Le 10 principali vulnerabilità di sicurezza di WordPress e modi per risolverle
Pubblicato: 2018-11-28Questa citazione è abbastanza buona per darti un'idea dei problemi di sicurezza che si verificano in tutto il mondo. In effetti, la sicurezza dei siti web è un argomento che da tempo regala notti insonni ai proprietari dei siti. Nessuno è stato in grado di ottenere il 100% di sicurezza per il proprio sito aziendale.
Secondo un sondaggio condotto da Juniper Research, la criminalità informatica costerà alle aziende oltre 2 trilioni di dollari entro il 2019. Si tratta di una statistica allarmante e mostra che la sicurezza quotidiana di un sito Web sta diventando molto difficile. Allo stesso tempo, devi trovare i modi per proteggere il tuo sito, poiché contiene i tuoi dati più importanti e le informazioni sensibili.
Come tutti sapete, WordPress alimenta il 31% di Internet e, quindi, è molto chiaro che la piattaforma WordPress dovrà affrontare il maggior numero di problemi di sicurezza web. La maggior parte degli utenti si fida di questa meravigliosa piattaforma ed è per questo che ha costruito i propri siti aziendali su quella.
Tuttavia, secondo una ricerca condotta da Sucuri, WordPress è la piattaforma di siti Web più infetta per l'anno 2018.
Pertanto, diventa importante per tutti voi essere consapevoli delle varie vulnerabilità di sicurezza di WordPress e dei modi per risolverle. Quindi, iniziamo e analizziamo ogni vulnerabilità una per una.
Esistono due tipi di società: quelle che sono state violate e quelle che non sanno ancora di essere state violate.
Le 10 principali vulnerabilità di sicurezza di WordPress
- Hosting Web non sicuro
- Utilizzo di una password debole
- WordPress non in aggiornamento
- SQL Injection
- Dimenticare di proteggere il file di configurazione di WordPress
- Plugin o temi non aggiornati
- Utilizzo di FTP semplice
- Non modificare il prefisso della tabella di WordPress
- Malware
- Permessi file errati
1. Hosting Web non sicuro
Questo è forse uno dei principali motivi per cui i siti Web WordPress vengono facilmente infettati. Come tutti gli altri siti Web, anche il sito Web di WordPress è ospitato sul server. A volte succede che le società di hosting provider non proteggono la loro piattaforma. In questo tipo di scenario, ci sono tutte le possibilità che il tuo sito Web WordPress venga attaccato da un estraneo.
Modo per risolvere questo problema
Il modo migliore è risolvere questo problema ospitando il tuo sito Web WordPress su alcune delle piattaforme di hosting di prim'ordine. Ecco un elenco dei migliori provider di hosting WordPress che puoi utilizzare per il tuo sito web aziendale.
I migliori provider di hosting WordPress
- Bluehost
- HostGator
- SiteGround
- DreamHost
- Hosting InMotion
2. Utilizzo di una password debole
Le password sono una parte fondamentale della sicurezza del tuo sito Web WordPress. Devi sempre assicurarti di utilizzare una password complessa per il tuo account WordPress. Secondo una ricerca condotta da WPTemplate, l'8% dei siti Web WordPress in tutto il mondo viene violato a causa della password settimanale. Una password settimanale può fornire un facile accesso alle seguenti cose:
- Account amministratore WP
- Account C-Panel
- Conto FTP
- Il tuo database WordPress
Ecco perché diventa estremamente vitale avere una password complessa per il tuo sito Web WordPress.
Modo per risolvere questo problema
Forma una password complessa
Uno dei modi in cui puoi risolvere questo problema è creare una password complessa per il tuo sito. Cerca sempre di utilizzare la combinazione di alfabeto, numeri, caratteri speciali, ecc. per creare una password. Ti aiuterà a creare una password complessa che non può essere indovinata facilmente.
Utilizza un gestore di password
L'altro modo per risolvere questo problema è utilizzare i gestori di password. Un gestore di password è un'applicazione che ti consente di memorizzare tutte le tue password in un unico posto e quindi gestirle tramite una password principale. L'USP di qualsiasi gestore di password è che hanno una funzionalità di riempimento automatico.
Ecco un elenco di alcuni dei migliori gestori di password:
- LastPass
- 1Password
- Dashlan
Autenticazione a due fattori
Questo è uno dei modi migliori per proteggere il tuo sito Web WordPress dal furto di password. In uno scenario di autenticazione a due fattori, se un utente malintenzionato è in grado di indovinare la password del tuo sito Web WordPress, non potrà accedere al tuo sito. Lui/lei richiederà un codice di sicurezza che verrà inviato al tuo cellulare. In questo modo sarai in grado di proteggere il tuo sito web.
