06.05.22
aggiornato al 15.06.23
Tobias Schüring
0 commenti
Indice dei contenuti
Quanto è sicuro WordPress

Sicurezza di WordPress: la sua più grande forza è anche la sua più grande debolezza

Com'è la sicurezza di WordPress? Non particolarmente bene, perché presenta una serie di gravi vulnerabilità. E dato che attualmente più del 40% di internet gira su WordPress, è un bersaglio popolare per gli attacchi. La buona notizia è che le vulnerabilità più importanti possono essere facilmente eliminate.

Il bello di WordPress è che chiunque può usarlo. Tutto ciò di cui hai bisogno è una connessione a internet e potrai iniziare a lavorare. La sicurezza di WordPress è una questione completamente diversa. Forse perché è così facile da usare, non tutti si preoccupano di quanto WordPress sia effettivamente sicuro.

In ogni caso, a causa dei suoi grandi punti di forza - l'incredibile gamma di funzioni e i diversi design - WordPress tende a essere molto insicuro. La struttura modulare offre numerosi punti di attacco. E ovviamente anche gli hacker li sfruttano. E lo fanno automaticamente, 24 ore su 24, 365 giorni all'anno.

Ma non preoccuparti: queste debolezze integrate di WordPress possono essere eliminate molto facilmente. E prima di tutto, senza bisogno di un plugin di sicurezza aggiuntivo.

Naturalmente, non voglio dissuaderti dall'utilizzare il tuo plugin di sicurezza. Potrebbe anche essere molto utile. Ma la sicurezza del tuo sito WordPress non si esaurisce con la sua installazione. E prima di impegnarti in incontri di shadow boxing con pseudo-minacce, è più sensato compensare le debolezze fondamentali di WordPress.

In dettaglio, l'argomento di oggi è:

  • l'area di amministrazione e perché è così vulnerabile
  • i punti deboli della struttura modulare di WordPress
  • il ruolo dell'hosting WordPress nella sicurezza di base del tuo sito web

"Ma il mio sito web non è abbastanza interessante".

Non fraintendetemi: questo presupposto è semplicemente sbagliato. Ogni sito web WordPress è prezioso come bersaglio. Ad esempio, come spammer, parte di una botnet o piattaforma pubblicitaria per siti web di phishing.

E nel dubbio, non importa quanto piccolo, nuovo o poco visitato sia il tuo sito web. Perché alla fine siete voi e la vostra attività a soffrirne. Può succedere che la tua newsletter venga classificata come spam, che gli utenti vengano messi in guardia dal visitare il tuo sito web e che il tuo posizionamento su Google ne risenta perché il tuo sito è finito in una lista nera.

Con questo intendo dire che, semplicemente a causa della popolarità e della diffusione di WordPress, i siti web WordPress sono un bersaglio privilegiato per gli attacchi. A prescindere dal loro contenuto e dal loro scopo.

"*" indica i campi obbligatori

Desidero iscrivermi alla newsletter per essere informato sui nuovi articoli del blog, sugli ebook, sulle funzionalità e sulle novità di WordPress. Posso ritirare il mio consenso in qualsiasi momento. Si prega di prendere nota della nostra Politica sulla Privacy.
Questo campo è per la convalida e non deve essere modificato.

L'area di amministrazione di WP è particolarmente vulnerabile

La pagina di login è accessibile per impostazione predefinita tramite il suffisso "wp-admin". Per questo motivo è un bersaglio particolarmente frequente degli attacchi, soprattutto dei cosiddetti attacchi brute force. Questi attacchi sono tra i più comuni contro i siti web WordPress perché sono facili da automatizzare. Un attacco di forza bruta cerca di indovinare la giusta combinazione di nome e password. Quindi, se la password è debole o l'area di login non è protetta, un attacco di forza bruta può avere successo e qualcun altro può accedere con successo al tuo WordPress, oppure l'enorme quantità di tentativi di login può paralizzare il tuo sito web.

