The Grumpy Designer affronta WordPress Malware
Pubblicato: 2022-10-12Mentre alcune professioni svaniscono nel tempo, ci sarà sempre bisogno di web designer. Come mai? Perché ogni anno che passa, il lavoro diventa più complesso. Arrivano nuove responsabilità che vanno oltre la portata degli strumenti automatizzati e senza codice.
La sicurezza del sito Web è un ottimo esempio. È sempre stata una preoccupazione, anche quando ho iniziato questo percorso a metà degli anni '90. Allora, la preoccupazione principale era una password FTP hackerata o un ex collega arrabbiato che cancellava/cancellava i file. In questi giorni, è molto di più. Un po' come un fastidioso insetto che si è trasformato in un enorme mostro marino.
E quel mostro ha completamente avvolto i suoi tentacoli attorno a questo designer scontroso. Il lavoro è diventato un circolo vizioso di infezione, pulizia e reinfezione da malware. Quindi ripeti.
L'obiettivo principale della malvagità del mostro è WordPress. Ciò non dovrebbe sorprendere, poiché il sistema di gestione dei contenuti (CMS) è costantemente sotto attacco. Viene fornito con il territorio di alimentare oltre il 40% del web.
Purtroppo, so di non essere l'unico ad affrontare questo tipo di debacle. Con questo, volevo condividere alcuni sproloqui, pensieri e suggerimenti per rimettere quel mostro al suo posto.
Essere attenti non è abbastanza
La fredda realtà della sicurezza del sito Web è che non ci sono garanzie. Praticamente ogni sito può essere compromesso da malware. Succede anche ai più attenti tra noi.
Come si applica a WordPress, fare attenzione significa tenere a mente alcune nozioni di base:
- Verifica del tema e dei plugin che installiamo;
- Applicare regolarmente gli aggiornamenti;
- Utilizzo di password sicure e complesse;
- Hosting del sito su un servizio che prende sul serio la sicurezza;
- Garantire che i permessi dei file siano in linea con i consigli di WordPress;
- Aggiunta di ulteriori livelli di difesa come plug-in di sicurezza e firewall;
Anche se c'è di più, le azioni di cui sopra forniscono una solida base. L'idea è di proteggersi dai tipi più elementari di attacchi. Si spera che determini anche alcuni tentativi più complessi.
L'aspetto frustrante di questo approccio è che sei forte quanto l'anello più debole della tua sicurezza. Anche i plugin affidabili possono contenere falle di sicurezza. E c'è una moltitudine di vettori che un utente malintenzionato può utilizzare per causare problemi, inclusi alcuni su cui non abbiamo il controllo diretto.
Pertanto, stare attenti non è abbastanza per respingere ogni attacco.
Ripulire un Hack è uno spreco di risorse
Nonostante l'adozione di misure per evitare problemi di sicurezza, gli hack continuano a verificarsi. E quando lo fanno, ripulire le conseguenze può essere un compito arduo.
Il processo prevede l'identificazione di eventuali file dannosi, inclusi i file core di WordPress legittimi che potrebbero essere stati modificati. Gli scanner di sicurezza come quelli che si trovano nel plug-in Wordfence possono aiutare a identificare i file, ma ci sono delle avvertenze.
Se l'account amministratore di un sito è stato compromesso o se un utente malintenzionato ha utilizzato una falla di sicurezza per accedere alla dashboard di WordPress, tutte le scommesse sono annullate. Avrebbero la possibilità di disattivare un plug-in di sicurezza. Da lì, potrebbero causare ogni sorta di caos rimanendo inosservati.
Inoltre, determinare in che modo il malware è arrivato sul tuo sito è raramente semplice. Non riesco a contare il numero di volte in cui ho pensato di aver trovato il colpevole, solo per essere smentito dopo le infezioni successive. Spesso è necessario esaminare i file e studiare i blog sulla sicurezza per ottenere una risposta. Eppure alcuni problemi possono rimanere un mistero.
Non solo questo è stressante per tutte le persone coinvolte, ma ostacola anche la tua capacità di lavorare su altri progetti. Una violazione della sicurezza è un tipo di situazione che coinvolge tutti. Se ti capita di essere un libero professionista, le tue mani sono inevitabilmente impegnate nella riparazione di un sito compromesso.
