Inserimento di codice malevolo nei file del server, come wp-config.php o .htaccess.
Le backdoor in WordPress permettono di modificare i file del sito, infettare le pagine con malware, compromettere gli account utenti e utilizzare il server per effettuare phishing o attacchi DDoS. Spesso non sono individuabili, poiché appaiono come file legittimi. Dunque, come prevenire gli attacchi tramite backdoor?
- Effettua regolari aggiornamenti del core di WordPress, dei plugin e temi.
- Installa plugin e risorse solo da repository ufficiali e affidabili.
- Effettua scansioni con strumenti come SiteCheck per individuare backdoor comuni.
- Implementa strumenti di protezione avanzata come firewall, autenticazione a due fattori, limitazioni dell’accesso.
Pharma Hacks
Il Pharma Hack viene utilizzato per inserire codice malevolo in versioni obsolete di WordPress, in modo che i motori di ricerca restituiscano annunci di prodotti farmaceutici regolamentati come Cialis, Viagra e Xanax.
L’obiettivo principale di questo attacco è manipolare i risultati dei motori di ricerca: i visitatori vedono il sito normalmente, ma i crawler dei motori di ricerca vengono indirizzati a pagine spam o contenuti promozionali illegali. Questo danneggia la reputazione del sito, riduce il traffico legittimo e può portare alla penalizzazione SEO da parte di Google.
Tentativi di accesso brute force
Gli attacchi brute force sono tentativi ripetuti e automatizzati effettuati dagli hacker con lo scopo di indovinare le credenziali di accesso, provando tutte le combinazioni possibili. Questi tentativi utilizzano script automatici per sfruttare password deboli e accedere al tuo sito. Per prevenire questo genere di attacchi è buona norma:
- Optare per password solide, utilizzando un mix di lettere, numeri e caratteri speciali.
- Implementare l’autenticazione a due fattori per accedere al backend del sito WordPress.
Redirect malevoli
Questa tipologia di attacco sfrutta delle backdoor in WordPress utilizzando FTSP, SFTP, wp-admin e altri protocolli e inietta codici di reindirizzamento malevoli nel sito web. Spesso i redirect vengono inseriti nel file .htaccess e in altri file del core di WP in moduli codificati.
Cross-site Scripting (XSS)
Il Cross-site Scripting (XSS) consiste nell’inserimento di uno script dannoso in un sito web attendibile. Lo scopo è di prendere i dati di cookie o di sessione fino a riscrivere l’HTML di una pagina. Questa è una delle vulnerabilità più frequenti di WordPress.
Denial of Service
La vulnerabilità DoS (Denial of Service) sfrutta errori e bug nel codice per sovraccaricare la memoria dei sistemi operativi dei siti web, sfruttando versioni obsolete del software di WordPress.
Come proteggere il tuo sito WordPress?
Ecco 5 consigli e best practice per incrementare la sicurezza del tuo sito WordPress.
1. Mantieni WordPress, plugin e temi sempre aggiornati
Gli aggiornamenti non sono solo una questione di funzionalità, ma soprattutto di sicurezza. Le nuove versioni di core, plugin e temi contengono spesso patch di sicurezza che risolvono vulnerabilità note. Ignorare questi aggiornamenti espone il sito WordPress a rischi evitabili.
Il consiglio è quello diaggiornare periodicamente il tema e installare solo plugin attendibili e strettamente necessari allo scopo di non sovraccaricare il tuo sito con strumenti inutili. Come puoi verificare la sicurezza e l’usabilità di ogni plugin? Leggi attentamente le recensioni e verifica il numero di persone che sta attualmente utilizzando quel plugin specifico. Molto spesso è proprio dalle recensioni che puoi farti un’idea più veritiera del servizio. Lo stesso discorso vale per i temi: quelli gratuiti possono nascondere codice malevolo.
2. Usa password robuste e l’autenticazione a due fattori (2FA)
La prima linea di difesa è una password difficile da decifrare. Oltre a utilizzare combinazioni di lettere, numeri e caratteri speciali, ti suggeriamo di cambiare la password periodicamente.
In aggiunta, per rafforzare la protezione dell’account, è consigliabile abilitare l’autenticazione a due fattori. Attivando la 2FA, anche se qualcuno riesce a scoprire la tua password, non potrà accedere al tuo sito WordPress senza il secondo codice di autenticazione, che viene generato da app dedicate previa installazione sul device desiderato (in genere lo smartphone).
3. Installa firewall e plugin di sicurezza
Sono numerosi i plugin di sicurezza disponibili per siti WordPress, che contribuiscono ad aumentare il livello di protezione da attacchi e malware. Wordfence, Sucuri Security e iThemes Security sono solo alcuni dei più popolari plugin che offrono funzionalità avanzate, come la scansione dei file, il blocco degli indirizzi IP sospetti, la protezione dalle vulnerabilità più comuni e il monitoraggio costante degli accessi al sito.
Inoltre, anche la presenza di un firewall implementa uno strato aggiuntivo di protezione al tuo sito WordPress. Un firewall è un sistema di sicurezza che monitora e controlla il traffico di rete in ingresso e in uscita. Il suo scopo è proteggere un dispositivo o una rete da accessi non autorizzati, attacchi esterni e minacce, filtrando le comunicazioni in base a regole predefinite.
4. Esegui backup automatici o manuali
Pur attuando tutte le precauzioni del caso, è sempre possibile che qualcosa vada storto. Avere un backup del tuo sito WordPress permette di garantire continuità anche a fronte di attacchi informatici e di errori umani.
Per questo motivo, tutti i nostri web hosting includono un backup automatico al fine di garantire la massima sicurezza dei tuoi dati in caso di spiacevoli imprevisti, prevedendo una serie di soluzioni aggiuntive idealmente per progetti dinamici.
5. Nascondi il tuo URL di accesso e la versione di WordPress
Per trovare la dashboard di WordPress e lanciare un attacco brute force è sufficiente aggiungere /wp-admin al dominio: ecco perché ti suggeriamo di nascondere il tuo URL di accesso.
Come abbiamo potuto sottolineare, non aggiornare la versione di WordPress è come servire un buon assist ai malintenzionati. Ricorda quindi di nascondere anche la tua versione attuale, un’informazione spesso sfruttata dagli hacker per condurre attacchi.
In conclusione
Sono diversi gli accorgimenti che possono incrementare la sicurezza del tuo sito WordPress: aggiorna il core del CMS e i plugin, investi sulle misure di sicurezza e affidati ad un hosting provider affidabile.
In Shellrent rivolgiamo particolare attenzione alla sicurezza dei progetti web:
- Monitoriamo in maniera attiva la qualità delle performance dei servizi erogati in tempo reale con personale qualificato pronto ad intervenire in ogni momento.nti anche in termini di sicurezza.
- Tutti i servizi prevedono di default una politica di backup settimanale per la protezione dei dati.
- Svolgiamo una analisi del traffico di rete in tempo reale per identificare e correggere possibili vulnerabilità.
- Effettuiamo controlli di qualità su ogni processo aziendale, dall’ingegnerizzazione al rilascio di nuovi software.