Wordfenceil noto produttore dell'omonimo plugin di sicurezza, ha registrato una media di 34 milioni di attacchi brute force nel solo mese di marzo 2017 - ogni giorno. In confronto, i cosiddetti "attacchi complessi", cioè quelli che sfruttano specifiche vulnerabilità di sicurezza, si attestano su un livello di 3,8 milioni di attacchi al giorno.

Statistiche sugli attacchi brute force contati da Wordfence nel mese di marzo 2017
Il rapporto di marzo di Wordfence mostra: Il produttore del plugin ha registrato una media di circa 34 milioni di attacchi brute force al giorno. Sono stati particolarmente numerosi a metà del mese.

Tuttavia, poiché Wordfence conta solo gli attacchi respinti dal proprio software, il numero di casi non segnalati è ancora più alto.

Ma la buona notizia è che, sebbene l'attacco all'area di amministrazione di WP sia molto facile e possa essere automatizzato rapidamente, le misure di protezione contro di esso sono molto semplici. Per proteggere l'area di amministrazione di WP, puoi erigere dei muri di protezione in tre punti:

  1. A livello di WordPress, attraverso password forti
  2. Al momento dell'accesso, limitando il numero di tentativi di accesso.
  3. Prima del login, attraverso una blacklist

1) Il vecchio consiglio: password forti

Gli attacchi di forza bruta sono attacchi molto poco impegnativi. In linea di principio, si limitano a indovinare. Ecco perché una password forte può essere sufficiente a vanificare gli attacchi. Quindi, per farla breve: la password forte è obbligatoria. Questa include: Lettere, numeri, caratteri speciali e lettere maiuscole e minuscole. E ovviamente, anche l'autenticazione a due fattori ha senso.

CONSIGLIO: con i gestori di password non è solo facile creare password sicure, ma anche gestirle. I computer Apple, ad esempio, offrono un comodo modo per gestire le password offline grazie al programma "Gestione Portachiavi". Tutto ciò che devi fare è ricordare una password principale (che ovviamente deve essere il più complessa possibile). I programmi di gestione delle password basati sul cloud come 1Password, LastPass o X-Key Pass funzionano allo stesso modo.

2) Limitare il numero di accessi

Lo si può vedere in modo impressionante nei dati di Wordfence : Gli attacchi di forza bruta sono gli attacchi più comuni ai siti web WordPress. La probabilità che il tuo sito web sia vittima di un attacco di questo tipo è quindi molto alta. Affinché l'elevato numero di tentativi di accesso non appesantisca inutilmente il tuo sito web, c'è la possibilità di limitarli.

Un IP viene bloccato per un certo periodo di tempo dopo tre tentativi falliti, ad esempio. Se l'IP raggiunge di nuovo il limite, il periodo di blocco aumenta progressivamente. In questo modo, si limita molto rapidamente il numero di tentativi possibili a tal punto che l'attacco diventa inutile.

A seconda di quanto è bassa la soglia di blocco, questa procedura può anche proteggere da un attacco con IP mutevoli. Il modo più semplice per proteggere l'area di login è utilizzare dei plugin. Ad esempio, puoi utilizzare WP Limit Login Attempts, Login Lockdown o uno dei grandi plugin di sicurezza come Sucuri, Wordfence o All in One WP Security. I siti web ospitati su Raidboxes sono già dotati di protezione contro la forza bruta sul server. Un plugin aggiuntivo non è quindi necessario.

3) Lista nera

In aziende di sicurezza come Sucuri o Wordfence , gran parte del tempo di lavoro è dedicato all'analisi degli attacchi. Inoltre, pubblicano queste analisi a intervalli regolari. Uno degli aspetti più importanti di questi report è regolarmente l'origine di un IP. Questo perché i server sono situati in alcuni paesi particolarmente soggetti ad attacchi.

