I 10 principali errori di sicurezza di WordPress e come evitarli

Gli errori di sicurezza di WordPress sono facili da fare. Gli errori più comuni nella sicurezza di WordPress possono essere basati su informazioni obsolete, miti comuni sulla sicurezza di WordPress o semplicemente non conoscere le migliori pratiche di sicurezza di WordPress.

Sebbene WordPress stesso sia sicuro, evitare gli errori di sicurezza di WordPress richiede un piccolo sforzo da parte dei proprietari dei siti. In questo post, tratteremo i 10 principali errori di sicurezza di WordPress con suggerimenti su come evitarli.

Entriamo nel vivo. Copriremo tutto, dalla qualità del tuo host WordPress al tuo accesso amministratore di WordPress ai temi e ai plug-in che utilizzi.

1. Scegliere un hosting scadente

Non tutti gli host web sono uguali e sceglierne uno esclusivamente in base al prezzo può finire per costarti molto di più a lungo termine con gli errori di sicurezza di WordPress.

La maggior parte degli ambienti di hosting condiviso è sicura, ma alcuni non separano correttamente gli account utente. Se gli account utente non sono separati correttamente, un singolo account compromesso potrebbe eliminare tutti i siti Web su quel server condiviso.

Il tuo host dovrebbe prestare attenzione all'applicazione delle ultime patch di sicurezza e seguire altre importanti best practice di sicurezza dell'hosting relative alla sicurezza di server e file.

Come evitare di scegliere un hosting scadente

Scegli un host affidabile per il tuo sito Web con un solido record di sicurezza.

Dai un'occhiata a iThemes Hosting per un provider di hosting di cui ti puoi fidare.

2. Non avere un piano di backup di WordPress

I backup e la sicurezza non sembrano davvero correlati. Ma fidati di noi, avere un backup del tuo sito Web WordPress dopo un attacco ransomware può davvero salvarti la pancetta.

Un attacco ransomware si verifica quando un hacker crittografa i file del tuo sito Web, rendendoli e il tuo sito Web inaccessibili. Per riottenere l'accesso al tuo sito web, hai bisogno di una chiave per decrittografare i file. A un costo elevato, l'hacker sarà più che felice di fornirti la chiave.

Avere un backup del tuo sito Web WordPress ti consente di ripristinare il tuo sito Web a uno stato prima che il tuo sito Web venga trattenuto per il riscatto. Riacquisti l'accesso al tuo sito web senza dover pagare il riscatto richiesto. #baconsaved

Come evitare di non avere un backup del sito web

Crea una pianificazione per eseguire regolarmente il backup del tuo sito web.

BackupBuddy, il nostro plug-in di backup di WordPress, è il nostro strumento consigliato per i backup di WordPress. Con BackupBuddy, puoi impostare pianificazioni di backup per 5 tipi di backup di WordPress in modo che i tuoi backup vengano eseguiti automaticamente. Questa è tranquillità.

3. Login non sicuri

L'accesso a WordPress è la parte più attaccata e potenzialmente più vulnerabile di qualsiasi sito WordPress. Per impostazione predefinita, non c'è nulla di integrato in WordPress per limitare il numero di tentativi di accesso falliti che qualcuno può fare. Senza un limite al numero di tentativi di accesso falliti che un utente malintenzionato può effettuare, può continuare a provare una quantità infinita di nomi utente e password finché non hanno successo.

Il tuo accesso a WordPress è molto simile alla porta di casa tua. Senza una serratura sulla tua porta d'ingresso, sarebbe facile per chiunque entrare in casa tua, iniziare a spostare i tuoi mobili, distruggere le tue cose e rubare la tua TV. Ha senso solo aggiungere una serratura alla porta di casa per rendere più difficile l'irruzione di un aspirante ladro in casa.

Come evitare un accesso insicuro

Utilizza un plug-in di sicurezza di WordPress per limitare i tentativi di accesso non validi.

La funzione di protezione dalla forza bruta locale di iThemes Security Pro tiene traccia dei tentativi di accesso non validi effettuati da un host o da un indirizzo IP e da un nome utente. Una volta che un IP o un nome utente ha effettuato troppi tentativi di accesso non validi consecutivi, verranno bloccati e non potranno più fare altri tentativi.

