WordPress : La sua più grande forza è anche la sua più grande debolezza

Tobias Schüring Ultimo aggiornamento 21.01.2020
8 Min.
Quanto è sicuro WordPress

Quanto è sicuro WordPress ? Non particolarmente, perché è dotato di una serie di gravi vulnerabilità. E poiché più del 28% di Internet attualmente gira su WordPress , è un obiettivo popolare per gli attacchi. La buona notizia: le vulnerabilità più importanti possono essere eliminate molto facilmente.

La bellezza di WordPress è che chiunque può usarlo. Infatti, tutto ciò di cui hai bisogno è una connessione a Internet e sei pronto a partire. La situazione è molto diversa con WordPress sicurezza. Forse anche solo a causa di non tutti gli utenti si preoccupano di quanto sia sicuro WordPress in realtà fuori dalla scatola.

In ogni caso, a causa dei suoi grandi punti di forza - l'incredibile gamma di funzioni e i diversi design - WordPress tende ad essere molto insicuro. La struttura modulare offre enormi punti di attacco. E, naturalmente, gli hacker sfruttano anche questi. E lo fanno automaticamente, 24 ore su 24, 365 giorni all'anno.

Ma non preoccupatevi: queste debolezze incorporate di WordPress possono essere eliminate molto facilmente. E prima di tutto completamente senza sicurezza aggiuntivaPlugin.

Naturalmente, non voglio dissuadervi dal vostro plugin di sicurezza. Potrebbe anche avere molto senso. Ma la messa in sicurezza del vostro sito WordPress non è finita con la sua installazione. E prima di lanciarsi in combattimenti di shadowboxing con pseudo minacce, ha più senso compensare le debolezze di base di WordPress .

In dettaglio, oggi ci occupiamo di

"Ma il mio sito non è affatto interessante per gli hacker".

Non fatevi illusioni: questo presupposto è semplicemente sbagliato. Ogni sito WordPress è prezioso per gli attaccanti. Per esempio, come spinner di spam, parte di una botnet o piattaforma pubblicitaria per siti di phishing.

E in caso di dubbio, all'aggressore non importa quanto piccolo, nuovo o poco visitato sia il tuo sito. Perché alla fine, siete voi e il vostro business a soffrire. Così può succedere che la tua newsletter sia classificata come spam, che gli utenti siano avvertiti di non visitare il tuo sito e che il tuo ranking su Google ne risenta perché il tuo sito è nella lista nera.

Quello che sto dicendo è che semplicemente a causa della popolarità e della proliferazione di WordPress , i siti WordPress sono un bersaglio grato. Indipendentemente dal loro contenuto e scopo.

L'area amministrativa di WP è particolarmente vulnerabile

Per default, la pagina di login è accessibile tramite il suffisso "wp-admin". Questo è il motivo per cui è spesso il bersaglio di attacchi - ad esempio i cosiddetti attacchiBrute Force . Questi attacchi sono tra gli hack più comuni contro le pagine WordPress . Questo perché sono molto facili da automatizzare. In un attacco Brute Force , l'attaccante cerca fondamentalmente di indovinare la giusta combinazione di nome utente e password. Quindi se la password è debole, o l'area di login non è protetta, può succedere che un attacco Brute Force abbia successo - e l'attaccante può entrare con successo nel vostro WP - o che la massiccia quantità di tentativi di login paralizzi il vostro sito.

Wordfence, il noto produttore dell'omonima sicurezzaPlugins, ha registrato una media di 34 milioni di attacchi Brute Force nel solo mese di marzo - e questo è quotidiano. In confronto, i cosiddetti "attacchi complessi", cioè quelli che sfruttano specifiche vulnerabilità di sicurezza, sono a un livello di 3,8 milioni di attacchi al giorno.

Statistiche su Brute Force attacchi contati da Wordfence nel marzo 2017
Il rapporto di marzo di Wordfence mostra: Il produttore di plugin è stato in grado di registrare una media di circa 34 milioni di attacchi Brute Force al giorno. Ce n'erano particolarmente tanti a metà del mese.

Tuttavia, poiché Wordfence conta solo gli attacchi che sono stati bloccati dal suo software, il numero di casi non segnalati è ancora più alto.

Ma la buona notizia è: anche se l'attacco all'area amministrativa di WP è molto facile e può essere automatizzato rapidamente, le misure di protezione contro di esso sono molto semplici. Per rendere sicura la vostra area amministrativa di WP, potete mettere dei muri protettivi in tre punti:

  1. A livello di WP, attraverso password forti
  2. Al login stesso, limitando il numero di tentativi di login
  3. Prima del login, attraverso una lista nera

1) La vecchia castagna: password forti

Brute Force gli attacchi sono attacchi molto insensati. In pratica tirano a indovinare. Ecco perché una password forte qui può effettivamente essere sufficiente per far sì che gli attacchi non vadano da nessuna parte. Quindi facciamola breve: la password forte è obbligatoria. Questo include: Lettere, numeri, caratteri speciali e lettere maiuscole e minuscole. E naturalmente, anche l'autenticazione bidirezionale ha senso.

