loader

WordPress e Sicurezza

Quando si tratta della sicurezza di WordPress, ci sono molte cose che potete fare per chiudere a chiave il vostro sito per impedire che hacker e vulnerabilità o il vostro blog.

L’ultima cosa che vorreste che succedesse è svegliarvi una mattina per scoprire il vostro sito in rovina. Quindi oggi condivideremo con voi molti consigli, strategie e tecniche che potete utilizzare per migliorare la sicurezza di WordPress e rimanere protetti.

WordPress è Sicuro?

La prima domanda che probabilmente vi state facendo è questa: ? Nella maggior parte dei casi, sì. Tuttavia, WordPress spesso ha fama di essere vulnerabile sotto l’aspetto della sicurezza e di non essere intrinsecamente è una piattaforma sicura per l’utilizzo aziendale. Ma il più delle volte questo è dovuto al fatto che gli utenti seguono quelle che si sono dimostrate le peggiori pratiche per quello che riguarda la sicurezza.

Sono l’utilizzo di software WordPress obsoleto e di , un sistema di amministrazione scadente, la cattiva gestione delle credenziali e la mancanza delle necessarie conoscenze sul Web e sulla sicurezza tra gli utenti non tecnici di WordPress a dare agli hacker il controllo del loro gioco cyber-criminale. Persino i leader del settore non seguono sempre le migliori pratiche. perché utilizzava una versione obsoleta di WordPress.

Fondamentalmente, la sicurezza non consiste nell’avere sistemi perfettamente sicuri. Una cosa del genere potrebbe essere poco pratica, o impossibile da raggiungere e/o mantenere nel tempo. La sicurezza è la riduzione del rischio, non l’eliminazione del rischio. Si tratta di utilizzare tutti i controlli appropriati a vostra disposizione, entro limiti ragionevoli, che vi consentono di migliorare la vostra esposizione generale, riducendo le probabilità di rendervi un bersaglio, e quindi di essere hackerati. –

WordPress su Internet e, con centinaia di migliaia di combinazioni di temi e plugin, non sorprende che le vulnerabilità esistano e ne vengano costantemente scoperte di nuove. Tuttavia, c’è anche una grande community intorno alla piattaforma di WordPress, per garantire che queste vulnerabilità vengano risolte in modo tempestivo. Nel 2019, il è composto da circa 50 esperti (dai 25 del 2017), tra cui responsabili dello sviluppo e ricercatori sulla sicurezza – circa la metà di essi lavorano da Automattic e molti di loro sono impegnati nel campo della sicurezza web.

Le Vulnerabilità di WordPress

Backdoor

Giustamente comosciuta come backdoor, questa vulnerabilità offre agli hacker passaggi nascosti che bypassano la crittografia di sicurezza per accedere ai siti metodi anormali: wp-Admin, SFTP, FTP e così via. Una volta che sono state scoperte, le backdoor consentono agli hacker di devastare i server di hosting con attacchi di contaminazione cross-site – compromettendo più siti ospitati sullo stesso server. Nel terzo trimestre del 2017, che le backdoor continuano ad essere una delle tante azioni post-attacco portate avanti dagli hacker, con il 71% dei siti infetti aventi una qualche forma di backdoor injection.

Le backdoor sono spesso criptate per apparire come legittimi file di sistema di WordPress e si fanno strada attraverso i , sfruttando debolezze e bug delle versioni obsolete della piattaforma. Il è stato un ottimo esempio di vulnerabilità backdoor che sfrutta script oscuri e software obsoleti che compromettono milioni di siti web.

Pharma Hack

L’exploit Pharma Hack viene utilizzato per inserire il codice malevolo in versioni obsolete di siti web e plugin di WordPress, facendo sì che i motori di ricerca restituiscano annunci di prodotti farmaceutici quando viene cercato un sito web compromesso. La vulnerabilità è più una minaccia di spam che malware tradizionale, ma fornisce ai motori di ricerca un motivo sufficiente per bloccare il sito con l’accusa di diffondere spam.

Tentativi di Accesso Brute-force

I tentativi di accesso brute-force utilizzano script automatici per sfruttare password deboli e accedere al vostro sito. L’autenticazione a due fattori, la , il monitoraggio degli accessi non autorizzati, il blocco degli IP e l’utilizzo di password forti sono solo alcuni dei metodi più semplici ed efficaci per prevenire attacchi brute-force. Sfortunatamente, molti proprietari di siti WordPress non si adeguano a queste prassi di sicurezza, quindi gli hacker sono facilmente in grado di compromettere fino a utilizzando attacchi brute-force.

