Le 10 principali vulnerabilità di sicurezza di WordPress e i modi per risolverle
Questa citazione è abbastanza buona da darti un’idea dei problemi di sicurezza che si stanno verificando in tutto il mondo. La sicurezza dei siti web, infatti, è un argomento che da tempo regala notti insonni ai proprietari dei siti. Nessuno è stato in grado di ottenere il 100% di sicurezza per il proprio sito aziendale.
Secondo un sondaggio condotto da Juniper Research, il crimine informatico costerà alle aziende oltre 2 trilioni di dollari entro il 2019. Si tratta di una statistica allarmante e dimostra che giorno dopo giorno la protezione di un sito Web sta diventando molto difficile. Allo stesso tempo, devi trovare i modi per proteggere il tuo sito, poiché contiene i tuoi dati più importanti e le informazioni sensibili.
Come tutti sapete, WordPress alimenta il 31% di Internet e, pertanto, è molto chiaro che la piattaforma WordPress dovrà affrontare il maggior numero di problemi di sicurezza web. La maggior parte degli utenti si fida di questa meravigliosa piattaforma ed è per questo che ha costruito i propri siti aziendali su di essa.
Tuttavia, secondo una ricerca condotta da Sucuri, WordPress è la piattaforma web più infetta per l’anno 2018.
Pertanto, diventa importante per tutti voi essere a conoscenza delle varie vulnerabilità di sicurezza di WordPress e dei modi per risolverle. Quindi, iniziamo e analizziamo ogni vulnerabilità una per una.
Esistono due tipi di aziende: quelle che sono state hackerate e quelle che ancora non sanno di essere state hackerate.
– Giovanni Camere
Le 10 principali vulnerabilità di sicurezza di WordPress
- Hosting Web non sicuro
- Utilizzo di password debole
- WordPress non aggiornato
- SQL Injection
- Dimenticare di proteggere il file di configurazione di WordPress
- Non si aggiornano plugin o temi
- Utilizzo di FTP normale
- Non modificare il prefisso della tabella di WordPress
- Malware
- Autorizzazioni file errate
1 Hosting Web non sicuro
Questo è forse uno dei motivi principali per cui i siti Web WordPress vengono facilmente infettati. Come tutti gli altri siti Web, anche il sito Web WordPress è ospitato sul server. A volte ciò che accade è che le società del provider di hosting non proteggono la loro piattaforma. In questo tipo di scenario, ci sono tutte le possibilità che il tuo sito Web WordPress possa essere attaccato da un estraneo.
Modo per risolvere questo problema
Il modo migliore per risolvere questo problema è ospitare il tuo sito Web WordPress su alcune delle migliori piattaforme di hosting. Ecco un elenco dei migliori provider di hosting WordPress che puoi utilizzare per il tuo sito Web aziendale.
I migliori provider di hosting WordPress
- Bluehost
- HostGator
- SitoTerra
- DreamHost
- InMotion Hosting
2 Utilizzo di una password debole
Le password sono una parte fondamentale della sicurezza del tuo sito Web WordPress. Devi sempre assicurarti di utilizzare una password complessa per il tuo account WordPress. Secondo una ricerca condotta da WPTemplate, l’8% dei siti Web WordPress in tutto il mondo viene violato a causa della password settimanale. Una password settimanale può fornire un facile accesso alle seguenti cose:
- Account amministratore WP
- Account C-Panel
- Conto FTP
- Il tuo database WordPress
Ecco perché diventa estremamente vitale avere una password complessa per il tuo sito Web WordPress.
Modo per risolvere questo problema
-
Forma una password complessa
Uno dei modi in cui puoi risolvere questo problema è creare una password complessa per il tuo sito. Cerca sempre di utilizzare la combinazione di alfabeto, numeri, caratteri speciali, ecc. per creare una password. Ti aiuterà a creare una password complessa che non può essere indovinata facilmente.
-
Utilizza un gestore di password
L’altro modo per risolvere questo problema è utilizzare i gestori di password. Un gestore di password è un’applicazione che ti consente di archiviare tutte le tue password in un unico posto e quindi gestirle tramite una password principale. L’USP di qualsiasi gestore di password è che hanno una funzionalità di riempimento automatico.
Ecco un elenco di alcuni dei migliori gestori di password:
- LastPass
- 1Password
- Dashlan
-
Autenticazione a due fattori
Questo è uno dei modi migliori per proteggere il tuo sito Web WordPress dal furto di password. In uno scenario di autenticazione a due fattori, se un utente malintenzionato è in grado di indovinare la password del tuo sito Web WordPress, non potrà accedere al tuo sito. Lui / lei richiederà un codice di sicurezza che viene inviato al tuo cellulare. In questo modo, sarai in grado di proteggere il tuo sito web.