TIP: A proposito, i gestori di password rendono facile non solo creare password sicure, ma anche gestirle. I computer Apple offrono con il programma "gestione portachiavi" per esempio un modo comodo per gestire le vostre password offline. Dovete ricordare solo una password principale (che dovrebbe essere la più complessa possibile, ovviamente). I programmi di gestione delle password basati sul cloud come 1Password, LastPass o X-Key Pass funzionano allo stesso modo.

2) Limitare il numero di accessi

Le cifre di Wordfence sono impressionanti: gli attacchi di Brute Force sono gli attacchi più frequenti sulle pagine WordPress . La probabilità che il vostro sito diventi vittima di un tale attacco è quindi molto alta. E affinché l'alto numero di tentativi di login non appesantisca inutilmente il tuo sito, c'è la possibilità di limitarli.

Per esempio, un IP viene bloccato per un certo tempo dopo tre tentativi falliti. Se poi supera di nuovo il limite, il periodo di blocco aumenta successivamente. In questo modo, si limita molto rapidamente il numero di tentativi possibili a tal punto che l'attacco diventa inutile.

A seconda di quanto bassa è impostata la soglia di blocco, questa procedura può anche proteggere da un attacco con cambio di IP. Il modo più semplice per proteggere la tua area di login è usare Plugins . Qui puoi trovare per esempio WP Limit Login Attempts, Blocco dell'accesso o uno dei grandi plugin di sicurezza come Sucuri, Wordfence o All in One WP Security. Le pagine dei clienti di RAIDBOXES sono già dotate di una protezione Brute Force sul lato server. Un ulteriore Plugin non è necessario qui.

3) Lista nera

I dipendenti delle aziende di sicurezza come Sucuri o Wordfence passano gran parte del loro tempo di lavoro ad analizzare gli attacchi. Pubblicano anche queste analisi a intervalli regolari. Uno degli aspetti più importanti in questi rapporti è regolarmente l'origine di un IP. Questo perché alcuni paesi sono sede di server che sono particolarmente inclini agli attacchi.

La lista nera degli IP corrispondenti ha quindi perfettamente senso. Soprattutto se la regione non è rilevante per il tuo gruppo target. In questo modo puoi combattere efficacemente gli attacchi prima che raggiungano il tuo sito.

Potete creare voi stessi tali liste nere implementandole a livello di server, oppure potete usare unPlugin di sicurezza con una funzione corrispondente.

Deprecato WordPress

WordPress è un sistema modulare. Consiste nel nucleo, cioè il software di base, il Plugins e il Themes. Uno dei maggiori pericoli per le installazioni WP deriva dal fatto che molti utenti non aggiornano regolarmente il loro sistema WordPress .

Questo ha le ragioni più diverse. Queste vanno dalle incompatibilità su Plugins e Themes, all'ignoranza o alla mancanza di tempo per un aggiornamento.

quanto è sicuro wordpress - più del 70 per cento di tutti i siti wordpress non eseguono la versione corrente
Questa statistica di WordPress .org mostra che il 72,5% di tutte le installazioni di WordPress non stanno eseguendo l'ultima versione di WP. Quasi il 40% sta eseguendo versioni ancora più vecchie della 4.7.

Dove possono portare gli aggiornamenti ritardati del core è stato dimostrato in modo abbastanza impressionante all'inizio dell'anno: nel febbraio 2017, una vulnerabilità di sicurezza nella versione 4.7.1 di WordPress è diventata nota, e gli utenti di WordPress sono stati invitati ad aggiornare alla versione 4.7.2 il più rapidamente possibile.

In pochissimo tempo, il rapporto ha provocato attacchi di massa ai siti WordPress (perché il divario non era ancora noto prima dell'annuncio ufficiale). I produttori del software di sicurezza corrispondente forniscono di nuovo delle cifre: in pochi giorni sono stati violati da un milione e mezzo a due milioni di siti. due milioni di pagine sono state violate. In precedenza, un dipendente di Wordfence aveva scoperto la falla nella sicurezza.

Se si ricorda che attualmente più del 28 per cento dell'intera Internet si basa su WordPress , si può avere un'idea abbastanza buona di ciò che potrebbe accadere se una tale vulnerabilità dovesse passare inosservata. È quindi consigliabile automatizzare gli aggiornamenti del core WordPress o farli automatizzare.

A proposito, questo vale soprattutto per i cosiddetti aggiornamenti minori, cioè i numeri di versione con tre cifre, ad esempio 4.7.4. Queste sono le cosiddette "release di sicurezza e manutenzione" e dovrebbero sempre essere installate il prima possibile. Per i salti di versione più grandi, ad esempio dalla 4.7 alla 4.8, la situazione è un po' diversa: qui, il focus degli aggiornamenti è sulle funzioni e sulla guida utente.