Esistono modi principali per impostare l'autenticazione a due fattori in WordPress:
- Verifica SMS
- App Google Authenticator
3. Non aggiornare WordPress
Ci sono molti utenti che si sentono a proprio agio con una delle versioni di WordPress e, pertanto, non aggiornano la loro versione di WordPress a intervalli regolari. Il motivo principale è che temono che possa rompere il loro sito web. Tuttavia, ogni nuova versione di WordPress include correzioni per bug di sicurezza ed è per questo che diventa importante per te aggiornare il tuo sito web.
Modo per risolvere questo problema
Controlla sempre l'ultima versione di WordPress e cerca di mantenere aggiornato il tuo sito web. Ciò ridurrà al minimo le possibilità di eventuali problemi di sicurezza. Per coloro che temono che l'aggiornamento di WordPress crei un guasto al sito, possono eseguire il backup del proprio sito Web. Quindi, se la nuova versione non funziona secondo le tue esigenze, puoi sempre tornare indietro.
4. Iniezione SQL
SQL Injection è uno dei metodi più antichi per ottenere l'accesso al sito Web. Come tutti sapete, SQL è un linguaggio utilizzato per lavorare con il database di WordPress ed è per questo che in questo tipo di attacco, gli hacker iniettano comandi SQL nel vostro sito per recuperare le informazioni. Gli hacker stanno diventando intelligenti giorno dopo giorno e ogni giorno o l'altro stanno inventando una nuova SQL injection. Quindi, come proprietario di un sito Web, dovresti essere consapevole dei modi per sbarazzarti di questo problema.
Modo per risolvere questo problema
Scansione per vulnerabilità di SQL injection
Dovresti verificare regolarmente la presenza di problemi di SQL injection nel tuo sito Web WordPress. Tuttavia, questo può essere un compito molto difficile da eseguire manualmente ed è per questo che dovresti utilizzare alcuni strumenti di scansione di sicurezza a tale scopo. Ecco un elenco dei migliori strumenti di scansione di sicurezza:
- Scansione di sicurezza di WordPress
- Sucuri SiteCheck
- WPScan
Aggiungere un codice al tuo file .htaccess
Un altro modo per prevenire SQL injection consiste nell'aggiungere un codice particolare nel file .htaccess. .htaccess è un file di configurazione che viene utilizzato sui server web e quindi, modificando quella parte potrai limitare l'accesso degli estranei al tuo database WordPress.
Aggiungi il seguente codice nel tuo file .htaccess:
RewriteEngine On RewriteBase / RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC] RewriteRule ^(.*)$ - [F,L] RewriteCond %{QUERY_STRING} ../ [NC,OR] RewriteCond %{QUERY_STRING} boot.ini [NC,OR] RewriteCond %{QUERY_STRING} tag= [NC,OR] RewriteCond %{QUERY_STRING} ftp: [NC,OR] RewriteCond %{QUERY_STRING} http: [NC,OR] RewriteCond %{QUERY_STRING} https: [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR] RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR] RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|e|"|;|?|*|=$).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^(.*)$ - [F,L]
5. Dimenticare di proteggere il file di configurazione di WordPress
Il file di configurazione di WordPress (wp-config.php) comprende le credenziali di accesso al database di WordPress. Pertanto, se un estraneo ottiene l'accesso a questo file, può rubare le tue informazioni e causare danni al tuo sito web. Pertanto, diventa necessario fare tutto il possibile per proteggere questo file.
Modo per risolvere questo problema
Uno dei modi più semplici per proteggere il file wp-config.php è modificare il .htaccess e limitare l'accesso. A tale scopo, aggiungi semplicemente il seguente snippet al tuo file .htaccess:
<files wp-config.php> order allow,deny deny from all </files>
6. Non aggiornare plugin o temi
Proprio come il core di WordPress, è importante utilizzare l'ultima versione dei plugin o dei temi nel sito Web di WordPress. L'utilizzo di una versione obsoleta di qualsiasi plug-in o tema può rendere il tuo sito vulnerabile alle minacce alla sicurezza. Secondo un sondaggio condotto da WPWhiteSecurity, il 54% delle vulnerabilità globali di WordPress sono dovute ai plugin.
Modo per risolvere questo problema
Controlla sempre l'aggiornamento in uno qualsiasi dei tuoi plugin e temi. Assicurati di utilizzare l'ultima versione disponibile su WordPress. Seguendo questa metodologia, ridurrai al minimo le possibilità di minacce alla sicurezza nel tuo sito Web WordPress.
