Come sappiamo tutti la piattaforma WordPress continua ad essere leader tra siti più utilizzati in tutto il mondo e automaticamente diventa il CMS più attaccato. Hai utilizzato WordPress per qualche tuo progetto o gestisci un sito utilizzando questa piattaforma? Stai ricevendo numerosi attacchi recentemente e non riesci a trovare il buco? In questo articolo cercherò di darti qualche indicazione per rendere sicuro il tuo sito WordPress.
Quali potrebbero essere le vulnerabilità che potresti riscontrare?
- Backdoors
- Pharma Hacks
- Brute-force
- Bad Redirects
- XSS
- DoS
Tipi di attacchi hacker
1. Backdoors
Backdoor – è una vulnerabilità che fornisce agli Hacker dei passaggi nascosti che aggirano i protocolli di sicurezza per ottenere l’accesso al vostro sito. Ad esempio wp-admin, SFTP, FTP e cosi via. I Backdoor sono ancora molto attuali e molto spesso si mascherano sotto forma di file di WordPress normali. Sono difficili da individuare se sono stati creati bene. Se non riesci ad individuare dove è stato igniettato il codice malevolo – qui ti lascio il link del tool che ti permetterà di analizzare il tuo sito
2. Pharma Hacks
Questo tipo di exploit si utilizza per inserire pezzi di codice dannoso nelle versioni vecchie di WordPress, che generalmente modificano i meta tags. In questo modo alla ricerca del vostro sito su Google, la SERP vi ridà altri tipi di informazioni non congruenti alle informazioni configurate nel vostro sito. Nel caso in cui Google rilevasse delle anomalie di questo genere ci mette veramente pochissimo ad escludervi dalle loro SERP
3. Brute-Force
Solitamente questo termine indica le prove di autorizzazione utilizzando il metodo delle richieste. Si utilizzano degli script che tentano di indovinare la password. Per evitare che ciò succeda solitamente si utilizza l’autentificazione a due fattori.
4. Bad-Redirect
Gli redirect utilizzano i backdoor. Spesso si nascondono nel file .htaccess ma possono trovare casa anche nel cuore di wordpress o anche nel tema utilizzato. Utilizzano il vostro traffico per reindirizzarlo verso risorse esterne, spesso pubblicità commerciali.
5. XSS
Questo metodo in quasi tutti i casi utilizza il javascript e lavora lato client. Puntano di estrarre i dati dai cookie o anche le modifiche html.
6. DoS
L’attacco più pericoloso tra i sopra elencati. Utilizza degli errori nel codice e consuma al massimo la memoria RAM della macchina sulla quale è piazzato il sito, creando con questo disfunzionalità serie della macchina.
Primi passi per rendere sicuro un sito WordPress?
Secondo le statistiche ogni giorno mediamente vengono violati in circa 100000 siti, per questo è importante dare maggior importanza alla sicurezza. Potresti vedere gli attacchi nel tempo reale utilizzando la piattaforma di Kaspersky. Rimarrai sicuramente stupito. Allora quali sono i punti da analizzare prima di tutto?
1. Scegli l’hosting più sicuro per difendere il sito WordPress
Prima di installare il CMS è fondamenteale conoscere la sicurezza del hosting che state acquistando. Prima di tutto perchè affidate a loro il vostro business. Se parliamo di progetti molto seri, prendi in vonsideraziono di segliere un VPS e non Shared.
VPS – Virtual Private Server, spesso viene paragonato con la macchina dedicata ma non lo è, ha quasi le stesse funzioni, hai un ambiente di lavoro separato, risorse in termini RAM, processore e memoria Storage, dove potresti installare vari Software. Diverso da Shared dove acquisti solamente lo spazio dentro una piastra già configuata.
2. Tieni sempre aggiornata la tua versione PHP
Il linguaggio php è la base di ogni sito creato su WordPress. In base alle statistiche ufficiali di WordPress i siti più attaccati hanno la vecchia versione PHP. Qui puoi consultare le statistiche ufficiali.
Non sai quale versione PHP sta utilizzando il tuo sito? Prova Pingdom. Inserisci l’url del tuo sito e vedrai subito dei campi tra i quali troverai la versione PHP attuale. Ogni versione PHP rilasciata deve essere supportata almeno 2 anni. Nel momento in cui sto scrivendo questo articolo consiglio di utilizzare la versione 7.4+.
Più del 63% dei siti WordPress hanno la versione vecchia di PHP, ciò li rende molto vulnerabile agli attacchi.
3. Nome utente e password sicuri
Non dare MAI! per scontato la difficolta di login e della password.
Creare una password sempliccisma pensando cosi di semplificarsi la vita, nel ventunesimo secolo non se lo può permettere nessuno.
La funzione fondamentale di wordpress è wp_hash_password che ustilizza la funzione md5 per criptare le password. Google ha preparato dei ottimi consigli per creare una password. Un altro punto importante è di creare password diverse per ogni singolo sito in gestione e tenerli in locale sul proprio PC magari prottete da un altra password. Non ci scordiamo che la maggior parte non vengono attaccate direttamente le macchine ma l’hacker ci mette sempre quel pizzico di ingegeria sociale per ottenere i dati dalla vittima presa di mira.
4. Aggiornare sempre il core di WordPress
Molti pensano che aggiornare il core di WordPress non è fondamentale, perchè aggiornare un qualcosa che già funziona? E’ vero che l’aggiornamento del core potrebbe fortare difunzionalità tra wordpress e i plugin installati. Perchè giustamente ogni plugin si deve adattare con gli aggiornamenti emessi. Sprecate una mezz’oretta in più per configuazioni aggiuntive e il procedimento vi assicurerà maggiore sicurezza nel futuro.
Gli aggiornamenti non vengono emessi cosi a caso, ci sarà sempre un motivo valido sopratutto se parliamo di un CMS più utilizzato al mondo e nella maggior parte dei casi è proprio la sicurezza.
Conclusione
Non so se sei già un professionista o un junior. Questo articolo l’ho scritto con l’intenzione di dare una breve spigazione dei tipi di attacco e spiegare quali sono i metodi base di una cura di un sito WordPress. A breve uscirà la seconda parte advanced dove andremo ad operare direttamente sul campo con l’aggiunta degli snippet e molto altro. Ciò ti permetterà di rendere sicuro un sito WordPress.