Obsoleto Plugins e Themes

Ciò che è vero per il nucleo di WordPress è naturalmente vero anche per Plugins e Themes: le versioni obsolete di Plugin contengono quasi sempre vulnerabilità di sicurezza - e quelle evitabili.

Secondo uno studio sulla sicurezza dei sistemi di gestione dei contenuti, l'Ufficio federale tedesco per la sicurezza dell'informazione (BSI) ha una visione simile. I dati del BSI si riferiscono al periodo dal 2010 al 2012. L'80% delle vulnerabilità ufficialmente segnalate potrebbero essere ricondotte a estensioni - cioè nella maggior parte dei casi a Plugins.

Una ricerca di exploit usando ExploitsDatabase ha restituito oltre 250 exploit per WordPress . La maggior parte degli exploit per WordPress Plugins sono stati inseriti qui.

- BSI (2013): "Studio sulla sicurezza dei sistemi di gestione dei contenuti (CMS)".

In pratica, Plugins è uno dei punti di attacco preferiti dagli hacker. E con più di 50.000 estensioni nella directory ufficiale dei plugin di WordPress , anche un molto produttivo. Punto di partenza per tali attacchi sono quindi le lacune nel codice di Plugins.

Qui è importante capire: Ci saranno sempre delle lacune come questa. Un sistema sicuro al 100% semplicemente non esiste. E: Aggiornamenti mancanti per uno Plugin o non significa automaticamente Theme che sia insicuro. Anche se la frequenza di aggiornamento è un buon indicatore della qualità del supporto di un produttore. Ma potrebbe benissimo essere che finora non sia stata scoperta alcuna falla nella sicurezza.

Ma se ne viene scoperta qualcuna, il fornitore del plugin fornirà (si spera) anche un aggiornamento che colma la lacuna. Se non lo fanno, sono possibili iniezioni SQL o cross site scripting (XSS). Con il primo, gli hacker manipolano il database del tuo sito. Per esempio, possono creare utenti completamente nuovi con diritti di amministratore e poi infettare il vostro sito con codice maligno o addirittura trasformarlo in uno spam spinner.

Gli attacchi XSS consistono fondamentalmente nell'inserire JavaScript nella vostra pagina. In questo modo, un aggressore può, per esempio, iniettare moduli nella vostra pagina che rubano i dati dell'utente. Completamente discreto, crittografato SSL e in un ambiente di fiducia.

E poiché Plugins e Themes offrono così tanti punti di attacco, dovresti sempre prestare attenzione al numero di Plugins e assicurarti di non lasciarli in uno stato disattivato, ma disinstallarli davvero quando non ne hai più bisogno.

hosting condiviso

Questi svantaggi WordPress sono intrinseci. Ma dal momento che il vostro sito deve essere online in qualche modo, l'hosting è anche un importante aspetto di sicurezza. Poiché la sicurezza e l'hosting sono un argomento molto complesso e sfaccettato, vorrei cogliere l'occasione per discutere solo del grande svantaggio dell'hosting condiviso. Anche in questo caso, questo non significa che voglio dissuadervi dal condividere l'hosting. Ha molto senso, soprattutto dal punto di vista del prezzo. Ma l'hosting condiviso ha uno svantaggio decisivo di cui dovreste essere consapevoli.

Perché con l'hosting condiviso, diverse pagine si trovano su uno stesso server. Le pagine condividono anche l'indirizzo IP. Questo significa che lo stato e il comportamento di una pagina possono influenzare negativamente anche tutte le altre pagine sul server. Questo effetto è chiamato Effetto Cattivo Vicino e si riferisce allo spamming, per esempio. Se una pagina sul tuo server causa l'inserimento dell'IP in una lista nera, questo può anche influenzare la tua offerta.

Inoltre, può portare a un uso eccessivo delle risorse, per esempio se una delle pagine del server è coinvolta in un attacco DDoS o è colpita da un attacco massiccio. La stabilità della vostra offerta dipende quindi in una certa misura sempre dalla sicurezza degli altri siti sul vostro server.

PerWordPress progetti WP gestiti in modo professionale, un server virtuale o dedicato ha quindi perfettamente senso. Naturalmente, i concetti di sicurezza degli hoster comprendono anche soluzioni di backup, firewall e scanner di malware, ma ne parleremo in dettaglio altrove.

Conclusione

WordPress è insicuro. E questo è dovuto alla sua struttura modulare. La sua più grande forza può quindi diventare la sua più grande debolezza. La buona notizia è che si può facilmente aggirare questa debolezza. Più dello sforzo nella gestione degli utenti e nella creazione di password così come negli aggiornamenti non è fondamentalmente necessario.

Naturalmente, queste misure non trasformano il vostro sito in Fort Knox. Ma sono la pietra angolare del vostro concetto di sicurezza. Perché se non li si osserva, possono minare tutte le altre misure di sicurezza. E ogni utente di WordPress può influenzare questi aspetti in modo indipendente. Ecco perché è così importante che tu ne sia sempre consapevole.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.