WordPress, è la piattaforma CMS più utilizzata al mondo, infatti alimenta quasi il 40% dei siti. Prima di passare alla fase operativa, chiariamo meglio cosa sono WordPress, temi e plugin.
- Worpress: è un’applicazione CMS Open source (Content Mangement System), che permette di sviluppare le pagine per il tuo sito web.
- Temi: il tema è considerato un vero e proprio vestito di WordPress, grazie al quale è possibile avere dei template già preparati per la creazione dei tuoi contenuti.
- Plugin: i plugin sono applicazioni create per agganciarsi a WordPress ed aiutare a risolvere particolari esigenze.
Durante il processo di creazione di siti wordpress, spesso, i nostri clienti si domandando se WordPress sia effettivamente sicuro.
La nostra risposta senza esitazioni è sì, ma con le giuste e dovute precauzioni.
In questo articolo, ti fornirò alcune indicazioni per creare e mantenere un sito web sempre al sicuro. Adesso, approfondiamo meglio il tema “Sicurezza in WordPress”.
Wordpress è sicuro?
WordPress è un’applicazione sicura, tuttavia, come per ogni strumento, è necessario adottare le giuste misure affinché il CMS non sia vulnerabile. Siamo qui per illustrarti cosa tenere d’occhio..
Presta attenzione ad alcune vulnerabilità di WordPress:
- Backdoor;
- Pharma Hacks;
- Tentativi di accesso Brute-force;
- Redirect Malevoli;
- Cross-site Scripting (XSS);
Sono elementi che vanno protetti e pensati in maniera strategica per garantirti la sicurezza necessaria. Vediamoli nel dettaglio.
Backdoor
Backdoor è un tipo di vulnerabilità che permette agli Hacker di oltrepassare la crittografia di sicurezza e di accedere indisturbati ai siti WordPress attraverso metodi anormali come wp-admin, FTP e così via. Tale vulnerabilità permette agli hacker di danneggiare i server di Hosting con attacchi di contaminazione cross-site, compromettendo più siti ospitati sullo stesso server.
La maggior parte delle volte le backdoor sono criptate per essere visualizzate come file del sistema di WordPress, in questo modo si fanno strada sfruttando le debolezze e bug delle versioni obsolete della piattaforma.
Pharma Hacks
La vulnerabilità Pharma Hacks viene utilizzata dagli Hacker per inserire un codice infetto nelle versioni obsolete di WordPress e Plugin. L’effetto di questo attacco comporta che, nel momento in cui il sito viene ricercato sui motori di ricerca, restituisce pubblicità di prodotti farmaceutici. Questo fornisce un motivo valido ai motori di ricerca per bloccare il sito con l’accusa di diffondere Spam.
Tentativi di Accesso Brute-force
Con i tentativi di accesso Brute-fource ci si riferisce ad una vulnerabilità tramite cui si generano script automatici che utilizzano password deboli per accedere ai siti wordpress.
Reindirizzamenti Malevoli
I reindirizzamenti malevoli sono molto comuni in WordPress. Questa vulnerabilità consiste nell’iniettare codici di reindirizzamento nel sito web attraverso: FTSP, SFTP, wp-admin e altri protocolli.
Il codice infetto viene inserito in file come .htaccess e in altri file del core di WordPress indirizzando il traffico del sito verso siti maligni.
Cross-site Scripting (XSS)
Il Cross-site Scripting secondo Wordfence è una vulnerabilità che si può presentare molto spesso nei plugin di WordPress.
Gli attacchi Cross-Site Scripting (XSS) sono un tipo di iniezione, in cui gli script dannosi vengono iniettati in siti Web altrimenti benigni e affidabili. Gli attacchi XSS si verificano quando un utente malintenzionato utilizza un’applicazione Web per inviare codice dannoso, generalmente sotto forma di script lato browser, a un utente finale diverso. I difetti che consentono a questi attacchi di avere successo sono abbastanza diffusi e si verificano ovunque un’applicazione Web utilizzi l’input di un utente all’interno dell’output che genera senza convalidarlo o codificarlo.
Scopri come mettere in sicurezza un sito wordpress
L’autenticazione a due fattori e la limitazione dei tentativi di accesso
Non ha importanza quanto la vostra password sia sicura o complessa, vi è sempre il pericolo che qualcuno la scopra. A tal proposito, per una maggiore sicurezza è consigliato abilitare l’opzione di accesso a due fattori.
