Se il vostro sito web è stato sviluppato con WordPress o se state prendendo in considerazione di utilizzare questa piattaforma, prendetevi un momento per analizzare gli eventuali problemi legati alla sicurezza WordPress.
Con questo articolo abbiamo delineato alcune delle vulnerabilità sulla sicurezza più comuni legate alla piattaforma WordPress e i possibili accorgimenti da prendere per proteggere il vostro sito.
È davvero sicuro WordPress?
La risposta può sembrare banale: è “Dipende”. Se si seguono tutte le norme di sicurezza, WordPress in sé è una piattaforma molto sicura.
Dal momento che WordPress è una piattaforma CMS adottata dal 25% dei siti web, le vulnerabilità legate alla sicurezza sono inevitabili, questo perché non tutti gli utenti sono attenti e scrupolosi nei confronti dei loro siti web. Se un hacker riesce a trovare un modo per insinuarsi in uno dei 700 mila siti WordPress, potrà in seguito sfruttare la stessa vulnerabilità con tutti quei WordPress non aggiornati o non sufficientemente protetti.
WordPress è un software che utilizza un codice open source ed è per questo seguito da un team di sviluppatori esperti specializzato nell’individuazione e nella risoluzione dei problemi di sicurezza che sorgono nel codice di base.
Non appena si individuano le vulnerabilità della piattaforma, il team lavora per rilasciare patch e aggiornamenti così da evitare ulteriori nuove problematiche. Ecco perché per mantenere la sicurezza WordPress sempre elevata é buona pratica avere la piattaforma sempre aggiornata alla versione più recente.
È importante sottolineare che le vulnerabilità di sicurezza di WordPress dipendono molto spesso non solo dal codice sorgete ma anche dai temi grafici e dai plugin che vengono installati per personalizzare i diversi siti. Secondo un recente rapporto di wpscan.org, possiamo così suddividere le 3.972 vulnerabilità di WP:
- Il 52% sono dovute ai plugin di WordPress
- Il 37% dal codice del core di WordPress (il codice sorgente)
- L’11% sono legati ai template grafici di WordPress
I problemi più comuni legati alla sicurezza WordPress si verificano appena il sito viene compromesso. L’obbiettivo di un hacker è quello di creare un accesso (da voi non autorizzato) al vostro sito WordPress e con dei privilegi da amministratore, sia per il frontend (dal pannello di amministrazione) che via server (con la possibilità quindi di inserire script e file).
Vediamo ora le più comuni tipologie di attacchi perpetrati nei confronti delle piattaforme WordPress
Gli attacchi di ‘Brute Force‘ (Forza bruta)
Con il termine ‘brute force‘ si fa riferimento a tutti quei tentativi di combinare caratteri, simboli lettere o numeri per generare password; gli hacker provano fino a che non indovinano la combinazione giusta. È l’attacco più semplice perché gli hacker tentano l’accesso proprio dal vostro stesso pannello di login.
Da impostazione standard, WordPress non limita i tentativi d’accesso e questo permette agli hacker di agire indisturbati. Questo tipo di attacco però sovraccarica le richieste al server e in alcuni casi può capitare che causi la sospensione dei servizi di hosting da parte dei fornitori. Questo succede proprio in via cautelativa per evitare problemi sui server o su altri siti web presenti sullo stesso server.
Inclusione di File
Un’altra vulnerabilità del vostro sito web è legata all’inclusione di file nel codice PHP (il codice di programmazione grazie al quale si sviluppa la piattaforma WordPress, il vostro tema e i plugin).
Questi file permettono successivamente all’hacker di impossessarsi dei dati di accesso al vostro sito. Questa tecnica è una delle più utilizzate per accedere al file wp-config.php, uno dei file più importanti e da cui dipende la vostra installazione WordPress.
Iniezioni SQL (Database)
Tutti i WordPress utilizzano un database MySQL da cui dipende il funzionamento dell piattaforma. Con iniezioni SQL facciamo quindi riferimento all’accesso da parte dell’hacker al database di WordPress in cui sono contenuti tutti i dati relativi al sito web.
