Protezione del tuo sito Web WordPress contro il ransomware

WordPress è il CMS più popolare al mondo. E sebbene questa di solito sia una buona cosa, può anche rendere WordPress un bersaglio per il software dannoso che cerca un'ampia portata.

Sfortunatamente, poiché gli attacchi informatici sono diventati più grandi e scalabili nel corso degli anni, a lungo termine spesso non è una questione di "se" ma di "quando" le aziende online verranno attaccate. E i successi altamente pubblicizzati dei recenti attacchi ransomware significano che è probabile che questa tendenza continui.

Detto questo, ci sono molti passaggi che puoi intraprendere per rendere il tuo sito Web molto meno vulnerabile agli attacchi comuni.

Comprendere il rischio

Il ransomware è un software che un utente malintenzionato installa sul tuo server o sul tuo computer dopo aver utilizzato un exploit per ottenere l'accesso. Una volta installato, il software viene spesso eseguito automaticamente, immediatamente o dopo essere rimasto inattivo per un po'.

Fino a un paio di anni fa, gli attacchi ransomware di solito prendevano di mira le workstation Windows. Tuttavia, nel 2017 gli analisti hanno iniziato a registrare un aumento delle istanze di attacchi ai siti Web WordPress.

Una volta che il software è stato eseguito, il ransomware utilizza una potente crittografia per bloccare tutti i tuoi file, negandoti l'accesso. Quello che ti resta invece è un'interfaccia che richiede il pagamento di un riscatto – di solito in bitcoin non rintracciabili – per sbloccare i file.

Pagare il riscatto

Negli ultimi anni un certo numero di aziende di alto profilo, e persino città, sono state colpite in tutto il mondo. A giugno, Lake City in Florida ha pagato un riscatto di 500.000 dollari agli hacker che avevano preso il controllo dei loro sistemi informatici.

Ma pagare il riscatto non garantisce che gli hacker decrittograferanno i tuoi dati. E anche se lo fanno, possono lasciare parti del software per crittografare nuovamente i file in un secondo momento.

In alcuni casi, il software crea un file .php contenente un'interfaccia che dovrebbe sbloccare i file crittografati. Tuttavia, questo file non funziona e, anche se accedi, avrai bisogno di uno sviluppatore WordPress esperto per riparare tutto il codice rotto.

Mantieni tutto aggiornato

Mantenere WordPress e qualsiasi tema e plug-in aggiornati alle ultime versioni è il modo più semplice per proteggere il tuo sito Web dai ransomware. Questi aggiornamenti contengono, tra le altre cose, le ultime patch di sicurezza degli sviluppatori.

Gli hacker sono costantemente alla ricerca di vulnerabilità da sfruttare. Una volta che questi sono stati identificati, gli sviluppatori rilasciano patch per risolvere i problemi. Le versioni obsolete di WordPress presentano un'enorme vulnerabilità, poiché non saranno state sviluppate per resistere alle ultime minacce alla sicurezza.

Dovresti anche controllare regolarmente che le versioni PHP e MySQL del tuo host siano aggiornate. Una buona agenzia WordPress si occuperà di tenere tutto aggiornato per te, così non devi preoccuparti.

Proteggiti dagli attacchi di forza bruta

Un attacco di forza bruta, come suggerisce il nome, è un attacco non sofisticato in cui un bot tenta di accedere al tuo sito Web utilizzando centinaia di combinazioni di nome utente e password al minuto fino a quando non riesce a farlo correttamente.

La natura schietta di questi attacchi li rende relativamente facili da prevenire vietando gli indirizzi IP che tentano di accedere al tuo sito più volte con dettagli di accesso errati. Ma senza questo semplice livello di protezione, i bot possono continuamente tentare di ottenere l'accesso finché non hanno successo.

Limit Login Attempt Reloaded è un plugin che permette di limitare il numero di tentativi di accesso, sia attraverso la pagina di accesso che i cookie.

Imposta una forte sicurezza di accesso

Per quanto ovvio possa sembrare, l'uso di parole brevi e indovinabili - o, peggio ancora, "password" - poiché la tua password renderà il tuo sito WordPress incredibilmente vulnerabile.

