WordPress è uno dei CMS più utilizzati in assoluto per poter creare siti web e blog. Oltre ad essere facile da utilizzare, il suo sviluppo e le sue caratteristiche fanno sì che il sito sia molto facile da costruire e da tenere aggiornato. Essendo una piattaforma open source (a codice aperto), ci sono alcuni aspetti negativi che devono essere assolutamente considerati: stiamo parlando degli attacchi hacker, sempre più frequenti su questa piattaforma. In questo articolo cerchiamo di fare chiarezza su questo tema e vedremo come difendersi da queste vulnerabilità.
In che cosa consiste un attacco hacker?
L’hacker è un esperto di informatica che può introdursi nei vari sistemi. Gli attacchi hacker sui siti WordPress sono molto frequenti: soprattutto su determinati siti si cerca di entrare per ricavare documenti o per spiarne l’architettura. Ci sono diversi tipi di attacchi, dunque bisogna assolutamente capire con quali di questi abbiamo a che fare e quali sono i comportamenti da attuare se vogliamo evitare un’eventuale attacco da parte di malintenzionati. Servono accuratezza e controlli costanti per poter evitare un simile problema e avere sempre un sito in grado di rendere al meglio.
Quali sono gli attacchi hacker più comuni?
Come ti dicevo precedentemente, WP è un software open source: tutti possono vedere il codice con il quale è stato costruito e allo stesso tempo sfruttare eventuali vulnerabilità. Sono diversi gli attacchi hacker su un sito WordPress. Di seguito ti illustro quelli più frequenti:
• Attacchi Brute force
La traduzione in italiano è davvero spaventosa, ovvero forza bruta. Questo attacco genera infinite combinazioni di caratteri alfanumerici per scoprire la password e il nome utente. Ogni utente ha un proprio profilo di accesso (solitamente accessibile da nomesito.it/wp-admin), dunque si attua questa modalità per poter accedere direttamente al sito e rubare tutte le informazioni.
• Inclusioni di codice e iniezioni SQL.
Anche questo tipo di intrusione potrebbe violare il nostro sito. Per attuarla bisogna inserire un codice Php all’interno di un plug in per poter violare tutte le password di quel sito ed entrare in qualsiasi momento.
• Attacchi Xss conosciuti in gergo come Cross-Site Scripting.
Anche in questo caso l’hacker utilizza un plug in per poter rubare dati ai visitatori. Questo mette in pericolo non solo il blog WordPress, ma anche chi lo visita.
• Malware, uno degli attacchi più temuti.
È un software dannoso che raccoglie tutti i dati dell’utente e li utilizza per poter creare nuovi attacchi hacker. Tra i malware più comuni troviamo delle backdoors, drive-by downloads, pharma hacks e i reindirizzamenti malevoli.
Perché è importante proteggere il proprio sito WordPress dagli attacchi hacker
Abbiamo visto come è “semplice” tentare un’intrusione all’interno di un sito WordPress. Basta avere le giuste conoscenze per poter accedere senza nessun tipo di problema e prendere ciò che interessa. Questo potrebbe portare ad una perdita di dati sensibili davvero notevole, dunque bisogna fare molta attenzione.
Gli aggiornamenti sono molto importanti
Uno dei primi passi per poter avere un sito a prova di hacker sono gli aggiornamenti. Periodicamente WordPress chiede ai propri utenti di aggiornare il CMS. La comunità di di sviluppo di WordPress cerca sempre di risolvere tutte le vulnerabilità e mantenere alti gli standard. Bisogna aggiornare anche i plugin, perché anche questi ultimi possono essere un modo per aiutare l’hacker ad entrare sul proprio sito web. Molti plugin di WordPress sono in costante aggiornamento, proprio perché possono presentare delle falle di sicurezza. Un esempio pratico sono sicuramente i temi grafici: la veste di un sito contiene un codice PHP e l’hacker potrebbe entrare da li. Soprattutto per questo motivo serve un sito sempre aggiornato.
Installare un certificato SSL
Una delle procedure più comuni da parte degli hacker è il fenomeno dello sniffing delle transazioni, ovvero intercettare e fiutare le transazioni in modo tale da poter rubare dati sensibili. Con gli acquisti online questi dati sono presenti in quantità maggiore sulla rete, dunque è necessario avere una sicurezza più elevata per poter evitare qualsiasi tipo di problema. Per ovviare a ciò, ma anche per aumentare la sicurezza di un sito, è necessario installare un certificato SSL. Questo strumento gestirà tutte le chiamate con il protocollo HTTPS, gestendo anche le richieste di chi vuole entrare in maniera non legale. Questo procedimento sarà molto utile anche per chi punta ad avere una considerazione maggiore su Google. Infatti i siti più virtuosi ricevono maggiore attenzione da parte di Google nel ranking dei motori di ricerca.
Consigli pratici per evitare attacchi hacker su WordPress
Quando si apre un sito web, la sicurezza deve essere messa al primo posto. Ecco quali sono tutte le alternative e i consigli per poter evitare un attacco hacker sul proprio sito WordPress:
• Nome tabella, username e password
In fase di installazione WP ti consiglia di scegliere un nome tabella (wp_). Cambia la radice della tabella con un codice alfanumerico, in questo modo aumenterai la sicurezza del tuo database. Ad installazione avvenuta inoltre puoi decidere il nome utente dell’amministratore del sito che solitamente è “admin”. Cambia questo nome utente e scegli una password alfanumerica abbastanza complessa.
• Aggiorna sempre Worpress e i vari plugin.
Non lasciare mai nulla senza aggiornamenti, cerca sempre di installare l’ultima versione del programma. Abbiamo visto come molti di questi possano comportare un vero pericolo.
• Cancella temi e plug in che non utilizzi.
Non appesantire il sito con temi e plugin che non sono più utili, fai invece una pulizia completa ogni due-tre mesi. In questo modo il sito sarà più fruibile e meno incline agli attacchi.
• Effettua back up periodici.
Fai sempre una copia del sito, da poter utilizzare in caso di ripristino. Avere un salvataggio dell’ultima configurazione può aiutare a ripartire da capo in caso di attacco. Per fare questo puoi usare uno dei tanti plugin di backup (come ad esempio WP-DB-Backup) oppure farti attivare dal tuo hosting i backup automatici sul tuo spazio web. In questo modo non dovrai preoccuparti di effettuare i backup periodici perchè sarà direttamente l’hosting ad effettuarli.
• Utilizza programmi per evitare intrusioni.
Esistono molti software pensati appositamente per poter evitare attacchi hacker. Utilizza sempre quelli più aggiornati e consigliati dagli esperti: in questo modo il sito sarà sempre ben protetto da ogni intrusione. Uno dei migliori plugin per proteggere un sito WP è IThemes Security. Questo software possiede diversi livelli di protezione. Può ad esempio cambiare il percorso per accedere al pannello di controllo (questo solitamente è …/wp-admin o …/wp-login.php). Ti permette di impostare l’autenticazione a due fattori, bloccare i tentativi di accesso ripetuti e tanto altro. Un altro plugin molto valido è Wordfence che può essere molto utile in caso di attacco in corso. Questo software è una sorta di antimalware per i siti WP che permette di scansionare l’intero sito a caccia di codice nocivo.
Conclusioni
Al giorno d’oggi gli attacchi informatici fanno parte della cronaca quotidiana. Vengono sistematicamente violati i sistemi di sicurezza di importanti istituzioni e gli attacchi a siti web minori sono alla portata di tutti. Con questi consigli, naturalmente, non possiamo scongiurare al 100% questi rischi ma limitarci a mitigare queste vulnerabilità.
Maggiori informazioni su LucianoCaruso.it
[amazon_link asins=’8820363585,8820378205,8820372916,8820348098,B00C5K2RAE’ template=’ProductCarousel’ store=’4writing-21′ marketplace=’IT’ link_id=’65dab371-d416-11e7-ab4b-b9399ce4ede4′]