Cos'altro possono fare i web designer?
Come ho detto in precedenza, c'è solo così tanto sotto il nostro controllo. I web designer possono prendere decisioni informate, ma i nostri progetti possono comunque cadere preda del malware. In un certo senso, sembra una situazione senza speranza.
Tuttavia, le minacce alla sicurezza non stanno scomparendo. Semmai, continueranno a crescere in modo esponenziale. Ciò significa che dobbiamo continuare a provare.
Ecco alcune strategie che potrebbero aiutare:
Diventa un minimalista di plugin
Anche se non è mai una buona idea mantenere installati plugin di WordPress non necessari, può anche essere pericoloso. Ecco perché vale la pena rimuovere tutto ciò che non ti serve.
In alcuni casi, potrebbe valere la pena creare un plug-in personalizzato barebone quando possibile. I bot dannosi tentano di annusare le vulnerabilità note all'interno del core di WordPress e di plug-in specifici. Questo può essere un modo per ridurre il rischio pur mantenendo la funzionalità.
Indipendentemente da ciò, è anche una buona idea tenere il passo con ciò che sta accadendo con i plugin che installi. Assicurati che siano aggiornati regolarmente e cerca di evitare quelli che non vengono più mantenuti.
Chiedi ai clienti di investire in sicurezza
La sicurezza può diventare una parte significativa del lavoro di un web designer. Molto lavoro è dedicato al rafforzamento di un sito Web e alla mitigazione di eventuali problemi che si presentano. Ma i nostri prezzi non sempre riflettono questa realtà.
Pertanto, ha senso chiedere ai clienti di investire in quest'area. Raccomandando strumenti e servizi relativi alla sicurezza, stai aggiungendo in modo proattivo ulteriori livelli di protezione. E includendo controlli di sicurezza regolari nei pacchetti di manutenzione, sarai sempre attento a ciò che sta accadendo.
Un altro vantaggio di questa strategia è che stai aumentando la consapevolezza della sicurezza. Quando i clienti avranno una migliore comprensione dell'argomento, sarà più probabile che adottino misure preventive.
Fare un piano per la pulizia
È sicuro dire che nessuno di noi vuole avere a che fare con un sito compromesso. Facciamo tutto il possibile per cercare di evitare che accada. E... succede comunque.
Pertanto, è meglio prepararsi a questo scenario piuttosto che seppellire la testa nella sabbia. Sviluppa un processo che ti aiuti a ripulire in modo efficiente un sito compromesso.
Potrebbe non funzionare sempre la prima (o la seconda) volta. Ma ogni fallimento è una buona esperienza di apprendimento. Alla fine, perfezionerai il processo e aumenterai le tue probabilità di successo.
Ottieni un aiuto professionale
La gestione della sicurezza del sito Web è disordinata e frustrante, abbastanza da mettere chiunque di noi in terapia. Questo tipo di aiuto professionale è sempre il benvenuto. Ma non è del tipo di cui sto parlando qui.
Piuttosto, sto parlando di lavorare con professionisti della sicurezza. Ad esempio, servizi che aiutano a bloccare i siti Web dei tuoi clienti e a liberarli da eventuali infezioni.
C'è un costo coinvolto, uno che puoi trasferire ai tuoi clienti. E potrebbe solo salvare la tua sanità mentale a lungo termine.
Il caos del malware è la nuova normalità
In un certo senso, la protezione di un sito Web è come un gioco del gatto e del topo. Per ogni spazio vuoto che colmi, ne appare un altro. Gli attori malintenzionati evolvono costantemente i loro metodi per penetrare in WordPress e altre piattaforme. E nessuno di noi è immune.
Questo rende il nostro lavoro più difficile e dispendioso in termini di tempo. E rende anche più costosa la manutenzione del sito web per i nostri clienti.
Certamente, questo non è quello che mi immaginavo quando ho iniziato come web designer. È improbabile che molti di noi siano entrati in questo settore perché ci piace ripulire il malware. Ma che ti piaccia o no, questa è la nuova normalità. E noi siamo l'ultima linea di difesa contro questo proverbiale mostro marino. Non possiamo permetterci di cadere senza combattere.