5 minacce alla sicurezza predefinite in WordPress e come risolverle

Sicurezza di WordPress

WordPress è un software estremamente popolare e completamente open source. La cosa grandiosa in termini di sicurezza è che c’è una grande comunità che lavora con essa, che è in grado di scoprire bug e rischi per la sicurezza più rapidamente di quanto si possa fare con una soluzione CMS interna. (È difficile scoprire le debolezze quando un modo per scoprirlo è in realtà sfruttare la debolezza e avere un’enorme base di utenti rende la scoperta molto più probabile.)


L’aspetto negativo è che gli hacker con cattive intenzioni sanno esattamente come è costruito il tuo sito web. Hanno già il “progetto” sul tuo sito. E se ci sono punti deboli nel core, nei temi o nei plug-in che utilizzi, è qualcosa che saranno in grado di conoscere senza mai accedere al back-end del tuo sito.

Quindi, in questo post, ti mostrerò come risolvere 5 minacce alla sicurezza presenti in qualsiasi installazione completamente predefinita di WordPress. (Se hai già preso alcune precauzioni, potresti scoprire di aver già riparato uno o due, ma è importante correggerli tutti e cinque per ridurre al minimo il rischio di essere violato.)

Il tuo sito mostra che stai utilizzando WordPress, oltre alla versione

Versione di WordPress

La versione predefinita di WordPress avrà righe di codice che rivelano che il tuo sito è realizzato utilizzando WordPress, anche fino alla versione per le persone che sanno dove cercare. A seconda del tema, potrebbe anche essere mostrato visivamente su ogni pagina del tuo sito web.

Il motivo per cui questo potrebbe essere un rischio per la sicurezza è che le persone potrebbero scegliere come target il tuo sito per nessun altro motivo se non quello basato su WordPress. Se qualcuno rileva una debolezza della sicurezza nel core di WordPress, un tema o un plug-in, potrebbe trovare la strada per il tuo sito per sfruttarlo. Considerando che se avessi nascosto con successo che il tuo sito è stato creato con WordPress, le persone che cercano siti WordPress utilizzando bot o crawler sarebbero indotti a pensare che il tuo sito non fosse un obiettivo praticabile.

Come sistemarlo:
Per risolvere questo problema, puoi utilizzare il plug-in Hide My WP. Con questo utile piccolo plug-in puoi evitare il traffico non necessario sul tuo server e allo stesso tempo rimanere al sicuro dagli attacchi che colpiscono specificamente i siti WordPress.

Tutti sanno dove si trova la tua pagina di accesso / area di amministrazione

Accesso a WordPress

Se stai ancora dimostrando di utilizzare WordPress (ovvero non nascondendolo attivamente, ad esempio utilizzando un plug-in come Hide My WP), le persone con cattive intenzioni sapranno già dove tentare un attacco di forza bruta sul tuo sito.

Come sistemarlo:
Per correggere questa minaccia e ridurre drasticamente le possibilità di essere hackerati e per ridurre lo stress del server, dobbiamo impedire a persone malintenzionate e robot di raggiungere la nostra pagina di accesso.

Esistono due modi principali per farlo. Puoi modificare la posizione fisica della tua pagina di accesso in qualcos’altro usando un plug-in (o alcune righe di codice), oppure puoi limitare l’accesso alla tua pagina di accesso e all’area di amministrazione tramite indirizzi IP. Puoi farlo con un plugin dedicato a questa cosa particolare o con un plugin di sicurezza come Sucuri, Wordfence, iThemes Security Pro o Sicurezza e firewall WP tutto in uno.

WordPress ha un prefisso di tabella predefinito che tutti usano

Prefisso tabella WordPress

Un prefisso di tabella è ciò che precede i nomi delle tabelle nel database. Invece degli utenti, con il prefisso WordPress standard, sarebbe wp_users. Se si utilizza il prefisso di tabella predefinito, è più facile per le persone accedere al proprio sito sfruttando i possibili punti deboli dell’iniezione sql. Perché sanno esattamente dove inserire le informazioni nel database per ottenere l’accesso al tuo sito.

In realtà uno dei miei siti Web è stato violato a causa dell’iniezione di sql, quindi questa è una minaccia molto reale che è necessario adottare contromisure.

Come sistemarlo:
Per fortuna è molto facile rimuovere questa minaccia. Se hai già installato WordPress utilizzando il prefisso wp_ predefinito, puoi facilmente cambiarlo utilizzando un plug-in come Sucuri. Innanzitutto, è necessario eseguire il backup del database prima di utilizzare tale opzione in quanto vi è una minima possibilità che qualcosa non vada. Puoi farlo con un clic di un pulsante. Quindi puoi scegliere un nuovo prefisso o semplicemente lasciare che Sucuri generi casualmente il nuovo prefisso per te.

