6 motivi per cui il tuo sito Web WordPress può essere vulnerabile agli hacker
Pubblicato: 2019-04-26Con le fantastiche funzionalità e le opzioni di personalizzazione offerte da WordPress, non sorprende che quasi il 33% dei siti Web utilizzi WordPress CMS. Tuttavia, potenziali problemi di sicurezza sono qualcosa che può tornare a mordere i proprietari di siti.
In effetti, degli 8.000 siti Web compromessi analizzati in un recente studio, il 74% utilizzava WordPress.
Se stai utilizzando un sito Web WordPress, è importante assicurarsi che la sicurezza sia configurata correttamente per ridurre al minimo i rischi.
Allora qual è la migliore linea d'azione da intraprendere?
I seguenti problemi di sicurezza sono tra i più vitali e potrebbero rendere il tuo sito WordPress vulnerabile agli hacker. È importante identificare questi problemi e risolverli; immediamente.
1. Servizio di hosting non protetto
Una delle risorse principali per la creazione di un sito Web è l'hosting web.
Dalle prestazioni del tuo sito alla sua sicurezza, il tuo servizio di hosting può influire su tutto. Pertanto, è fondamentale scegliere un provider di hosting che offra una sicurezza adeguata.
Mentre consideri e analizzi le tue opzioni di hosting, i seguenti suggerimenti dovrebbero aiutarti.
- Esamina tutte le funzionalità di sicurezza che fornisce.
- Comprendi che quando si tratta di hosting, costoso non significa sempre migliore.
- Alcuni provider hanno i loro piani entry-level che costano tanto quanto i piani di fascia alta di altri provider di hosting. Questo non significa sempre che possano essere confrontati.
- Conosci la differenza tra i due tipi più popolari di servizi di hosting.
Hosting condiviso:
Un servizio di hosting condiviso offre scansioni di sicurezza di base in grado di rilevare il malware di WordPress.
Ti consente anche di monitorare i visitatori che arrivano al tuo sito. Questo può aiutarti a identificare i visitatori dannosi e bloccare i loro indirizzi IP.
Il punto forte di un servizio di hosting condiviso è la sua capacità di ospitare più di un sito Web, il che lo rende anche molto più economico rispetto ad altri tipi di hosting.
Hosting gestito:
Questo è il servizio di hosting che fornisce un firewall per la sicurezza insieme a una scansione di routine del malware.
Alcuni provider offrono "servizi di hosting gestito" che limitano l'accesso a file e cartelle di WordPress per tenerli al sicuro.
Ad esempio, WP-Engine impedisce le modifiche in tutti i file PHP, mentre Pantheon non consente la scrittura su cartelle ad eccezione di quella contenente i dati di temi e plugin.
- Prova l'assistenza clienti:
L'assistenza clienti è un altro fattore che devi considerare durante il confronto dei provider di hosting.
Che si tratti di un problema banale o di un guasto completo; se si tratta del servizio di hosting, il provider dovrebbe offrire un'assistenza clienti completa.
Per scoprire quanto sia qualificato il sistema di supporto di un fornitore, è sufficiente ottenere i suoi dettagli di contatto e contattarlo. Poni loro tutte le tue domande e guarda quanto sono pazienti e collaborativi mentre affrontano le tue preoccupazioni.
Sulla base di questa esperienza, avresti un'idea di come reagiranno in caso di violazione della sicurezza. Questo dovrebbe aiutarti a decidere se vuoi acquistare da loro o meno.
Se hai già acquistato un piano di hosting dal provider sbagliato, non preoccuparti. Non devi aspettare che il tuo piano scada. Servizi come BlogVault e Migrate Guru possono aiutarti a migrare verso diversi provider di hosting senza problemi.
2. Aggiornamenti di sistema
Come qualsiasi altro CMS, WordPress richiede un aggiornamento regolare. Ignorarlo potrebbe rendere il tuo sito WordPress un potenziale rischio per la sicurezza.
In effetti, l' 80% dei siti Web WordPress che sono stati violati utilizzavano temi e/o plug-in obsoleti. Apri gli occhi, giusto?
Essendo un CMS open source con migliaia di sviluppatori che lavorano su temi e plug-in diversi, la dashboard di WordPress potrebbe ricevere molti aggiornamenti in base ai plug-in e ai temi che stai utilizzando.
Devi assicurarti che tutti i temi e i plugin principali siano aggiornati all'ultima versione.