Esistono modi principali per configurare l’autenticazione a due fattori in WordPress:
- Verifica SMS
- Applicazione Google Authenticator
3 Non aggiornare WordPress
Ci sono molti utenti che si sentono a proprio agio con una delle versioni di WordPress e, pertanto, non aggiornano la loro versione di WordPress a intervalli regolari. Il motivo principale alla base è che temono che possa rompere il loro sito web. Tuttavia, ogni nuova versione di WordPress include correzioni per bug di sicurezza ed è per questo che diventa importante per te aggiornare il tuo sito web.
Modo per risolvere questo problema
Controlla sempre l’ultima versione di WordPress e cerca di mantenere aggiornato il tuo sito web. Ciò ridurrà al minimo le possibilità di eventuali problemi di sicurezza. Per coloro che temono che l’aggiornamento di WordPress crei un guasto al sito, è possibile eseguire il backup del proprio sito Web. Quindi, se la nuova versione non funziona secondo i tuoi requisiti, puoi sempre tornare indietro.
4 Iniezione SQL
SQL Injection è uno dei metodi più antichi per ottenere l’accesso al sito web. Come tutti sapete, SQL è un linguaggio utilizzato per lavorare con il database di WordPress ed è per questo che in questo tipo di attacco gli hacker iniettano comandi SQL nel vostro sito per recuperare le informazioni. Gli hacker stanno diventando intelligenti giorno dopo giorno e ogni giorno o l’altro escogitano una nuova SQL injection. Quindi, come proprietario di un sito web, dovresti essere consapevole dei modi per sbarazzarti di questo problema.
Modo per risolvere questo problema
-
Cerca vulnerabilità SQL Injection
Dovresti verificare regolarmente la presenza di problemi di SQL Injection nel tuo sito Web WordPress. Tuttavia, questo può essere un compito molto difficile da eseguire manualmente ed è per questo che dovresti utilizzare alcuni strumenti di scansione di sicurezza a tale scopo. Ecco un elenco dei migliori strumenti di scansione della sicurezza:
- Scansione di sicurezza di WordPress
- Succhi SiteCheck
- WPScan
-
Aggiunta di un codice al tuo file .htaccess
Un altro modo per impedire SQL Injection è aggiungere un particolare codice nel file .htaccess. .htaccess è un file di configurazione che viene utilizzato sui server web e quindi, modificando quella parte sarai in grado di limitare l’accesso degli estranei al tuo database WordPress.
Aggiungi il seguente codice nel tuo file .htaccess:
RewriteEngine On RewriteBase / RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC] RewriteRule ^(.*)$ - [F,L] RewriteCond %{QUERY_STRING} ../ [NC,OR] RewriteCond %{QUERY_STRING} boot.ini [NC,OR] RewriteCond %{QUERY_STRING} tag= [NC,OR] RewriteCond %{QUERY_STRING} ftp: [NC,OR] RewriteCond %{QUERY_STRING} http: [NC,OR] RewriteCond %{QUERY_STRING} https: [NC,OR] RewriteCond %{QUERY_STRING} (|%3E) [NC,OR] RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR] RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR] RewriteCond %{QUERY_STRING} ^.*([|]|(|)||ê|"|;|?|*|=$).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*("|'|||{||).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^(.*)$ - [F,L]
5 Dimenticare di proteggere il file di configurazione di WordPress
Il file di configurazione di WordPress (wp-config.php) comprende le credenziali di accesso al database di WordPress. Pertanto, se qualche estraneo ottiene l’accesso a questo file, può rubare le tue informazioni e causare danni al tuo sito web. Pertanto, diventa necessario fare tutto il possibile per proteggere questo file.
Modo per risolvere questo problema
Uno dei modi più semplici per proteggere il file wp-config.php è modificare il file .htaccess e limitare l’accesso. A tale scopo, aggiungi semplicemente il seguente snippet al tuo file .htaccess:
order allow,deny
deny from all
6 Non aggiornare plugin o temi
Proprio come il core di WordPress, è importante utilizzare l’ultima versione dei plugin o dei temi nel sito web di WordPress. L’utilizzo di una versione obsoleta di qualsiasi plug-in o tema può rendere il tuo sito vulnerabile alle minacce alla sicurezza. Secondo un sondaggio condotto da WPWhiteSecurity, il 54% delle vulnerabilità globali di WordPress è dovuto ai plugin.
Modo per risolvere questo problema
Controlla sempre l’aggiornamento in uno qualsiasi dei tuoi plugin e temi. Assicurati di utilizzare l’ultima versione disponibile su WordPress. Seguendo questa metodologia, ridurrai al minimo le possibilità di minacce alla sicurezza nel tuo sito Web WordPress.