Proprio come l’accesso al codice PHP, anche l’accesso al database (la cosiddetta tecnica di iniezione SQL) permette al malintenzionato di turno di creare nuovi account utente con privilegi di amministrazione o di manipolare i dati presenti.
Attacco Xss (Cross-Site Scripting)
L’84% di tutte le problematiche legate alla sicurezza WordPress e del web in genere sono chiamate Cross-Site Scripting o attacchi Xss. Gli attacchi Cross-Site Scripting sono molto comuni e sono legati ai plugin.
La tecnica alla base del Cross-Site Scripting funziona in questo modo: l’utente malintenzionato riesce a caricare, a vostra insaputa, in una pagina web del vostro sito uno script ‘insicuro‘. Questi script spesso vengono utilizzati per rubare i dati ai visitatori che navigano il sito o per reindirizzarli su altri siti web, spesso nocivi e non sicuri.
Malware
Il malware (abbreviazione data dalle parole inglesi software e dannoso) è un codice che viene utilizzato per estrapolare i dati di accesso ad un sito web e per raccogliere eventuali altri dati sensibili.
L’espressione ‘sito WordPress hackerato’ identifica quindi quei siti che sono stati infettati da un software nocivo e nel caso in cui vi sia il sospetto è buona regola controllare i file che sono stati modificati recentemente (magari a seguito di un aggiornamento).
Le infezioni malware più comuni a cui WordPress è vulnerabile sono le seguenti:
- Backdoors
- Drive-by downloads
- Pharma hacks
- Reindirizzamenti dannosi
Identificare e ripulire WordPress da uno di questi malware non è particolarmente difficile. È sufficiente eliminare il file nocivo e aggiornare WordPress a una nuova versione o caricare il backup del sito web effettuato prima che venisse infetto.
Cos’è che rendere vulnerabile un sito realizzato con WordPress?
Sono diversi i fattori che possono rendere il vostro sito WordPress più vulnerabile agli attacchi hacker.
Password deboli
L’utilizzo di password deboli è una delle principali cause di vulnerabilità di WordPress. Può essere però facilmente risolta. La password di amministrazione di WordPress deve essere forte, cioè deve includere più tipi di caratteri, simboli o numeri. Inoltre, la password deve essere specifica del vostro sito WordPress e non dev’essere utilizzata per altri accessi.
Password deboli
L’utilizzo di piattaforma WordPress, di temi e di plugin non aggiornati rende il sito più facilmente esposto agli attacchi hacker. Questo perché negli ultimi aggiornamenti spesso vengono incluse delle patch che migliorano la sicurezza del codice. È quindi buona regola installare sempre l’ultima versione del software.
Gli aggiornamenti vengono visualizzati nella dashboard di WordPress, non appena disponibili. Eseguire regolarmente il backup e installare tutti gli aggiornamenti disponibili può sembrare noioso o una perdita di tempo, ma sicuramente tutela il vostro sito.
Nel caso in cui gestiate diversi siti WordPress uno strumento come Wordfence può aiutarvi a gestire e a mantenere aggiornate tutte le piattaforme. Nella nostra lista dei migliori plogin di WordPress avevamo già citato questa estensione. Vi consigliamo di visionarla.
Utilizzo di Plugin e template grafici scaricati da fonti non sicure
Utilizzare del codice mal scritto o obsoleto è uno dei modi più semplici per facilitare l’accesso ai malintenzionati. È raccomandabile quindi installare plugin e temi provenienti solo da fonti attendibili, come ad esempio la repository di WordPress.org o da società conosciute e rinomate proprio per la qualità dei loro prodotti.
Hosting condiviso o di scarsa qualità
Dal momento che il server in cui è ospitato il vostro sito web WordPress può essere preso di mira dagli hacker, è importante che il servizio a cui vi state affidando non sia di scarsa qualità o non sia condiviso con siti insicuri o vulnerabili.
