Indice
Un sito WordPress violato è dannoso tanto quanto un furto con scasso in casa. Può distruggere completamente la vostra tranquillità e avere un impatto negativo sul vostro business online.
Ho scritto questo articolo su come ci si deve comportare quando un sito web WordPress viene hackerato.
Perché gli hacker prendono di mira i siti WordPress? La risposta è relativamente semplice: WordPress è la più grande piattaforma per la creazione di siti web al giorno d’oggi, quindi c’è una base più ampia per attaccare; questo attira l’attenzione dei criminali online.
Quindi, in che modo un hacker può violare il vostro sito web?
A seconda del tipo di attacco, il vostro sito web potrebbe subire una delle seguenti conseguenze:
– Potrebbe essere defacciato completamente;
– Potrebbe essere caricato o funzionare molto lentamente su qualsiasi dispositivo;
– Potrebbe bloccarsi completamente e non funzionare correttamente;
– Potrebbe visualizzare il terribile “Schermo bianco della morte”;
– I suoi visitatori in arrivo potrebbero essere reindirizzati ad altri siti web sospetti;
– Potrebbe perdere tutti i vostri preziosi dati dei clienti.
Questo elenco non è esaustivo al massimo, ma rende l’idea.
Ora che sappiamo come un hacking di successo può avere un impatto negativo sul vostro sito web e sul vostro business online, esaminiamo i 10 principali motivi che stanno dietro agli hack di WP e preveniamoli.
1. Un Web Host insicuro
Come ogni sito web, WordPress è ospitato su un host web o un server. Purtroppo, la maggior parte dei proprietari di siti web non prestano molta attenzione all’host che selezionano e scelgono il più economico che riescono a trovare. Ad esempio, è più conveniente ospitare un sito web su un piano di hosting condiviso – uno che condivide le risorse del server con molti altri siti web come il tuo.
Questo può rendere il vostro sito vulnerabile agli attacchi anche se il vostro sito non è stato violato, basta che qualsiasi altro sito web sul server condiviso lo sia. Un singolo sito hackerato può consumare la larghezza di banda complessiva del server e influire sulle prestazioni di tutti gli altri siti.
L’unico modo per risolvere questo problema è optare per un host affidabile e un server virtuale o dedicato.
Suggerimento: se stai già utilizzando un piano di hosting condiviso, controlla con i tuoi host se offrono hosting VPS e fai il cambio.
2. Uso di password deboli
Le password deboli sono la ragione principale dietro il successo degli attacchi di forza bruta che prendono di mira il tuo account. Ancora oggi gli utenti continuano a utilizzare password deboli e comuni come “password” o “123456”; se sei uno di loro, il tuo sito web potrebbe finire nei guai!
Indovinare le password deboli permette agli hacker di entrare negli account di amministrazione dove possono infliggere il massimo danno possibile.
Come si risolve questo problema? Semplice, assicuratevi che tutti gli utenti del vostro account (compresi gli utenti admin) configurino password forti per le loro credenziali di accesso. Con almeno 8 caratteri, le password devono essere un mix di alfabeti maiuscoli e minuscoli, numeri e simboli.
Per una maggiore sicurezza, installare uno strumento di gestione delle password in grado di generare e memorizzare automaticamente le password forti.
Suggerimento: È possibile utilizzare un plugin per reimpostare le password per tutti gli utenti.
3. Una versione WordPress non aggiornata
Il software obsoleto è uno dei motivi più comuni per cui i siti web vengono hackerati. Nonostante il download sia gratuito, la maggior parte degli utenti del sito rimanda l’aggiornamento del sito all’ultima versione, per timore che gli aggiornamenti causino il crash del sito o incompatibilità con i vari plugin installati.
Gli hacker approfittano di qualsiasi vulnerabilità o bug in una versione più vecchia del core e causano problemi tramite SQL Injections, WP-VCD Malware, SEO Spam e altri problemi importanti come il reindirizzamento del sito web verso un altro sito.
Come si risolve questo problema? Quando vedete una notifica di un aggiornamento sulla vostra dashboard, aggiornate il vostro sito il prima possibile (fate sempre un backup e verificate la compatibilità).
Suggerimento: se siete preoccupati che gli aggiornamenti blocchino il vostro sito web “live”, potete prima testare gli aggiornamenti su un sito di “staging”.
4. Plugin e temi WordPress obsoleti
Analogamente al punto precedente, gli hacker approfittano anche di plugin e temi obsoleti, non utilizzati o abbandonati su siti web. Con oltre 55.000 plugin e temi disponibili, è facile installare un plugin o un tema, anche da siti web non sicuri o non affidabili.
Inoltre, molti utenti non aggiornano i plugin/temi installati all’ultima versione o non trovano la versione aggiornata. Questo rende più facile il lavoro degli hacker, consentendogli di infettare i siti con facilità.
Come si evita questo problema? Come per la versione principale di WP, aggiornate regolarmente ogni plugin/tema installato sul vostro sito. Fate un inventario di tutti quelli inutilizzati e rimuoveteli o sostituiteli con alternative migliori. Lo stesso vale per quei plugin che non sono più supportati dagli svilupatori.
Suggerimento: Consiglio di mettere da parte del tempo ogni settimana per eseguire gli aggiornamenti. Testateli su un sito di staging e poi aggiorna il sito live.
5. Nome utente amministratore comune
Oltre alle password deboli, gli utenti creano anche nomi utente comuni facili da indovinare.
