10 Errori Di Sicurezza Su WordPress Che Non Dovresti Commettere

0
143

Gli errori di sicurezza di WordPress sono piuttosto facili da commettere, e possono essere basati su informazioni obsolete, falsi miti o semplicemente non conoscere le migliori “best pratiches” e accorgimenti da mettere in atto per mettere in sicurezza il tuo sito WordPress.

10 Errori Di Sicurezza Su WordPress Che Non Dovresti Commettere

Sul web niente è sicuro, ma ciò non vuol dire che possiamo tenere spalancate le porte di accesso al nostro sito, quindi è meglio fare un piccolo sforzo per evitare di dover spendere ore e ore a cercare di ripristinare il proprio sito dopo che è stato compromesso. In questo post, tratteremo i 10 principali errori di sicurezza di WordPress e i suggerimenti su come evitarli, come per esempio la qualità dell’hosting, l’accesso amministratore di WordPress, i temi e i plugin che si utilizza, etc…

1. Scegliere un hosting scadente

Non tutti gli hosting web sono creati uguali e sceglierne uno esclusivamente sul prezzo può finire per costarti molto di più a lungo in termini di sicurezza. La maggior parte degli ambienti di hosting condiviso è sicura, ma alcuni non separano adeguatamente gli account utente. Se gli account utente non sono separati correttamente, un singolo account compromesso potrebbe compromettere la sicurezza di tutti i siti web ospitati su quel server condiviso.

Il tuo hosting dovrebbe essere vigile sull’applicazione delle ultime patch e seguire altre importanti best practice per la sicurezza relative al server e ai file.

CONSIGLIO: Scegli un hosting affidabile per il tuo sito web con un solido record di sicurezza.

2. Non predisporre di un piano di backup di WordPress

I backup e la sicurezza non sembrano a prima vista collegati, ma fidati, avere un backup del tuo sito Web dopo un attacco ransomware può davvero salvare ore e ore di lavoro e prevenire che il sito sia completamente irrecuperabile.

Un attacco ransomware si verifica quando un hacker esegue un processo di crittografia dei file del tuo sito web, rendendoli illegginili e inaccessibili. Per riottenere l’accesso al tuo sito web, hai bisogno di una chiave per decrittografare i file. Per fare questo l’hacker in genere richiede dei soldi per fornirti la chiave, e potrebbe anche darsi che si prenda il denaro senza fornirti neanche la chiave!

Avere un backup del tuo sito Web WordPress ti consente di ripristinarlo a uno stato precedente rispetto all’hackeraggio e così potrai riacquistare l’accesso al sito web senza dover pagare niente e fregare a tua volta l’hacker.

CONSIGLIO: calendarizza un backup sia dei file sia del database del tuo sito web.

3. Accessi poco sicuri al backend di WordPress

L’accesso al backend è la parte più attaccata e potenzialmente più vulnerabile di qualsiasi sito WordPress. Per impostazione predefinita, WordPress non impiega nessun tipo di sicurezza per limitare il numero di tentativi di accesso non riusciti. Senza un limite al numero di tentativi di accesso non riuscito, un utente malintenzionato può provare ad inserire una quantità infinita di nomi utente e password finché non ha successo.




Il login su WordPress è molto simile alla porta di una casa. Senza una serratura adeguata, sarebbe facile per chiunque entrare e iniziare a rubare, curiosare e spostare i mobili. Quindi se nella tua casa hai una serratura alla porta d’ingresso, a maggior ragione dovresti implementare delle limitazioni all’accesso del backend del tuo sito.

CONSIGLIO: Utilizza un plug-in di sicurezza di WordPress per limitare i tentativi di accesso non validi.

4. Nessuna protezione contro gli attacchi automatici dei bot

Un bot è un software programmato per eseguire un elenco specifico di attività. Gli sviluppatori creano una serie di istruzioni che un bot seguirà automaticamente senza che lo sviluppatore si debba curare di gestirlo. I robot eseguiranno questi compiti ripetitivi e banali molto più velocemente di un essere umano.