7. Utilizzo di FTP normale
Per chi non lo sapesse, gli account FTP vengono utilizzati per caricare un file sul server del tuo sito Web utilizzando un client FTP. La maggior parte dei provider di hosting supporta la connessione FTP utilizzando diversi tipi di protocolli: FTP semplice, SFTP o SSH.
La maggior parte dei proprietari di siti Web WordPress commette l'errore di utilizzare un semplice FTP. Ora, quello che succede in un semplice FTP è che la tua password viene inviata al server in forma non crittografata. Quindi, chiunque possa hackerare il server può ottenere un facile accesso al tuo sito Web WordPress.
Modo per risolvere questo problema
Invece di utilizzare FTP, puoi optare per l'opzione SFTP o SSH. Non è necessario modificare il client FTP a tale scopo. Basta cambiare il protocollo in "SFTP-SSH" durante la connessione al tuo sito web. Utilizzando questo protocollo, sarai in grado di inviare la password al server in una forma crittografata che riduce al minimo il rischio di problemi di sicurezza.
8. Non modificare il prefisso della tabella di WordPress
Come tutti sapete, per impostazione predefinita, tutte le tabelle WordPress create nel database iniziano con un prefisso chiamato ks29so_. La maggior parte degli sviluppatori di WordPress non si preoccupa di modificare questo prefisso, poiché ritengono che non influirà sulle prestazioni del sito.
In costante a ciò, questo prefisso rende il tuo sito Web WordPress vulnerabile ai problemi di sicurezza. Il motivo è che un utente malintenzionato può facilmente indovinare il nome delle tabelle del database di WordPress. Pertanto, dovresti provare a risolvere questo problema il prima possibile.
Modo per risolvere questo problema
Invece di utilizzare il prefisso predefinito per le tabelle del database di WordPress, dovresti definire il tuo prefisso che è di natura complicata in modo che nessuno possa indovinarlo. Puoi modificare il prefisso delle tabelle del database di WordPress al momento dell'installazione. Quindi, ricorda sempre quel punto. Dopodiché, non avrai la possibilità di modificare il prefisso.
Ecco come puoi modificare il prefisso del database di WordPress per migliorare la sicurezza:
9. Malware
Malware è l'abbreviazione di software dannoso. In altre parole, puoi dire che è un codice che viene utilizzato per ottenere l'accesso a un sito Web in modo non autorizzato. Un sito Web violato indica chiaramente che è stato iniettato un malware. Ora, se vuoi riconoscere il malware sul sito, prova a guardare i file modificati di recente.
Ci possono essere molti tipi di infezioni da malware sul Web, ma per WordPress, le quattro principali infezioni da malware sono elencate di seguito:
- Backdoor
- Download drive-by
- Hack farmaceutici
- Reindirizzamenti dannosi
Modo per risolvere questo problema
Eventuali problemi di malware possono essere facilmente identificati cercando il file modificato di recente e quindi rimuovendo quel file dal tuo sito Web WordPress. L'altro modo per affrontare questo problema è installare una nuova versione di WordPress o ripristinare il sito Web di WordPress dal backup recente. Entrambi questi metodi ti aiuteranno a ridurre al minimo le vulnerabilità della sicurezza.
10. Permessi di file errati
I permessi dei file sono l'insieme di regole utilizzate dal server web. Aiuta il tuo server a controllare l'accesso al tuo file sul tuo sito Web WordPress. Ora, a volte succede che l'utente imposta autorizzazioni file errate che consentono agli aggressori di accedere al file e modificarlo in base alle loro esigenze, il che può causare gravi danni al tuo sito Web WordPress.
Modo per risolvere questo problema
Il modo migliore per risolvere questo problema è impostare l'autorizzazione file corretta per il tuo sito Web WordPress. L'autorizzazione del file su qualsiasi sito Web WordPress dovrebbe essere come elencato di seguito:
- 755 o 750 per tutte le directory
- 644 o 640 per i file
- 600 per wp-config.php
Impostando queste autorizzazioni, sarai in grado di limitare l'accesso al tuo sito Web WordPress che ti aiuterà a proteggerlo dagli aggressori.
Pensieri finali
La sicurezza è stata una delle principali preoccupazioni per i proprietari di siti Web nel corso degli anni. Anche dopo che sono state condotte così tante ricerche in questo settore, nessuno ha rivendicato la sicurezza al 100%. Questo mostra il livello di complessità che si deve affrontare mentre si lavora con questo problema.
Tenendo conto di ciò, abbiamo cercato di fornirti le 10 principali vulnerabilità di sicurezza di WordPress e i modi per risolverle che sicuramente ti aiuteranno nel prossimo futuro.
Quali sono i tuoi pensieri su questo argomento? Menzionali nella nostra sezione commenti. Grazie!