Reindirizzamenti Malevoli

I reindirizzamenti malevoli creano backdoor nelle installazioni WordPress utilizzando FTSP, SFTP, wp-admin e altri protocolli e iniettano codici di reindirizzamento nel sito web. I redirect vengono spesso inseriti e in altri file del core di WP in moduli codificati, indirizzando il traffico web verso siti maligni. Approfondiremo alcuni metodi per prevenire questi accessi nei passaggi sulla sicurezza di WordPress che proponiamo più avanti.

Cross-site Scripting (XSS)

Il Cross-Site Scripting (XSS) si ha quando uno script dannoso viene iniettato in un sito web o in un’applicazione attendibili. L’hacker lo utilizza per inviare codice dannoso, in genere script lato browser, all’utente finale senza che questi lo sappia. Lo scopo è di solito quello di prendere i dati di cookie o di sessione, o magari anche riscrivere l’HTML di una pagina.

Denial of Service

Forse la più pericolosa di tutte, la vulnerabilità sfrutta errori e bug nel codice per sovraccaricare la memoria dei sistemi operativi dei siti web. Gli hacker hanno compromesso e raccolto sfruttando versioni obsolete e bacate del software di WordPress con attacchi DoS. Sebbene i criminali informatici motivati ​​da interessi finanziari siano meno propensi ad attaccare piccole imprese, tendono a compromettere siti obsoleti e vulnerabili creando grandi imprese.

Utilizzare la Versione Più Recente di PHP

PHP è la spina dorsale del vostro sito WordPress e quindi utilizzare l’ultima versione di PHP sul vostro server è molto importante. Ogni major release di PHP è in genere pienamente dal momento del suo rilascio. Durante questo periodo, i bug e i problemi di sicurezza sono corretti e aggiornati regolarmente. A partire da ora, chiunque abbia una versione di PHP 7.0 o inferiore non ha più supporto per la sicurezza ed è esposto a vulnerabilità prive di patch.

Non sapete quale versione di PHP state utilizzando? La maggior parte degli host in genere inserisce questa informazione in una richiesta dell’header del vostro sito. Un modo rapido per verificarlo è eseguire il sito tramite . Fate clic sulla prima richiesta e cercate il parametro X-Powered-By. In genere questo vi mostrerà la versione di PHP attualmente in uso sul vostro server.

Username e Password

Sorprendentemente, uno dei modi migliori per aumentare la sicurezza di WordPress è semplicemente quello di utilizzare nomi utente e password intelligenti. Sembra abbastanza facile, vero? Bene, controllate la delle password più popolari che sono state rubate durante l’anno (ordinate in base alla popolarità).

  • 123456
  • password
  • 123456789
  • 12345678
  • 12345
  • 111111
  • 1234567
  • sunshine
  • qwerty
  • iloveyou

WordPress Sempre Aggiornato

Un altro modo molto importante per rafforzare la sicurezza di WordPress è di tenerlo sempre aggiornato. Ciò riguada sia il core di WordPress che i vostri plugin. Questi vengono aggiornati per un motivo preciso, e molte volte questo motivo riguarda miglioramenti della sicurezza e correzioni di bug. Vi consigliamo di leggere la nostra guida approfondita su questo argomento: .

Sfortunatamente, milioni di aziende utilizzano versioni obsolete di software e plugin di WordPress, e continuano a credere di operare correttamente per il successo aziendale. Danno i loro motivi per non eseguire gli aggiornamenti, come “il loro sito si bloccherà” o “le modifiche principali se ne andrebbero” o “il plugin X non funzionerà” o perché “semplicemente non hanno bisogno della nuova funzionalità”.

Core di WordPress

Ci sono un paio di semplici modi per aggiornare un’installazione di WordPress.

Seguite i passaggi sottostanti per :

  • Eliminate le vecchie directory wp-include e wp-admin.
  • Caricate le nuove directory wp-include e wp-admin.
  • Caricate i singoli file dalla nuova cartella inc alla cartella inc esistente, sovrascrivendo i file esistenti. NON eliminate la cartella inc esistente. NON cancellate alcun file o cartella nella directory inc esistente (tranne quelli che vengono sovrascritti dai nuovi file).
  • Caricate tutti i nuovi file sciolti dalla directory principale della nuova versione alla vostra directory root dell’installazione esistente di WordPress.