4. Nessuna protezione contro gli attacchi automatici dei bot

Un bot è un software programmato per eseguire un elenco specifico di attività. Gli sviluppatori creano una serie di istruzioni che un bot seguirà automaticamente senza che lo sviluppatore debba dire loro di iniziare. I robot eseguiranno compiti ripetitivi e banali molto più velocemente di noi.

Alcuni di questi bot sono programmati con motivi nefasti come:

I robot Brute Force perlustrano Internet alla ricerca di accessi WordPress da attaccare.

I Bot Content Scraping sono programmati per scaricare i contenuti del tuo sito web senza la tua autorizzazione. Il bot può duplicare il contenuto da utilizzare sul sito Web dell'attaccante per migliorare la propria SEO e rubare il traffico del tuo sito.

Gli spambot rovinano i tuoi commenti con la promessa di diventare milionari mentre lavori da casa nella speranza di inviare i tuoi visitatori a siti Web dannosi.

Come evitare un attacco bot automatizzato

Evita questo errore di sicurezza di WordPress utilizzando la protezione bot automatizzata come Google reCAPTCHA sul tuo sito web.

La funzione Google reCAPTCHA in iThemes Security Pro protegge il tuo sito da bot dannosi. reCAPTCHA utilizza tecniche avanzate di analisi del rischio per distinguere gli esseri umani dai robot. Una volta identificato un bot dannoso, verrà avviato dal tuo sito web.

5. Utilizzo di versioni vulnerabili di plugin, temi o WordPress Core

I plugin o i temi vulnerabili di WordPress sono il più grande errore di sicurezza di WordPress che puoi commettere. Mantenere il software aggiornato è una parte essenziale di qualsiasi strategia di sicurezza e questo include il core di WordPress e i tuoi temi e plug-in. Gli aggiornamenti di versione non sono solo per correzioni di bug e nuove funzionalità. Gli aggiornamenti possono includere anche patch di sicurezza critiche. Stai lasciando il tuo telefono, computer, server, router o sito web vulnerabile agli attacchi senza quella patch.

Gli hacker prendono di mira le vulnerabilità con patch perché sanno che le persone non si aggiornano (inclusi plugin e temi sul tuo sito web). È uno standard del settore divulgare pubblicamente le vulnerabilità il giorno in cui vengono applicate le patch. Dopo che una vulnerabilità è stata divulgata pubblicamente, la vulnerabilità diventa una "vulnerabilità nota" per le versioni obsolete e prive di patch del software. Il software con vulnerabilità note è un facile bersaglio per gli hacker.

Agli hacker piacciono i bersagli facili. Avere un software obsoleto con vulnerabilità note è come consegnare a un hacker le istruzioni passo passo per entrare nel tuo sito Web WordPress.

Avere un plugin o un tema vulnerabile per il quale è disponibile una patch ma non applicata è il colpevole numero uno dei siti Web WordPress compromessi.

Come evitare di utilizzare plugin e temi vulnerabili

Mantieni aggiornati tutti i tuoi plugin e temi per evitare l'errore di sicurezza di WordPress del software vulnerabile.

Usa la scansione del sito di iThemes Security Pro. Il Site Scan esegue controlli automatici per le vulnerabilità note installate sul tuo sito. E se è disponibile una patch, iThemes Security Pro applicherà automaticamente la correzione per te.

6. Sicurezza dell'utente debole

La scarsa sicurezza degli utenti è un grave errore di sicurezza di WordPress. In poche parole: un singolo utente amministratore di WordPress con una password debole potrebbe minare tutte le altre misure di sicurezza del sito web che hai messo in atto. Ecco perché la sicurezza degli utenti è una parte essenziale di qualsiasi strategia di sicurezza di WordPress.

Secondo il Verizon Data Breach Investigations Report, oltre il 70% dei dipendenti riutilizza le password al lavoro. Ma la statistica più importante del rapporto è che "l'81% delle violazioni legate all'hacking ha sfruttato password rubate o deboli".

In un elenco compilato da Splash Data, la password più comune inclusa in tutti i dump di dati era 123456. Un dump di dati è un database violato pieno di password utente scaricate da qualche parte su Internet. Riesci a immaginare quante persone sul tuo sito Web utilizzano una password debole se 123456 è la password più comune nei dump di dati?

Gli strumenti degli hacker stanno migliorando e possono bypassare le password più velocemente che mai. Ad esempio, diamo un'occhiata a un grafico creato da Terahash, una società di cracking di password ad alte prestazioni. Il loro grafico mostra il tempo necessario per decifrare una password utilizzando un cluster hashstack di 448x RTX 2080.