Passaggi per aggiornare un plug-in:
- Apri la dashboard di WordPress e vai su Plugin > Plugin installati
- La dashboard ti porterà alla pagina che mostra i plugin che hai installato.
Identifica i plug-in in sospeso e aggiornali e fai clic su "aggiorna ora".
Allo stesso modo, puoi aggiornare i temi sul tuo sito più o meno allo stesso modo andando su Aspetto > Temi.
Questo sbloccherà anche le ultime funzionalità aggiunte al tema/plugin/sistema. Questo aiuta a mantenere la sicurezza e la stabilità del tuo sito web allo stesso tempo.
3. Temi o plugin piratati
Sebbene la configurazione di un sito Web WordPress non ti brucerà un buco in tasca, renderlo esteticamente gradevole e ricco di funzionalità potrebbe come un buon tema/plug-in WordPress può costarti tra $ 10 e $ 200.
Per sfuggire a questi costi "presunti" non desiderati, i webmaster spesso prendono la strada più economica e utilizzano plugin/temi annullati/piratati, che sono disponibili gratuitamente oa prezzi irrisori.
Quali sono i risultati di questo?
Ci sono stati diversi casi in cui un sito Web che utilizzava un tema annullato ha concesso inconsapevolmente l'accesso backdoor agli hacker tramite l'URL: http://www.example.xyz?backdoor=go
Gli hacker sono stati in grado di accedere al sito poiché l'URL ha attivato una backdoor al sito Web, creando un nuovo account amministratore di WordPress con le seguenti credenziali:
Nome utente: backdooradmin
Password: Pa55W0rd
Questo è generalmente il risultato di uno shortcode aggiuntivo che è stato aggiunto al file functions.php dall'effettivo proprietario del tema.
Per salvare il tuo sito da tali rischi. Acquisisci sempre temi e plugin dal repository ufficiale di WordPress o da altre fonti affidabili come Theme Forest o Themeisle.
4. Dettagli di accesso fittizi
Pagina di accesso predefinita:
L'uso degli stessi vecchi nomi utente e password facili da indovinare rende la vita molto più facile agli hacker che cercano di entrare nel back-end del tuo sito web.
Come risolvere?
- Problema di nome utente e password:
Prova a creare un nome utente e una password che non hai utilizzato su un altro account.
Tieni presente che è fondamentale disporre di un nome utente univoco. Se il nome utente è facile da indovinare, l'unica cosa che un hacker dovrà scoprire è la tua password.
Assicurati di non mostrare mai il tuo nome utente sul tuo sito web. Fare questo sarebbe come dare agli hacker un invito personale a banchettare con la dashboard di WordPress. Utilizza invece un nickname o un titolo diverso dal nome utente. Problema con l'URL della pagina di accesso predefinita: www.yoursite.com/wp-admin
Questa è la scelta più semplice e più comune per l'URL di una pagina di accesso di WordPress, che rende il tuo sito vulnerabile agli hacker.
La maggior parte degli hacker non attacca manualmente. Programmano i robot per accedere alle pagine di accesso e decifrare le credenziali di accesso dei siti di destinazione.
L'utilizzo dell'URL della pagina di accesso predefinita ridurrà il lavoro per i bot e gli hacker che tentano di accedere al tuo sito web.
La soluzione migliore è modificare l'URL di accesso predefinito.
Ad esempio, cambiando – www.yoursite.com/wp-admin in www.yoursite.com/welcometomysite
Per fare ciò, segui questi semplici passaggi.
– Innanzitutto, esegui un backup completo del tuo sito WordPress utilizzando UpdraftPlus.– Quindi installa e attiva il plugin 'Easy Hide Login' (è gratuito).
– Vai alle impostazioni del plug-in e invia la tua scelta di slug di accesso (come "welcometomysite").
– Questo cambierà il tuo indirizzo di accesso a WordPress da yoursite.com/wp-admi n a yoursite.com/welcometomysite e renderà molto più difficile per le persone hackerare il tuo sito.
5. File PHP scrivibili
Proprio come qualsiasi altro programma per computer sul Web o fuori dal Web, anche un sito Web WordPress è costituito da file e cartelle.
Una di queste cartelle è la cartella "Caricamenti". Questa cartella memorizza tutti i dati di temi e plugin per il tuo sito.