Bloccare l’Accesso a wp-admin

A volte la strategia popolare della sicurezza tramite segretezza di WordPress è efficace per un sito aziendale di medie dimensioni basato su WordPress. Se rendete più difficile agli hacker trovare certe backdoor, è meno probabile che veniate attaccati. e il login di WordPress è una buona strada per rafforzare la vostra sicurezza. Due ottimi modi per bloccare l’accesso prevedono innanzitutto di modificare l’URL predefinito di accesso a wp-admin e poi di limitare i tentativi di accesso.

Apache

home/user/.htpasswds/public_html/wp-admin/htpasswd/

Quindi create un file .htaccess con il seguente codice e caricatelo nella directory /wp-admin/. Assicuratevi di aggiornare il percorso della directory e il nome utente.

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user yourusername

L’unico avvertimento per operare in questo modo è che si si interromperà il funzionamento di AJAX (admin-ajax) sul front-end del vostro sito. Questo è richiesto da alcuni plugin di terze parti. Quindi dovrete anche codice al file .htaccess sopra.

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Nginx

Se state utilizzando , potete anche limitare l’accesso con l’autenticazione base HTTP. Date un’occhiata a .

Bloccare il percorso di un URL

Se utilizzate un web application firewall (WAF) come Cloudflare o Sucuri, ricordate che questi forniscono ottime soluzioni per bloccare il percorso di un URL. Potete in pratica impostare una regola in modo tale che solo il possa avere accesso al vostro URL di login di WordPress. Ripetiamo, questa soluzione non dovrebbe essere implementata nei siti di eCommerce o ad iscrizione in quanto anche questi si basano sull’accesso al back-end del vostro sito.

  • Cloudflare ha una per gli account Pro e superiori. Potete impostare una regola per qualsiasi URL o percorso.
  • Sucuri ha una . Potete, così, mettere in whitelist il vostro IP.

Autenticazione a Due Fattori

E, naturalmente, non possiamo dimenticare l’autenticazione a due fattori! Non importa quanto sia sicura la vostra password, c’è sempre il rischio che qualcuno la scopra. L’autenticazione a due fattori prevede un processo in 2 passaggi in cui non basta inserire la password per accedere, ma è necessario un ulteriore metodo. Generalmente si tratta di un messaggio di testo (SMS), una telefonata o una password a scadenza valida una sola volta (TOTP). Nella maggior parte dei casi, questo sistema è efficace al 100% nel prevenire attacchi brute force sul vostro sito WordPress. Perché? Perché è quasi impossibile che chi attacca abbia sia la vostra password che il vostro cellulare.

Certificato SSL

Uno dei modi più trascurati per rafforzare la sicurezza di WordPress è ed far girare il vostro sito su HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) è un meccanismo che consente al browser o all’applicazione web di collegarsi in modo sicuro a un sito web. Un grosso equivoco è che se non si accettano le carte di credito non è necessario SSL.

Prestazioni

Grazie ad un nuovo protocollo chiamato , molto spesso, coloro che eseguono siti ben ottimizzati su HTTPS possono sperimentare aumenti di velocità. HTTP/2 richiede HTTPS per essere supportato dai browser. Il miglioramento delle prestazioni è dovuto a una serie di motivi, tra cui il miglior supporto di HTTP/2 del multiplexing, il parallelismo, la compressione HPACK con codifica Huffman, l’estensione ALPN e il server push.

State ripensando ad HTTPS adesso? Consultate la nostra per prepararvi e partire.

Per applicare una connessione sicura e crittografata tra voi e il server durante il login e l’amministrazione del vostro sito, aggiungete la seguente riga al vostro file wp-config.php:

define ('FORCE_SSL_ADMIN', true);

Mettere in Sicurezza il File wp-config.php

è come il cuore e l’anima della vostra installazione di WordPress. È di gran lunga il file più importante del vostro sito per quel che riguarda la sicurezza di WordPress. Contiene le informazioni di accesso al database e le chiavi di sicurezza che gestiscono la crittografia delle informazioni nei cookie. Di seguito sono indicate un paio di cose che potete fare per proteggere meglio questo importante file.

Spostare wp-config.php

Di default il vostro file wp-config.php risiede nella directory principale della vostra installazione di WordPress (la vostra cartella HTML /pubblic/). Ma potete spostarlo in una directory non accessibile tramite www. Aaron Adams ha fornito una per cui questa operazione è così importante.

Per spostare il vostro file wp-config.php, basta semplicemente copiare tutto quello che vi è contenuto in un altro file. Quindi nel vostro file wp-config.php potete inserire il seguente frammento che semplicemente include l’altro file. Nota: il percorso della directory potrebbe essere diverso a seconda del vostro host web e della configurazione. In genere però è semplicemente una directory sopra.

<?php
include('/home/yourname/wp-config.php');