L’utilizzo di un host condiviso in alcuni casi può causarci alcuni problemi. Questo perché se uno dei web site ospitati sul serve viene violato, è probabile che gli hacker trovino il modo di accedere anche ai dati degli altri siti presenti sullo stesso server.
Gli 8 accorgimenti che potete adottare per migliorare la sicurezza WordPress
Dal momento che il server in cui è ospitato il vostro sito web WordPress può essere preso di mira dagli hacker, è importante che il servizio a cui vi state affidando non sia di scarsa qualità o non sia condiviso con siti insicuri o vulnerabili.
L’utilizzo di un host condiviso in alcuni casi può causarci alcuni problemi. Questo perché se uno dei web site ospitati sul serve viene violato, è probabile che gli hacker trovino il modo di accedere anche ai dati degli altri siti presenti sullo stesso server.
Utilizzare password complesse
Pensateci. Se per accedere al vostro sito web state utilizzando una password inferiore ai 6 caratteri è il caso di cambiarla. Se state utilizzando la stessa password con cui accedete ad altri account, anche in questo caso è necessario sostituirla. E come già saprete è consigliabile cambiare la password ogni 6 mesi.
*Suggerimento: per rendere più semplice la gestione delle password, potete utilizzare un software per la gestione delle password come LastPass.
Installare un plugin dedicato alla sicurezza WordPress
Utilizzare un plugin per la sicurezza come iThemes è un ottimo modo per essere certi che la propria piattaforma WordPress sia sempre sicura. iThemes Security permette, direttamente dalla dashborard di WP, la gestione e il controllo di tutte le impostazioni più importanti e consigliate per la sicurezza di WordPress.
Attivare su WordPress l’autenticazione a due fattori
L’autenticazione a due fattori aggiunge un ulteriore livello di controllo all’accesso del pannello di WordPress. Oltre alla password durante il login è richiesto all’utente un codice time-sensitive che generalmente viene inviato allo smartphone o alla casella di posta ed è necessario per finalizzare l’accesso.
L’autenticazione a due fattori è uno dei metodi migliori per bloccare i tentativi d’accesso al vostro login WordPress, minimizzando quasi completamente gli attacchi di forza bruta (brute force) descritti in precedenza.
Mantenere aggiornata la piattaforma
Come abbiamo già ripetuto aggiornare costantemente la piattaforma WordPress è uno degli accorgimenti migliori per evitare potenziali problemi di sicurezza.
Se utilizzate delle versioni premium di plugin o template, assicuratevi di avere le licenze valide necessarie per poter effettuare tutti gli aggiornamenti.
Impostare correttamente le autorizzazioni sul server
Assicuratevi di aver impostato correttamente le autorizzazioni e gli accessi alle directory ospitate sul server. Restringere i permessi significa limitare la possibilità che utenti non autorizzati possano leggere, creare o modificare i file contenuti all’interno delle cartelle.
Eseguire periodicamente scansioni malware
È buona regola pianificare delle scansioni malware regolarmente. La maggior parte dei servizi, come la scansione di malware offerto dalla versione Pro del plugin iThemes Security, rilasciano un rapporto completo sulla situazione malware del tuo sito web insieme a diversi altri report.
Avere un piano affidabile per il backup di WordPress
Avere a disposizione un backup affidabile del vostro sito WordPress è un aspetto base molto importante per la vostra strategia di sicurezza. Inoltre assicuratevi di aver installato un valido componente per il ripristino del backup in cui sia necessario doverlo attivare.
*Suggerimento: utilizzate il plugin BackupBuddy per il backup di WordPress in tempo reale.
Attivare una protezione contro la forza bruta
Proteggersi dagli attacchi di forza bruta è un altro modo per ridurre le potenziale vulnerabilità o attacco del server.
In conclusione
Anche se esistono problemi legati alla sicurezza WordPress, la maggior parte di questi è facilmente risolvibile. È sufficiente continuare ad aggiornarsi e adottare delle vere e proprie strategie per proteggere la piattaforma da potenziali vulnerabilità e attacchi hacker.