Ma anche password complesse che sono state utilizzate per troppo tempo o per troppe applicazioni diverse possono diventare vulnerabili. Ti consigliamo di utilizzare un generatore di password come 1Password per creare e archiviare in modo sicuro password uniche e complesse per ogni accesso.

In alternativa, puoi aggiungere l'autenticazione a 2 fattori al tuo login WordPress utilizzando Google Authenticator. Questo ulteriore livello di sicurezza può essere abilitato in base all'utente, consentendo ai ruoli utente meno privilegiati di continuare ad accedere con una password.

Installa certificati SSL

I certificati SSL assicurano che tutti i dati passati tra il tuo computer e il tuo browser siano crittografati, rendendo molto più difficile per gli hacker intercettare la connessione.

I provider di hosting WordPress gestiti come WP Engine includono l'installazione e il rinnovo automatizzati del certificato SSL con tutti i loro piani di hosting.

Cambia il prefisso del database di WordPress

WordPress utilizza un prefisso database predefinito e l'utilizzo di questo prefisso rende il tuo sito Web vulnerabile agli attacchi di SQL injection. Ciò può essere evitato modificando il prefisso wpp- predefinito in un'altra parola.

Se hai già installato WordPress con il prefisso predefinito, non preoccuparti. Esistono numerosi plug-in che possono ancora consentirti di modificarlo: assicurati solo di eseguire prima il backup di tutto, nel caso qualcosa vada storto.

Disattiva la modifica dei file

Se gli hacker sono riusciti ad accedere alla dashboard di amministrazione di WordPress, saranno in grado di modificare tutti i file che fanno parte della tua installazione di WordPress.

L'impostazione di una forte sicurezza dell'accesso è quindi la prima linea di difesa. Tuttavia, disattivando la modifica dei file, gli hacker non saranno in grado di modificare nessuno dei tuoi file, anche se accedono alla tua dashboard.

Questo viene fatto limitando completamente il file theme-editor.php e rimuovendo l'opzione di modifica del tema dal CMS.

Misure aggiuntive

Ulteriori misure di sicurezza includono il seguire sempre le linee guida per lo sviluppo delle migliori pratiche delineate nel Codice di WordPress. Idealmente, dovresti anche eseguire una revisione tra pari del tuo codice, in quanto ciò aiuta a migliorare la qualità generale e può sradicare eventuali errori o vulnerabilità trascurati.

Dovresti anche verificare che tutti i moduli sul tuo sito Web siano protetti contro iniezioni SQL e scripting incrociato e disabilitare XMLRPC.

Un modo semplice per migliorare la sicurezza dell'accesso è impedire agli hacker di conoscere i tuoi nomi utente, poiché ciò significa che devono solo trovare le tue password per ottenere l'accesso. Puoi farlo eliminando l'utente con il nome "admin" e limitando gli endpoint predefiniti di WP-JSON per nascondere tutti gli altri nomi utente.

Puoi anche fornire un ulteriore livello di sicurezza al tuo server eseguendo un'applicazione come Sucuri, che scansiona continuamente le vulnerabilità.

Effettua regolarmente il backup del tuo sito web

Uno dei motivi principali per cui così tante aziende finiscono per pagare il riscatto agli hacker è che non disponevano di buoni backup, il che significa che il costo del riscatto sarebbe stato meno costoso della perdita di tutti i propri dati.

E con i backup, più ne hai, meglio è. Gli attacchi ransomware possono anche crittografare i tuoi backup se questi sono archiviati su un'unità locale. È possibile eseguire il backup dei dati sul server, ma i backup fuori sede archiviati in una posizione separata sono ancora più sicuri.

Gli host WordPress gestiti di solito offrono backup lato server come parte dei loro piani di hosting.

Conclusione

Anche se potresti non essere in grado di fermare definitivamente tutti gli attacchi, in particolare se la tua azienda è presa di mira, ci sono una serie di passaggi che puoi intraprendere per assicurarti che il tuo sito Web non si distingua come una facile scelta per gli hacker.

La portata e la sofisticatezza del ransomware sono in continua crescita, ma gli hacker, come la maggior parte dei criminali, sono anche opportunisti e garantire che il tuo sito Web sia meno vulnerabile della maggior parte è ancora il modo migliore per proteggere i tuoi dati.

Se desideri discutere della sicurezza del tuo sito Web WordPress e di come può essere migliorato, contattaci.