Questo include i nomi utente comuni per gli utenti admin come – “admin”, “admin1”, o “admin123”. I nomi utente admin comuni rendono più facile per gli hacker entrare negli account admin e controllare i file di backend nell’installazione di WP.
Come si evita questo problema? Se si utilizzano tali nomi utente facili da indovinare, cambiateli immediatamente con un nome utente unico. Il modo più semplice per farlo è attraverso lo strumento di gestione degli utenti del tuo account di hosting, eliminando il precedente utente amministratore e creando un nuovo utente amministratore con un nome utente unico.
Come primo passo, cambiate il nome utente predefinito del vostro utente amministratore e limitate gli utenti che hanno privilegi di amministratore.
Suggerimento: WordPress ha 6 diversi ruoli utente con permessi limitati. Concedere l’accesso come amministratore solo agli utenti che ne hanno realmente bisogno.
6. Uso di Plugin/temi “Nulled”
Tornando all’importanza dei plugin/temi, gli utenti hanno accesso a molti siti web che vendono copie “nulled” o pirata di plugin e temi popolari e a pagamento. Anche se questi sono gratuiti, sono spesso pieni di malware. Possono compromettere la sicurezza complessiva del vostro sito web e rendere più facile lo sfruttamento da parte degli hacker.
Essendo una copia pirata, i plugin/temi “nulled” non hanno aggiornamenti disponibili da parte del suo team di sviluppo, quindi non avranno alcuna correzione di sicurezza.
Come si risolve questo problema? Semplice, tanto per cominciare, scarica solo plugin e temi originali da siti web e mercati di fiducia.
Pro tip: Se non vuoi pagare per i plugin e i temi a pagamento o premium, opta per una versione gratuita degli stessi strumenti che avranno funzionalità limitate ma che saranno comunque più sicuri da usare rispetto alla versione nulled.
7. Accesso non protetto alla cartella wp-admin
Per prendere il controllo del vostro sito, gli hacker spesso cercano di penetrare e controllare la vostra cartella wp-admin nella vostra installazione. In qualità di proprietario del sito web, devi prendere misure per proteggere la tua cartella wp-admin.
Come puoi proteggere la tua cartella wp-admin? In primo luogo, limitare il numero di utenti che hanno accesso a questa cartella critica. Inoltre, richiedete la protezione con password come ulteriore livello di sicurezza per l’accesso alla cartella wp-admin. Potete farlo utilizzando la funzione “Password Protection Directories” del cPanel nel vostro account web host.
Suggerimento: Oltre a queste correzioni, potete anche implementare la protezione dell’autenticazione a due fattori (o 2FA) per tutti i vostri account di amministrazione.
8. Sito web non-SSL
Puoi facilmente migrare il tuo sito web HTTP verso HTTPS installando un certificato SSL sul tuo sito. SSL (o Secure Socket Layer) è una modalità sicura per crittografare qualsiasi trasmissione di dati tra il vostro server web e il browser client.
Senza questa crittografia, gli hacker possono intercettare i dati e rubarli. Inoltre, un sito web non sicuro può avere molte implicazioni negative per il vostro business – un abbassamento del ranking SEO, la perdita di fiducia dei clienti o un calo del traffico in entrata.
Come si risolve questo problema? È possibile ottenere rapidamente un certificato SSL dalla vostra società di hosting o dai fornitori di SSL. Esso codifica tutti i dati che vengono inviati e ricevuti dal vostro sito web.
Suggerimento: Puoi ottenere un certificato SSL gratuito da luoghi come Let’s Encrypt, ma questi forniscono una protezione limite che non sarà sufficiente ad esempio per un e-commerce.
9. Nessuna protezione Firewall
La mancanza di un firewall è un altro motivo comune per cui gli hacker possono aggirare le misure di sicurezza dei siti web e infiltrarsi nelle risorse backend. I firewall sono l’ultima linea di difesa contro gli hacker e funzionano come l’allarme di sicurezza installato a casa vostra. I firewall monitorano le richieste web provenienti da vari indirizzi IP, compresi quelli sospetti (o cattivi).
Possono identificare e bloccare le richieste che in passato sono note per essere dannose, impedendo così un facile accesso degli hacker al dominio del vostro sito web. I firewall delle applicazioni web possono contrastare vari attacchi, tra cui attacchi di forza bruta, XSS e iniezioni SQL.
Suggerimento: un firewall fornisce la sicurezza necessaria ed è la vostra prima linea di difesa. Ma è importante avere installato anche uno scanner di malware.
10. Mancanza di misure di irrobustimento di WordPress
In genere, gli hacker prendono di mira le aree più vulnerabili o i punti deboli all’interno di un’installazione WP, per accedere illegalmente o danneggiare il sito web. Il team di WordPress ha identificato queste aree vulnerabili e ha elaborato un elenco di 12 misure di irrobustimento raccomandate per ogni sito web.
Alcune di queste includono:
– Disabilitazione dell’Editor dei file;
– Impedire l’esecuzione di PHP in cartelle non attendibili;
– Cambiare le chiavi di sicurezza;
– Disabilitare le installazioni di plugin;
– Logout automatico degli utenti inattivi;
Come si implementano queste misure di indurimento? Mentre alcuni passaggi sono facili da capire, altri richiedono la competenza tecnica di come funziona WordPress.
Suggerimento: È possibile implementare misure di indurimento da soli. Tuttavia, alcune misure richiedono competenze tecniche, quindi in questi casi è molto più facile e sicuro usare un plugin.
