Spesso sviluppatori e utenti si domandano se WordPress sia un software sicuro. Leggendo questo articolo scopriremo che ha diverse vulnerabilità che si possono risolvere con tecniche software o con un antivirus.
WordPress è un CMS sicuro?
Prima di iniziare a utilizzare uno strumento, ci poniamo una domanda legittima: questo strumento è sicuro? Ho bisogno di un antivirus? Ci sono minacce per questa soluzione? L’elenco delle domande è lungo e soprattutto legittimo. Oggi ci sono milioni di utenti di WordPress a creare i nostri siti web.
Questo CMS ha molti vantaggi: è versatile, poco costoso, facile da imparare.
Ma come ogni strumento informatico creato dall’uomo, ha dei difetti che alcune persone sfruttano per danneggiare il sito. Gli hacker attaccano i siti per diversi motivi. Inserendo codice dannoso nel portale, aumentano la popolarità del loro sito di spam. Di solito, questi codici dannosi immettono collegamenti a siti discutibili.
Presta molta attenzione a questi link, perché i motori di ricerca non apprezzano i link nascosti. In termini di referenziazione naturale (SEO), questi collegamenti ipertestuali possono avere un impatto molto negativo, quindi fai attenzione a questo punto.
Furto di dati: alcuni siti contengono dati degli utenti (e-mail e altre informazioni sensibili) che valgono denaro sui mercati con contenuti illegali.
Riscatto: analogamente a quanto avviene sui computer, gli hacker possono richiedere un riscatto per ripristinare l’accesso al tuo sito Web.
Concorrente dannoso: il mondo del Web è spietato ed è del tutto possibile pagare qualcuno per far cadere il sito Web di qualcun altro. Se il tuo sito Web non ha un minimo di sicurezza, rischi di perdere tutto. L’elenco potrebbe continuare all’infinito, ma ci fermiamo qui.
L’obiettivo è farti capire che devi dare la massima importanza alla sicurezza del tuo sito / blog WordPress o perderai tutto. La minaccia è reale e ogni giorno i server sono sotto attacco.
Come può un hacker attaccare WordPress?
Ti darò, attraverso questa guida, consigli e strumenti per andare avanti con più calma. Fai attenzione, non sto dicendo che seguendo tutti i suggerimenti di seguito sarai al sicuro. Non esiste il rischio zero e devi rimanere vigile! Come può un hacker attaccare WordPress?
Come ho detto prima, fintanto che un essere umano scrive il codice del computer, non c’è modo che lui o lei non crei una falla di sicurezza allo stesso tempo. Questo è del tutto normale e per correggerlo è necessario effettuare aggiornamenti regolari. Ma perché gli hacker stanno attaccando WordPress?
Immagina un parco di siti che rappresenta oltre il 35% del numero totale di siti Internet nel mondo e avrai la risposta.
WordPress è oggi il CMS (acronimo di Content Management System) più popolare al mondo ed è normale che i malintenzionati cerchino di utilizzare le scappatoie in questi portali. Se vuoi capire i diversi metodi di attacco a WordPress, ecco alcuni esempi.
Iniezione SQL: l’hacker riuscirà a entrare nel tuo database. Questa intrusione può derivare dalla scoperta di una password utente o da un pezzo di codice presente in un plugin o un tema scaricato illegalmente. È naturale voler testare un certo plugin o tema prima di pensare di acquistarlo, ma attenzione.
Per favore non utilizzare mai un tema premium o un plugin scaricato illegalmente da un sito live! Non sprecare un lavoro lungo e difficile.
Cross-site Scripting (XSS): l’hacker sarà in grado di iniettare JavaScript o altri pezzi di codice nel tuo sito tramite un campo modulo e quindi offrire ai tuoi utenti un’altra esperienza del sito senza che tu te ne accorga. Ad esempio, l’hacker può far visualizzare un annuncio pubblicitario invece del tuo sito. Cross-site Scripting è l’attacco più comune.