Alcuni di questi robot sono programmati con obiettivi nefasti come:

  • I robot “Brute Force” che setacciano Internet alla ricerca di accessi WordPress da attaccare.
  • I “Content Scraping Bots” che sono programmati per scaricare i contenuti del tuo sito web senza la tua autorizzazione. Il bot può duplicare il contenuto da utilizzare sul sito web del malintenzionato per migliorare la propria SEO e rubare il traffico del tuo sito.
  • Gli “spambot” che rovinano l’autorevolezza del tuo sito spammando nei commenti con promesse di diventare un milionario.

CONSIGLIO: evita questo errore di sicurezza di WordPress utilizzando la protezione bot automatizzata come Google reCAPTCHA sul tuo sito web.

5. Utilizzo di versioni vulnerabili di plugin, temi o Core WordPress

I plugin o i temi con vulnerabilità sono il più grande errore di sicurezza che puoi fare su WordPress. Mantenere aggiornato il software è una parte essenziale di qualsiasi strategia di sicurezza, e questo include il core di WordPress, i tuoi temi e plugin. Gli aggiornamenti non sono solo utili per correzioni di bug e nuove funzionalità. Gli aggiornamenti possono includere anche patch di sicurezza critiche. In pratrica se non aggiorni questi componenti, ti esponi ad un alta probabilità di attaccare il tuo computer, server, router o sito web.

Gli hacker prendono di mira le vulnerabilità di questo tipo perché sanno che le persone non sono in genere inclini ad aggiornare (inclusi plugin e temi sul tuo sito web). È uno standard del settore divulgare pubblicamente le vulnerabilità il giorno in cui vengono applicate le patch. Dopo che una vulnerabilità è stata divulgata pubblicamente, la vulnerabilità diventa una “vulnerabilità nota” per le versioni obsolete e senza patch del software. Il software con vulnerabilità note è un facile bersaglio per gli hacker.

Gli hacker amano bersagli facili. Avere un software obsoleto con vulnerabilità note è come dare a un hacker le istruzioni passo passo per entrare nel tuo sito Web WordPress: avere un plugin o un tema vulnerabile per il quale è disponibile una patch ma non applicarla è il principale colpevole dei siti Web WordPress compromessi.

CONSIGLIO: mantieni aggiornati tutti i tuoi plugin e temi per evitare l’errore di sicurezza di WordPress del software vulnerabile.

6. Utilizzare una password o un nome utente facilmente hackerabile

La sicurezza della password costituisce un grave errore su WordPress. In poche parole: un utente amministratore di WordPress con una password debole potrebbe minare tutte le altre misure di sicurezza del sito Web che hai messo in atto. Ecco perché la sicurezza degli utenti è una parte essenziale di qualsiasi strategia di sicurezza di WordPress.

Secondo il Verizon Data Breach Investigations Report, oltre il 70% dei dipendenti riutilizza le password al lavoro. Ma la statistica più importante del rapporto è che “l’81% delle violazioni legate all’hacking utilizzava password rubate o deboli”.

In un elenco compilato da Splash Data, la password più comune inclusa in tutti i dump di dati era “123456”. Un dump di dati è un database compromesso pieno di password utente scaricate da Internet. Riesci a immaginare quante persone sul tuo sito web utilizzano una password debole se consideriamo che “123456” è la password più comune nei dump di dati?

Gli strumenti degli hacker stanno migliorando sempre di più e possono aggirare le password più velocemente che mai. Per impostazione predefinita, WordPress utilizza una criptazione in chiave “MD5” per eseguire l’hashing delle password utente memorizzate nel database. Quindi, secondo gli esperti un hacker potrebbe decifrare una password di 8 caratteri quasi istantaneamente. Questo non è solo impressionante, ma è anche davvero inquietante.

A peggiorare le cose, anche se il 91% delle persone sa che riutilizzare le password è una cattiva pratica, il 59% le riutilizza comunque ad ogni occasione!

CONSIGLIO: il modo migliore per evitare questo errore è creare una policy per le password complesse e utilizzare l’autenticazione a due fattori.

7. Comunicazioni non crittografate (senza SSL)

Non crittografare le comunicazioni sul tuo sito web è un grave errore di sicurezza di WordPress. Ogni volta che effettuiamo un acquisto online, avviene la comunicazione tra il tuo browser e il negozio online. Ad esempio, quando inseriamo il nostro numero di carta di credito nel nostro browser, il nostro browser condividerà il numero con il negozio online. Dopo che il negozio riceve il pagamento, comunica al browser di informarti che l’acquisto è andato a buon fine.