7 Utilizzo di FTP normale
Per chi non lo sapesse, gli account FTP vengono utilizzati per caricare un file sul server del tuo sito Web utilizzando un client FTP. La maggior parte dei provider di hosting supporta la connessione FTP utilizzando diversi tipi di protocolli: Simple FTP, SFTP o SSH.
La maggior parte dei proprietari di siti Web WordPress commette l’errore di utilizzare un semplice FTP. Ora, ciò che accade in un semplice FTP è che la tua password viene inviata al server in forma non crittografata. Quindi, chiunque possa hackerare il server può ottenere un facile accesso al tuo sito Web WordPress.
Modo per risolvere questo problema
Invece di utilizzare FTP, puoi optare per l’opzione SFTP o SSH. Non è necessario modificare il client FTP per tale scopo. Basta cambiare il protocollo in “SFTP-SSH” durante la connessione al tuo sito web. Utilizzando questo protocollo, sarai in grado di inviare la password al server in forma crittografata che riduce al minimo il rischio di problemi di sicurezza.
8 Non modificare il prefisso della tabella di WordPress
Come tutti sapete, per impostazione predefinita tutte le tabelle WordPress create nel vostro database iniziano con un prefisso chiamato ks29so_. Alla maggior parte degli sviluppatori di WordPress non interessa cambiare questo prefisso, poiché ritengono che non influirà sulle prestazioni del sito.
In costante a ciò, questo prefisso rende il tuo sito Web WordPress vulnerabile ai problemi di sicurezza. Il motivo è che un utente malintenzionato può facilmente indovinare il nome delle tabelle del database di WordPress. Pertanto, dovresti provare a resuscitare questo problema il prima possibile.
Modo per risolvere questo problema
Invece di utilizzare il prefisso predefinito per le tabelle del database di WordPress, dovresti definire il tuo prefisso di natura complicata in modo che nessuno possa indovinarlo. Puoi modificare il prefisso delle tabelle del tuo database WordPress al momento dell’installazione. Quindi, ricorda sempre quel punto. Dopodiché, non avrai la possibilità di cambiare il prefisso.
Ecco come modificare il prefisso del database di WordPress per migliorare la sicurezza:
9 Malware
Malware è l’abbreviazione di software dannoso. In altre parole, si può dire che si tratta di un codice utilizzato per ottenere l’accesso ad un sito web in maniera non autorizzata. Un sito Web violato indica chiaramente che è stato iniettato un malware. Ora, se vuoi riconoscere il malware sul sito, prova a guardare i file modificati di recente.
Ci possono essere molti tipi di infezioni da malware sul web, ma per WordPress, quattro principali infezioni da malware sono elencate di seguito:
- Backdoor
- Download drive-by
- Trucchi farmaceutici
- Reindirizzamenti dannosi
Modo per risolvere questo problema
Eventuali problemi di malware possono essere facilmente identificati cercando il file modificato di recente e quindi rimuovendo quel file dal tuo sito Web WordPress. L’altro modo per affrontare questo problema è installare una nuova versione di WordPress o ripristinare il sito Web di WordPress dal backup recente. Entrambi questi metodi ti aiuteranno a ridurre al minimo le vulnerabilità della sicurezza.
10 autorizzazioni file errate
I permessi dei file sono l’insieme di regole utilizzate dal server web. Aiuta il tuo server a controllare l’accesso al tuo file sul tuo sito Web WordPress. Ora, a volte ciò che accade è che l’utente imposta autorizzazioni di file errate che consentono agli aggressori di accedere al file e modificarlo in base alle proprie esigenze, il che può causare gravi danni al tuo sito Web WordPress.
Modo per risolvere questo problema
Il modo migliore per risolvere questo problema è impostare l’autorizzazione file corretta per il tuo sito Web WordPress. L’autorizzazione del file su qualsiasi sito Web WordPress dovrebbe essere come elencato di seguito:
- 755 o 750 per tutte le directory
- 644 o 640 per i file
- 600 per wp-config.php
Impostando queste autorizzazioni, sarai in grado di limitare l’accesso al tuo sito Web WordPress che ti aiuterà a proteggerlo dagli aggressori.
Pensieri finali
La sicurezza è stata una delle principali preoccupazioni per i proprietari di siti Web nel corso degli anni. Anche dopo così tante ricerche condotte in questo settore, nessuno è stato in grado di affermare di essere sicuro al 100%. Questo mostra il livello di complessità che si deve affrontare mentre si lavora con questo problema.
Tenendo conto di ciò, abbiamo cercato di fornirti le 10 principali vulnerabilità di sicurezza di WordPress e i modi per risolverle che ti aiuteranno sicuramente nel prossimo futuro.
Quali sono i tuoi pensieri su questo argomento? Menzionali nella nostra sezione commenti. Grazie!