Per impostazione predefinita, WordPress utilizza MD5 per eseguire l'hashing delle password utente memorizzate nel database WP. Quindi, secondo questo grafico, Terahash potrebbe decifrare una password di 8 caratteri... quasi istantaneamente. Questo non è solo super impressionante, ma è anche davvero spaventoso.

A peggiorare le cose, anche se il 91% delle persone sa che riutilizzare le password è una pratica scorretta, il 59% delle persone continua a riutilizzare le proprie password ovunque! Molte di queste persone stanno ancora utilizzando password che sanno essere apparse in un dump del database.

Gli hacker usano una forma di attacco di forza bruta chiamata attacco del dizionario. Un attacco a dizionario è un metodo per violare un sito Web WordPress con password di uso comune che sono apparse nei dump del database. La “Collezione #1? La violazione dei dati ospitata su MEGA ospitata includeva 1.160.253.228 combinazioni univoche di indirizzi e-mail e password. Sono miliardi con la b. Questo tipo di punteggio aiuterà davvero un attacco al dizionario a restringere le password WordPress più comunemente usate.

Come evitare una sicurezza utente debole

Il modo migliore per evitare l'errore di sicurezza di WordPress legato alla sicurezza degli utenti deboli è creare una politica di password sicura e utilizzare l'autenticazione a due fattori.

La funzione Requisiti password di iThemes Security Pro consente di forzare i membri di un gruppo di utenti a utilizzare una password complessa , scegliere un tempo di scadenza della password , rifiutare le password compromesse e forzare una modifica delle password a livello di sito per far sì che tutti si conformino alla nuova politica sulle password complesse.

L'autenticazione a due fattori è un processo di verifica dell'identità di una persona che richiede due metodi di verifica separati. Google ha condiviso sul suo blog che l'utilizzo dell'autenticazione a due fattori può bloccare il 100% degli attacchi bot automatizzati.

La funzione di autenticazione a due fattori di iThemes Security Pro offre una grande flessibilità durante l'implementazione di 2fa sul tuo sito web. Puoi abilitare due fattori per tutti o alcuni dei tuoi utenti e puoi forzare i tuoi utenti di alto livello a utilizzare 2fa ad ogni accesso.

7. Comunicazioni non crittografate (nessun SSL)

Non crittografare le comunicazioni sul tuo sito Web è un grave errore di sicurezza di WordPress. Ogni volta che effettuiamo un acquisto online, la comunicazione avviene tra il tuo browser e il negozio online. Ad esempio, quando inseriamo il numero della nostra carta di credito nel nostro browser, il nostro browser condividerà il numero con il negozio online. Dopo che il negozio ha ricevuto il pagamento, comunica al tuo browser di farti sapere che il tuo acquisto è andato a buon fine.

Una cosa da tenere a mente sulle informazioni condivise tra il nostro browser e il server del negozio è che le informazioni effettuano diverse fermate in transito. Se la comunicazione non è crittografata, un hacker potrebbe rubare la nostra carta di credito prima che raggiunga la destinazione finale del server del negozio.

Per capire meglio come funziona la crittografia, pensa a come vengono consegnati i nostri acquisti. Se hai mai monitorato lo stato di consegna di un acquisto online, avresti visto che il tuo ordine ha fatto diverse fermate prima di arrivare a casa tua. Se il venditore non ha imballato correttamente il tuo acquisto, sarebbe facile per le persone vedere cosa hai acquistato.

Come evitare la comunicazione non crittografata

Avrai bisogno di un certificato SSL per crittografare la comunicazione sul tuo sito web. Se il tuo sito Web WordPress non ha SSL, la prima cosa che dovresti fare è chiedere al tuo provider di hosting di vedere se fornisce un certificato SSL e una configurazione gratuiti.

Cloudflare offre un certificato SSL condiviso gratuito per i siti Web WordPress. Se preferisci non avere un certificato SSL condiviso e sei a tuo agio con la riga di comando, CertBot è un'opzione eccellente. Certbot non solo crea un certificato SSL gratuito utilizzando Let's Encrypt per te, ma gestirà anche automaticamente il rinnovo del certificato per te.