Con l’opzione di autenticazione a due fattori, non basta inserire nome e password per accedere, ma occorre inserire un codice OTP. Una volta abilitato, quest’ultimo viene inviato tramite sms o tramite chiamata.
Ti consiglio di inserire l’autenticazione a due fattori sia nel login di wordpress sia nell’accesso del tuo Hosting provider.In questo modo puoi assicurarti una protezione completa ed efficace.
Aggiornamento costante della versione del CMS
Negli ultimi anni WordPress rilascia aggiornamenti sempre più frequenti. Grazie a questo, mantenere aggiornato il CMS ti permetterà la non violazione dai file obsoleti delle vecchie versioni. Bene quindi, una manutenzione ordinaria è sempre consigliata.
Installazione e aggiornamenti dei plugin e temi
Nell’installare nuovi plugin e temi è bene verificare che le fonti siano attendibili, e che per queste ultime vi siano rilasciati gli aggiornamenti abituali.
È consigliato mantenere plugin e temi sempre aggiornati alle ultime versioni per non correre il rischio di essere attaccati da malware.
Avere sempre una versione PHP aggiornata
PHP è la parte fondamentale del tuo sito WordPress, quindi utilizzare l’ultima versione PHP sul tuo server è molto importante.
Oltre a rendere il tuo sito sicuro, aggiornare all’ultima versione PHP aiuta a rendere il tuo sito più performante.
Ogni versione di PHP è in genere supportata per due anni dal momento del suo rilascio. In questo periodo di due anni, bug e problemi di sicurezza sono corretti e aggiornati regolarmente.
Utilizzare Username e Password Intelligenti
Statisticamente le password deboli sono utilizzate da molti, ma sono anche quelle più soggette ad hackeraggio. Pensa che una delle password più utilizzata e, che è stata compromessa è 123456.
In tutta semplicità, per rendere il tuo sito più sicuro occorre inserire Username e Password intelligenti. Questo, per te, significa mettere in pratica dati di accessi di una certa complessità, che hanno il vantaggio di garantirti una sicurezza maggiore.
Utilizzare il protocollo HTTPS
Oggi, sono ancora tanti i siti che sono in HTTP e non HTTPS.
È fondamentale installare il certificato SSL e far sì che il tuo sito sia in HTTPS (Hyper Text Transfer Protocol Secure).
Questo’ultimo è un protocollo che garantisce sicurezza e affidabilità al tuo sito web, permettendo la non intercettabilità da terze parti di informazioni sensibili come: password, numero di carta di credito, dati personali.
Di fatto, i vantaggi di avere un certificato SSL sono:
- rendere il sito sicuro e affidabile, aumentando la fiducia dei tuoi clienti;
- benefici sul posizionamento, poiché Google premia siti sicuri.
Grazie ad un nuovo protocollo chiamato HTTP/2, molto spesso, coloro che eseguono siti ben ottimizzati su HTTPS possono sperimentare aumenti di velocità.
Di fatto, HTTP/2 richiede HTTPS per essere supportato dai browser.
Disabilitare XML-RPC
XML-RPC è una specifica che consente la comunicazione tra WordPress ed altri sistemi. Negli anni passati XML-RPC è stato un obiettivo di attacchi brute force.
Da quando, però, l’API REST è stata integrata nel core di WordPress, il file xmlrpc.php non viene più utilizzato per questa comunicazione.
API REST permette di comunicare con l’applicazione mobile di WordPress, con i client desktop e con altre piattaforme di blogging.Il consiglio va da sé.
Dato che l’API REST ha sostituito XML-RPC, per evitare attacchi al tuo sito web, ti suggerisco di disabilitare XML-RPC.
In conclusione
Come vedi, le vulnerabilità sono sempre dietro l’angolo. Bisogna prestare attenzione a tanti dettagli per non correre rischi e compromettere l’impegno messo per realizzare la tua attività.
Impostare e controllare la sicurezza del proprio sito web richiede energie, tempo e competenze.
Se vuoi rendere il tuo sito WordPress sicuro e difenderti dagli Hacker e virus il consiglio è quello di chiedere una consulenza agli esperti capaci di guidarti in questo percorso.
Il nostro team di esperti è specializzato in WordPress e sono ottimi combattenti pronti a proteggere il tuo sito da qualsiasi nemico. Puoi affidarti a noi e saremo lieti di rispondere ad ogni dubbio che hai. Contattaci per la tua consulenza, è gratuita e senza impegno.