Nota: se stai installando WordPress per la prima volta, puoi modificarlo nell’interfaccia di installazione.

I file di temi e plugin di WordPress sono modificabili tramite Dashboard

Editor di plugin per WordPress

Il problema è che se un hacker ottiene l’accesso al tuo sito Web, può causare molti danni. Possono indurre il tuo sito Web a infestare altre persone con malware (che potrebbe finire con il fatto che il tuo sito venga inserito nella blacklist di Google e deindicizzato dai motori di ricerca), deturpando il tuo sito Web o aprendo facilmente backdoor.

Come sistemarlo:
Puoi aggiungere questa riga di codice al tuo file wp-config.php:

define ('DISALLOW_FILE_EDIT', true);

Oppure usa un plugin di sicurezza per farlo per te (che in pratica inserirà solo quella riga di codice per te). L’unico problema è che ci sono plugin che consentono alle persone di attivare e disattivare questa capacità, quindi un hacker molto dedicato potrebbe essere in grado di installare un plug-in, accenderlo e quindi ottenere l’accesso alla modifica del codice senza accesso FTP.

Se vuoi essere estremamente accurato e proteggerti da questo, puoi disabilitare tutti gli aggiornamenti / installazioni di plugin e temi aggiungendo questa riga di codice a wp-config.php:

define ('DISALLOW_FILE_MODS', true);

Ma ovviamente questo significherebbe che dovresti cambiare il suo valore in falso ogni volta che desideri aggiornare o installare un plug-in o un tema (non consigliamo davvero questa opzione, poiché mantenere temi e plug-in aggiornati è uno dei modi migliori per garantire che il tuo sito sia meno vulnerabile).

WordPress ha impostazioni del firewall molto aperte che possono consentire anche a bot dannosi noti di tentare attacchi

WordPress Firewall Serrings

Le impostazioni del firewall predefinite di WordPress sono in realtà sul lato liberale. Ciò significa che alcuni robot indesiderati e altri visitatori indesiderati ottengono il via libera.

Come sistemarlo:
Puoi migliorarlo installando le regole di base del firewall della blacklist 5G, copiandolo manualmente nel tuo file .htaccess (puoi trovarlo qui) o installando questo plugin, o usa un plugin di sicurezza per ottimizzare al meglio le regole nel tuo .htaccess.

Tentativi di accesso illimitati a WordPress

Sebbene l’impostazione predefinita sia in effetti tentativi di accesso illimitati, potresti aver scelto di limitare i tentativi di accesso quando hai installato WordPress sul tuo sito. Se non l’hai fatto, tuttavia, è una soluzione incredibilmente facile.

Come sistemarlo:
Installa semplicemente il Plug-in Limita tentativi di accesso. Oppure, se stai utilizzando l’hosting WPEngine, questa è una funzione che hanno già integrato per te – non è richiesto alcun plug-in! Se proteggi già la tua area di accesso consentendo solo ai tuoi indirizzi IP di accedere al dasbhboard, non dovrai farlo. Ma se hai appena nascosto l’indirizzo della tua pagina di accesso, è una bella doppia protezione da potenziali attacchi di forza bruta.

Conclusione

La criminalità informatica sta rapidamente crescendo e Internet sta arrivando a casa a più criminali rispetto al “mondo reale”. In alcuni paesi questo è già successo. E mentre gran parte di questi sono frodi con carte di credito e bancarie, c’è un numero crescente di hacker là fuori e come proprietari di siti Web dobbiamo proteggere noi stessi e i nostri siti nel miglior modo possibile.

Mentre un’installazione predefinita di WordPress presenta alcuni punti deboli, la bellezza di WordPress è davvero nella facilità con cui puoi risolvere praticamente tutti i tuoi problemi con il tuo sito, comprese le minacce alla sicurezza menzionate in questo post. Oltre ad avere un nome utente univoco e una password complessa, installando un plug-in di sicurezza, modificando alcune impostazioni e magari inserendo una riga di codice o due, puoi già ridurre significativamente il rischio che il tuo sito venga violato o infestato da malware.

Hai preso delle misure per migliorare la sicurezza del tuo sito WordPress? Che tipo? Ci piacerebbe ascoltare alcuni dei tuoi consigli e suggerimenti! Per favore fateci sapere nei commenti.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map