Una cosa da tenere a mente sulle informazioni condivise tra il nostro browser e il server del negozio è che le informazioni effettuano diverse fermate durante il transito. Se la comunicazione non è crittografata, un hacker potrebbe rubare la nostra carta di credito prima che raggiunga la destinazione finale del server del negozio.

Per capire meglio come funziona la crittografia, pensa a come vengono consegnati i nostri acquisti. Se hai mai monitorato lo stato di consegna di un acquisto online, vedrai che il tuo ordine ha effettuato diverse fermate prima di arrivare a casa tua. Se il venditore non ha impacchettato correttamente il tuo acquisto, sarebbe facile per le persone vedere cosa hai comprato .

CONSIGLIO: avrai bisogno di un certificato SSL per crittografare la comunicazione sul tuo sito web. Se il tuo sito Web WordPress non dispone di SSL, la prima cosa che dovresti fare è chiedere al tuo hosting di fornirtene uno (anche quelli gratis come “OpenSSL”).

8. Monitoraggio della sicurezza insufficienti

Un monitoraggio insufficiente del tuo sito web rappresenta un errore di sicurezza di WordPress abbastanza importante, tanto da essere entrato nella top 10 di OWASP dei rischi per la sicurezza delle applicazioni web. Questa attività è una parte essenziale della tua strategia di sicurezza di WordPress, perchè ti aiuterà a identificare e bloccare gli attacchi, rilevare una violazione e accedere e riparare il danno arrecato al tuo sito web dopo un attacco riuscito.

Un monitoraggio insufficiente può portare a un ritardo nel rilevamento di una violazione della sicurezza. La maggior parte degli studi sulle violazioni mostra che il tempo necessario per rilevare una violazione è di oltre 200 giorni! Questa quantità di tempo consente a un utente malintenzionato di violare altri sistemi, modificare, rubare o distruggere dati.

CONSIGLIO: aggiungi un sistema per monitorare il tuo sito WordPress ed evitare questo errore di sicurezza. Puoi utilizzare alcune delle funzioni e dei filtri per sviluppatori forniti da WordPress per creare un sistema di monitoraggio, ma il modo più semplice per avviare un registro di sicurezza è installare un plugin per la sicurezza di WordPress come “iThems Security“.

9. Plugin e temi inutilizzati

Avere plugin e temi inutilizzati o inattivi sul tuo sito web è un grave errore di sicurezza di WordPress. Ogni pezzo di codice sul tuo sito web è un potenziale punto di ingresso per un hacker.

È pratica comune per gli sviluppatori utilizzare codice di terze parti, come le librerie JS, nei loro plugin e temi. Sfortunatamente, se le librerie non vengono mantenute correttamente, possono creare vulnerabilità che gli aggressori possono sfruttare per hackerare il tuo sito web.

CONSIGLIO: disinstalla ed elimina completamente eventuali plugin e temi non necessari sul tuo sito WordPress per limitare il numero di punti di accesso e codice eseguibile. Inoltre, evita di utilizzare plugin WordPress che non abbiano ricevuto un aggiornamento da oltre sei mesi.

10. Installazione di software da fonti non attendibili

L’installazione di software da fonti non attendibili è uno dei modi più veloci per creare un errore di sicurezza di WordPress. Dovresti diffidare di una versione “gratis” di plugin commerciali. Spesso queste versioni gratuite o fortemente scontate di plug-in pro contengono codice dannoso.

Non importa se stai attendo a qualsiasi cosa che riguardi la sicurezza, se poi sei direttamente tu a installare malware.

CONSIGLIO: Dovresti installare solo il software che ottieni da WordPress.org, noti siti web commerciali come “Theme Forest” o direttamente da sviluppatori affidabili. Se il plug-in o il tema di WordPress non viene distribuito sul sito web dello sviluppatore, ti consigliamo di indagare e pensarci due volte prima di scaricarlo. Contatta gli sviluppatori per vedere se sono in qualche modo affiliati al sito Web che offre il loro prodotto a un prezzo gratuito o scontato.

.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.