Altri tipi di attacco
Caricamento di file: è un caso che capita abbastanza spesso. Quando le autorizzazioni utente sono configurate in modo errato sui file WordPress (vedere Autorizzazioni file), l’hacker può caricare file come file .php. Questo file infetterà quindi il resto del tuo sito.
Forza bruta: attacco piuttosto semplice ma terribilmente efficace se si dispone di una semplice password. L’hacker tenterà di entrare nel tuo sito utilizzando le librerie di password.
Denial of Service (Dos o DDos): se hai seguito le notizie, probabilmente hai sentito parlare di questo tipo di attacco. Funziona in modo da sopraffare le capacità del server su cui è ospitato il sito Web inviandogli traffico. Questo traffico è spesso traffico di virus.
Gli hacker hanno una flotta di computer infetti che controllano. Se il tuo computer ha un trojan, malware o simili, potresti partecipare a questi attacchi senza rendertene conto!
L’elenco è davvero lungo come puoi vedere, e ho scelto di farti conoscere i principali metodi utilizzati dagli hacker per compromettere la sicurezza del tuo sito WordPress. Se vuoi evitare problemi con la sicurezza del tuo sito WordPress, ci sono alcune regole di base da seguire. Niente di complicato ma soprattutto tanto buon senso!
Come difendersi
Assicurati di avere un computer privo di virus. È il punto di partenza. Se il tuo computer ha un virus, potrebbe benissimo diffondersi alla tua installazione di WordPress. Password sicura.
Questo punto è davvero preso alla leggera quindi ripeto alcune regole che vanno assolutamente rispettate per le password: la password deve contenere numeri, caratteri speciali, lettere maiuscole, deve essere lunga e soprattutto evitare di usare la stessa password per tutti i tuoi siti e servizi. Se un pirata ci mette le mani sopra, il danno può essere molto pesante.
Evita di connetterti al tuo sito WordPress tramite Wi-Fi pubblico. Le reti Wi-Fi sono una benedizione, ma tieni presente che i malintenzionati possono intercettare i dati in transito. Se mai non hai scelta, procurati una VPN.
Presta attenzione ai permessi dei file e ai diritti degli utenti. Non concedere mai l’autorizzazione 777 a qualsiasi file o cartella nella tua installazione di WordPress. Ciò significa che chiunque può fare quello che vuole. Se non puoi caricare un’immagine o modificare un file, fai altrimenti.
Se aggiungi utenti al tuo sito, non concedere i diritti di amministratore a chiunque.
Usa SFTP anziché FTP. Quando vogliamo caricare file sulla nostra installazione di WordPress, ci rivolgiamo naturalmente a Filezilla o Cyberduck per eseguire queste attività. Quando possibile, utilizza il protocollo SFTP. Quest’ultimo, a differenza dell’FTP, è più sicuro.
Installa un antivirus. Se vuoi proteggere la tua installazione, perché non installare un plugin di sicurezza? Avrai diritto a funzionalità come un firewall, un blocco della forza bruta, uno scanner di malware, eccetera.
Protezioni software su .htacess
Aggiorna WordPress. So che ricevere notifiche per aggiornare questo plugin o quel tema può essere fastidioso, ma ti consiglio vivamente di farlo. Questi aggiornamenti contengono correzioni di sicurezza.
Effettua backup. Questo punto viene spesso trascurato e ci rendiamo conto dell’utilità di fare backup quando abbiamo perso tutto. Scarica un plug-in di backup se non sai come scaricare database e file.
Proteggi WordPress con .htaccess
Il file .htaccess è uno dei file più importanti del tuo sito web. Prima di applicare una modifica tramite i codici seguenti, esegui un backup. Modifica il file in questo modo.
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Disabilita l’accesso alle directory. Per impostazione predefinita, i server Apache consentono la navigazione di file e directory. È un po ‘come lasciare la casa aperta con le chiavi sulla porta in modo che gli hacker rubino i tuoi dati e distruggano il tuo sito WordPress. Per cambiarlo, aggiungi semplicemente questo pezzo di codice al tuo file .htaccess.
# disable directory browsing
Options All -Indexes