L'inserimento nella lista nera degli IP corrispondenti ha quindi perfettamente senso. Soprattutto se la regione non è rilevante per il tuo gruppo target. In questo modo potrai contrastare efficacemente gli attacchi prima che raggiungano il tuo sito web.

Puoi creare tu stesso queste blacklist implementandole a livello di server, oppure puoi utilizzare un plugin di sicurezza con una funzione corrispondente.

WordPress obsoleto

WordPress è un sistema modulare. È composto dal core, cioè il software di base, dai plugin e dai temi. Uno dei maggiori pericoli per le installazioni WordPress deriva dal fatto che molti siti web WordPress non ricevono aggiornamenti regolari.

Le ragioni sono molteplici. Questi problemi vanno dalle incompatibilità con i plugin e i temi all'ignoranza o alla mancanza di tempo per effettuare un aggiornamento.

A cosa può portare un ritardo negli aggiornamenti del core è stato dimostrato in modo impressionante nel febbraio 2017: è stata resa nota una vulnerabilità di sicurezza nella versione 4.7.1 di WordPress e si è chiesto di aggiornare alla versione 4.7.2 il più rapidamente possibile.

In brevissimo tempo, l'annuncio ha provocato attacchi di massa ai siti web WordPress (perché la vulnerabilità non era ancora nota prima dell'annuncio ufficiale). I produttori del relativo software di sicurezza hanno fornito ancora una volta delle cifre: in pochi giorni sono stati violati da un milione e mezzo a due milioni di siti web. In precedenza, un dipendente di Wordfence aveva scoperto la vulnerabilità di sicurezza.

Se ricordi che oltre il 43% dell' intera rete internet è attualmente basata su WordPress, puoi farti un'idea di cosa potrebbe accadere se una vulnerabilità del genere passasse inosservata. È quindi consigliabile automatizzare o far automatizzare gli aggiornamenti del core di WordPress.

Questo vale soprattutto per i cosiddetti aggiornamenti minori, ossia i numeri di versione a tre cifre, ad esempio 4.7.4. Si tratta delle cosiddette "release di sicurezza e manutenzione" e dovrebbero essere sempre installate il prima possibile. Con i salti di versione più grandi, ad esempio dalla 4.7 alla 4.8, la situazione è un po' diversa: in questo caso, gli aggiornamenti si concentrano sulle funzioni e sui miglioramenti generali.

Plugin e temi obsoleti

Ciò che vale per il nucleo di WordPress vale anche per i plugin e i temi: le versioni obsolete dei plugin nascondono quasi sempre vulnerabilità di sicurezza, per di più evitabili.

Secondo uno studio sulla sicurezza dei sistemi di gestione dei contenuti, l'Ufficio federale tedesco per la sicurezza informatica (BSI) è dello stesso parere. I dati del BSI si riferiscono al periodo compreso tra il 2010 e il 2012. L'80% delle vulnerabilità ufficialmente segnalate è riconducibile alle estensioni, ovvero nella maggior parte dei casi ai plugin.

Una ricerca di exploit con l'aiuto di ExploitsDatabase ha portato a oltre 250 exploit per WordPress. La maggior parte degli exploit per i plugin di WordPress sono stati inseriti qui.

- BSI (2013): "Studio sulla sicurezza dei sistemi di gestione dei contenuti (CMS)".

In pratica, i plugin sono uno dei punti di attacco preferiti. E con oltre 50.000 estensioni nella directory ufficiale dei plugin di WordPress, è anche molto produttivo. Il punto di partenza di questi attacchi sono le lacune nel codice dei plugin.

È importante capire questo punto: Queste lacune esisteranno sempre. Non esiste un sistema sicuro al 100%. Inoltre: la mancanza di aggiornamenti per un plugin o un tema non significa automaticamente che sia insicuro. Anche se la frequenza degli aggiornamenti è un buon indicatore della qualità del supporto di un produttore. Ma potrebbe anche essere che finora non sia stata scoperta alcuna falla nella sicurezza.

