WordPress è un obiettivo frequente per gli hacker. Gli hacker prendono di mira il tema, i file principali di WordPress, i plugin e persino la pagina di accesso. Questi sono i passaggi da compiere per ridurre le probabilità di essere hackerati e per poter recuperare più facilmente se dovesse ancora accadere.
Come gli hacker attaccano WordPress
Tutti i siti sul web sono sotto attacco costante, che si tratti di un forum phpBB o di un sito WordPress, tutti i siti vengono esaminati dagli hacker. Non è insolito per un hacker scansionare migliaia di pagine o tentare di accedere centinaia di volte al giorno.
E questo è solo un hacker. I siti vengono attaccati da diversi hacker contemporaneamente.
In genere non è una persona che sta cercando di hackerarti. Gli hacker utilizzano software automatizzato per eseguire la scansione del Web per sondare punti deboli specifici nel sito Web.
Questi programmi software automatizzati che eseguono la scansione del Web sono chiamati bot. Li chiamo robot hacker per distinguerli dai robot scraper (software che sta cercando di copiare il contenuto).
Proteggi il tuo sito WordPress con un firewall
Un firewall è un programma software che blocca un intruso. A mio parere, il miglior firewall WordPress è un plugin chiamato Wordfence.
Quello che fa Wordfence è controllare se il comportamento di un visitatore del sito web corrisponde a quello di un bot abusivo. Se il bot infrange determinate regole, come chiedere troppe pagine web in un breve lasso di tempo, Wordfence bloccherà automaticamente il bot.
Wordfence è anche programmato per consentire l’accesso a bot legittimi come Google e Bing sul sito.
Esistono funzionalità avanzate che consentono a un editore di vedere quali bot stanno attaccando un sito e di vedere da dove proviene il bot, ad esempio se si tratta di un bot dannoso proveniente da Amazon Web Services o Bluehost, ad esempio e quindi ti danno la possibilità di bloccare il bot tramite il loro indirizzo IP, l’intero intervallo di indirizzi IP o anche dal falso agente utente che il bot sta utilizzando.
Alcuni bot fingono di essere una persona su Windows XP. Quindi puoi effettivamente bloccare tutti i visitatori con un agente utente che visualizza Windows XP e fermare automaticamente quei bot.
Con una regola che un editore crea con Wordfence, può bloccare migliaia di hacker. Wordfence è uno strumento potente di per sé, ma alcune delle funzionalità avanzate ti consentono di bloccare ancora più hacker. E questo con la versione gratuita di Wordfence.
La versione a pagamento può bloccare interi paesi. Quindi, se non hai visitatori del sito legittimi da determinati paesi, puoi bloccare tutti i visitatori che provengono da quei paesi.
Inoltre, la versione a pagamento di Wordfence ti proteggerà in anticipo da molti temi e plug-in compromessi prima che tali plug-in vengano corretti.
Una volta che i ricercatori di Wordfence sono a conoscenza di un exploit, aggiorneranno i loro utenti a pagamento per fornire loro protezione da tali exploit, di solito ben prima che l’exploit venga corretto dallo sviluppatore del tema o del plugin compromesso.
Protezione avanzata del sito web
Un altro plugin gratuito che fornisce un ulteriore livello di protezione si chiama Sucuri Security. Sucuri (di proprietà di GoDaddy) aiuta a rafforzare la sicurezza di WordPress per impedire ai bot dannosi di sfruttare determinati tipi di attacchi. Ha anche una funzione di scansione del malware che controlla tutti i file per vedere se sono stati alterati.
Sucuri ti avviserà ogni volta che qualcuno accede al tuo sito, aiutando gli editori a identificare se un hacker sta effettuando l’accesso. Sucuri può anche avvisare un editore se un file è stato modificato, cosa che fanno gli hacker.
Queste sono le caratteristiche della versione gratuita di Sucuri:
- “Controllo delle attività di sicurezza
- Monitoraggio dell’integrità dei file
- Scansione malware remota
- Monitoraggio della lista nera
- Rafforzamento della sicurezza efficace
- Azioni di sicurezza post-hacking
- Notifiche di sicurezza “
La versione a pagamento di Sucuri include un firewall per il sito web.
Limita gli accessi al tuo sito
WordFence è in grado di bloccare i bot che inseriscono ripetutamente nomi utente e password nella pagina di accesso di WordPress.
Ma se vuoi concentrarti sulla limitazione di tali accessi, c’è un plug-in chiamato Limit Login Attempts Reloaded che consente agli editori di bloccare automaticamente tutti gli hacker che inseriscono un determinato numero di combinazioni di nome e password non riuscite. Ad esempio, puoi impostarlo per bloccare gli hacker dopo tre tentativi di indovinare la password.
Queste sono le caratteristiche del blocco degli accessi:
- “Limita il numero di tentativi di ripetizione durante l’accesso (per ogni IP). Questo è completamente personalizzabile.
- Informa l’utente sui tentativi rimanenti o sul tempo di blocco nella pagina di accesso.
- Registrazione opzionale e notifica e-mail opzionale.
- È possibile inserire nella whitelist / blacklist IP e nomi utente.
- Compatibilità con Sucuri Website Firewall.
- Protezione del gateway XMLRPC.
- Protezione della pagina di accesso di Woocommerce.
- Compatibilità multisito con impostazioni MU aggiuntive.
- Conforme al GDPR. Con questa funzione attivata, tutti gli IP registrati vengono offuscati (con hash md5).
- Supporto origini IP personalizzate (Cloudflare, Sucuri, ecc.) “
Il plug-in Limit Login Reloaded fornisce un modo rapido per arrestare i bot hacker che stanno tentando di indovinare una password.
Esegui il backup del tuo sito WordPress
È importante creare automaticamente un backup giornaliero del tuo sito web. Qualsiasi evento catastrofico che blocca il sito può essere ripristinato con un backup.
Esistono molte soluzioni di backup, ma quella che ho trovato estremamente utile si chiama UpdraftPlus WordPress Backup Plugin. UpdraftPlus è considerato affidabile da oltre due milioni di utenti, è una scelta ben considerata.
Può essere configurato per inviare via email i backup ogni giorno o inviarli a una posizione di archiviazione cloud come Dropbox.
Una volta ho rimosso accidentalmente tutti i file di layout del tema da un sito, rimosso completamente l’aspetto del sito. Ma sono stato in grado di ripristinare il sito esattamente come era prima utilizzando un backup di UpdraftPlus. È stato facile da fare ed ero così grato.
Aggiorna tutti i temi e i plugin
È importante aggiornare sempre tutti i temi e i plugin. WordPress fornisce un modo per aggiornare automaticamente tutti i plug-in, il che è conveniente per editori o aziende che non effettuano l’accesso e eseguono aggiornamenti spesso.
Abilitando la funzione di aggiornamento automatico, un editore può essere certo di avere il software più aggiornato. Avere un plug-in obsoleto è una delle principali cause di hacking.
Ci sono ragioni per non abilitare la funzione di aggiornamento automatico, ma gli aspetti negativi tendono a verificarsi raramente. Ad esempio, un plug-in aggiornato potrebbe essere incompatibile con altri plug-in.
Ma per i siti che non cambiano frequentemente, la funzione di aggiornamento automatico è probabilmente una buona cosa da abilitare.
Attenzione ai plugin abbandonati
Un ultimo avvertimento sui plugin abbandonati. Alcuni plugin possono continuare a funzionare anni dopo essere stati abbandonati dal loro sviluppatore. Quello che può succedere è che questi vecchi plugin potrebbero contenere una vulnerabilità. Ma poiché vengono abbandonati, non verrà mai risolto.
Un altro problema è che gli hacker a volte acquistano i vecchi plugin e li aggiornano con malware e virus.
Controlla tutti i tuoi plugin di WordPress per assicurarti che non siano stati abbandonati e che sembrino essere aggiornati con una certa frequenza.
Proteggi il tuo sito WordPress dagli hacker
Per molti siti, è sufficiente eseguire questi piccoli passaggi per proteggere un sito Web per impedire che i siti vengano violati. Le versioni gratuite di questi plugin forniscono una straordinaria quantità di protezione e le versioni premium danno ancora più protezione.
Esistono molti plug-in di tipo di sicurezza e alcuni di questi hanno effettivamente contenuto le vulnerabilità stesse. Wordfence e Sucuri sono secondo me le migliori scelte per la sicurezza di WordPress.
Citazioni
WordFence Security
Sucuri Security
Sucuri Security – Auditing, Malware Scanner and Security Hardening
Limita tentativi di accesso ricaricati
UpdraftPlus