I potenziali hacker possono trovare un modo per caricare un codice PHP in questa cartella per accedere al tuo sito web.
Una volta che gli hacker hanno accesso tramite questo metodo, possono rubare i contenuti che avevi intenzione di pubblicare in futuro insieme ad altre risorse importanti come gli indirizzi e-mail dalla tua mailing list. Possono anche vendere link a ritroso dal tuo sito o utilizzare i tuoi contenuti per creare link ai loro siti web a tua insaputa. O peggio ancora, possono distruggere l'intero sito Web e rimuoverlo.
La parte peggiore di questo tipo di hack è che non ne saresti a conoscenza fino a quando il tuo provider di hosting o un motore di ricerca non ha bandito il tuo sito web.
Per salvarti da questo, puoi disabilitare l'esecuzione di PHP tramite i seguenti passaggi.
- Crea un file .htaccess nella cartella "Uploads" nella directory principale del tuo sito Web in cPanel.
- Crea un nuovo file con Blocco note (su Windows) o TextEdit (su Mac).
- Incolla il codice seguente in questo file e salvalo come .htaccess (non come .htaccess.txt).
# INIZIA WordPress
RewriteEngine attivato
Riscrivi Base /
RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
RiscriviCond %{REQUEST_FILENAME} !-d
RewriteRule. /indice.php [L]
# FINE WordPress
- Carica questo file nella cartella "Caricamenti".
- Ora hai un nuovo file .htaccess specifico per la tua cartella "Caricamenti". Fare clic con il pulsante destro del mouse per modificarlo e incollare il codice seguente.
Ordine Consenti, Nega
Rifiutato da tutti
Dopo aver implementato i passaggi precedenti, il tuo sito Web impedirà l'esecuzione di file estranei costituiti da "PHP". Questa modifica aggiungerà un altro mattone al muro di sicurezza del tuo sito.
Inoltre, tieni presente che l'utilizzo di questo metodo è un po' rischioso. Anche un errore banale può danneggiare il tuo sito. Quindi, se non sei sicuro di usare cPanel, consulta qualcuno che lo è.
6. Mancanza di un certificato SSL
Sebbene http://yoursite.com e https://yoursite.com caricheranno entrambi la stessa pagina Web, c'è una piccola differenza che può rompere l'accordo.
Il certificato SSL.
Il primo URL nell'esempio sopra non utilizza un certificato SSL, mentre il secondo esempio lo è.
Ciò può influire notevolmente sulla sicurezza di un sito Web mettendo a rischio la comunicazione tra il dispositivo del visitatore e i server Web.
Un certificato SSL crittografa le informazioni in modo che nessuno possa accedervi tranne i destinatari previsti. Per salvaguardare il tuo sito Web da tali perdite, è consigliabile installare un certificato SSL il prima possibile.
L'installazione di un certificato SSL è generalmente semplice e facile da eseguire. Di solito puoi acquistare un certificato SSL dal tuo provider di hosting, ma se non vendono un servizio SSL, dovresti considerare di acquistare da un altro provider.
Ottenere un certificato SSL dal tuo provider di hosting ti farà risparmiare anche il fastidio dell'installazione. Imposteranno tutto e dovrai solo reindirizzare le tue pagine "http" su "https".
In sintesi
Non riuscire a proteggere il tuo sito WordPress dalle minacce alla sicurezza può danneggiare la tua attività in diversi modi. Non sorprende che tutti i webmaster debbano prestare attenzione alla sicurezza del sito Web e disporre di un plug-in e di un sistema di backup adeguati. Nonostante i tuoi migliori sforzi, se dovesse accadere il peggio e il tuo sito subisse un attacco dannoso; UpdraftPlus può fornire un'opzione di backup e ripristino sicura e protetta. Ciò contribuirà a garantire che il tuo sito Web abbia sempre tutta la rete di sicurezza importante, anche in caso di hackeraggio.
In questo post, hai letto di 6 scappatoie che potrebbero potenzialmente mettere a rischio la sicurezza del tuo sito Web WordPress a causa degli hacker. Si spera che questo articolo ti abbia aiutato a proteggere il tuo sito e a portare la sua sicurezza al livello successivo.
Di Vaibhav Kakkar
Il post 6 motivi per cui il tuo sito Web WordPress può essere vulnerabile agli hacker è apparso per la prima volta su UpdraftPlus. UpdraftPlus – Plugin di backup, ripristino e migrazione per WordPress.