8. Registrazione e monitoraggio della sicurezza insufficienti

L'accesso insufficiente al tuo sito Web è un errore di sicurezza di WordPress abbastanza grande da essere arrivato nella top 10 di OWASP dei rischi per la sicurezza delle applicazioni Web. La registrazione è una parte essenziale della tua strategia di sicurezza di WordPress. Il monitoraggio del comportamento corretto ti aiuterà a identificare e fermare gli attacchi, rilevare una violazione e accedere e riparare i danni arrecati al tuo sito web dopo un attacco riuscito.

La registrazione e il monitoraggio insufficienti possono portare a un ritardo nel rilevamento di una violazione della sicurezza. La maggior parte degli studi sulle violazioni mostra che il tempo per rilevare una violazione è di oltre 200 giorni! Tale lasso di tempo consente a un utente malintenzionato di violare altri sistemi, modificare, rubare o distruggere più dati.

Come evitare una registrazione insufficiente

Aggiungi la registrazione di sicurezza al tuo sito Web per evitare questo errore di sicurezza di WordPress. Puoi utilizzare alcune delle funzioni e dei filtri per sviluppatori forniti da WordPress per creare un sistema di registrazione, ma il modo più semplice per avviare un registro di sicurezza è installare un plug-in di sicurezza di WordPress

I registri di sicurezza di iThemes Security Pro WordPress monitorano e registrano automaticamente gli eventi critici di sicurezza che si verificano sul tuo sito web.

9. Plugin e temi non utilizzati

Avere plugin e temi inutilizzati o inattivi sul tuo sito Web è un grave errore di sicurezza di WordPress. Ogni pezzo di codice sul tuo sito web è un potenziale punto di ingresso per un hacker.

È pratica comune per gli sviluppatori utilizzare codice di terze parti, come librerie JS, nei loro plugin e temi. Sfortunatamente, se le librerie non vengono gestite correttamente, possono creare vulnerabilità che gli aggressori possono sfruttare per hackerare il tuo sito web.

Come evitare plugin e temi

Disinstalla ed elimina completamente eventuali plug-in e temi non necessari sul tuo sito WordPress per limitare il numero di punti di accesso e codice eseguibile sul tuo sito web.

Inoltre, evita di utilizzare plugin WordPress abbandonati. Se un plug-in installato sul tuo sito WordPress non ha ricevuto un aggiornamento da sei mesi o più.

10. Installazione di software da fonti non attendibili

L'installazione di software da fonti non attendibili è uno dei modi più veloci per creare un errore di sicurezza di WordPress. Dovresti diffidare di una versione "annullata" dei plug-in commerciali. Spesso queste versioni gratuite o fortemente scontate di plug-in pro contengono codice dannoso.

Non importa come blocchi il tuo sito WordPress se sei tu a installare malware.

Come evitare software da fonti non attendibili

Dovresti installare solo software che ottieni da WordPress.org, repository commerciali ben noti o direttamente da sviluppatori affidabili.

Se il plug-in o il tema di WordPress non viene distribuito sul sito Web dello sviluppatore, ti consigliamo di eseguire la dovuta diligenza prima di scaricare il plug-in. Contatta gli sviluppatori per vedere se sono in qualche modo affiliati al sito Web che offre il loro prodotto a un prezzo gratuito o scontato.

Riepilogo: spiegazione dei 10 principali errori di sicurezza di WordPress

Come possiamo vedere, ci sono molti potenziali errori di sicurezza di WordPress. Fortunatamente tutti gli errori di sicurezza possono essere facilmente evitati con un piccolo sforzo da parte nostra.

Un semplice elenco di controllo per la sicurezza di WordPress

La maggior parte delle vulnerabilità di sicurezza di WordPress può essere mitigata adottando un approccio proattivo alla sicurezza di WordPress. Per ricapitolare, ecco una semplice checklist per la sicurezza di WordPress da seguire:

• 1. Scegli un hosting di qualità.
• 2. Creare una pianificazione di backup.
• 3. Limita i tentativi di accesso non validi
• 4. Aggiungi la protezione bot automatizzata.
• 5. Evitare di utilizzare software vulnerabile.
• 6. Utilizzare password complesse e 2fa.
• 7. Criptare la comunicazione con SSL.
• 8. Aggiungi la registrazione di sicurezza di WordPress.
• 9. Rimuovi plugin e temi inutilizzati.
• 10. Installa solo software da fonti attendibili.

Ottieni iThemes Security Pro

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.