Ma se viene scoperto un problema, il fornitore del plugin fornirà (si spera) un aggiornamento per colmare la lacuna. In caso contrario, sono possibili attacchi come le iniezioni SQL o il cross site scripting (XSS). Nel primo caso, il database del sito web viene manipolato. In questo modo, possono essere creati nuovi account di amministrazione e il tuo sito web può essere infettato con codice maligno o trasformato in una discarica di spam.

Gli attacchi XSS consistono fondamentalmente nell'inserimento di JavaScript nel tuo sito web. Tra le altre cose, è possibile iniettare nel tuo sito web dei moduli che rubano i dati dell'utente. Completamente invisibile, crittografato con SSL e in un ambiente affidabile.

E poiché i plugin e i temi offrono così tanti punti di attacco, dovresti sempre prestare attenzione al numero di plugin e assicurarti di non lasciarli in stato di disattivazione, ma di disinstallarli davvero quando non ti servono più.

Hosting condiviso

Questi svantaggi sono intrinseci a WordPress. Ma poiché il tuo sito web deve essere in qualche modo online, l'hosting WordPress è anche un importante aspetto della sicurezza. Poiché la sicurezza di WordPress e l'hosting WordPress sono un argomento molto complesso e sfaccettato, in questo momento vorrei parlare solo dei principali svantaggi dell'hosting condiviso. Ancora una volta, questo non significa che voglio dissuaderti dall'utilizzare un hosting condiviso. Ha molto senso, soprattutto dal punto di vista del prezzo. Ma l'hosting condiviso comporta uno svantaggio decisivo di cui devi essere consapevole.

Con l'hosting condiviso, diversi siti web si trovano su uno stesso server. I siti web condividono anche l'indirizzo IP. Ciò significa che lo stato e il comportamento di un sito web può influenzare negativamente tutti gli altri siti web presenti sul server. Questo effetto è chiamato Effetto Vicino Cattivo e si riferisce, ad esempio, allo spamming. Se un sito web sul tuo server causa l'inserimento dell'IP nella lista nera, questo può influire anche sulla tua offerta.

Inoltre, può portare a un sovrautilizzo delle risorse, ad esempio se uno dei siti web sul server viene coinvolto in un attacco DDoS o viene colpito da un attacco massiccio. La stabilità della tua offerta dipende quindi, in una certa misura, dalla sicurezza degli altri siti web presenti sul tuo server.

Per i siti web WordPress gestiti in modo professionale, un server virtuale o dedicato ha perfettamente senso. Naturalmente, i concetti di sicurezza degli hoster includono anche soluzioni di backup, firewall e scanner di malware, ma ne parleremo in dettaglio altrove.

Conclusione

WordPress è insicuro. E questo è dovuto alla sua struttura modulare. La sua più grande forza può quindi diventare la sua più grande debolezza. La buona notizia è che puoi facilmente aggirare questa debolezza intrinseca. In linea di massima, non hai bisogno di altro che della gestione dell'account, della creazione della password e degli aggiornamenti.

Naturalmente, queste misure non trasformano il tuo sito web in Fort Knox. Ma sono la pietra miliare del tuo concetto di sicurezza. Se non le prendi in considerazione, possono compromettere tutte le altre misure di sicurezza. E puoi influenzare questi aspetti da solo. Ecco perché è così importante che tu ne sia sempre consapevole.

Ti è piaciuto l'articolo?

Con la tua valutazione ci aiuti a migliorare ancora di più i nostri contenuti. Grazie!

Tobias Schüring

Come amministratore di sistema Tobias sorveglia la nostra infrastruttura e trova ogni vite per ottimizzare le prestazioni dei nostri server. Grazie ai tuoi instancabili sforzi, spesso lo si può trovare di notte su Slack .

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *.