08.05.17
aggiornato al 21.01.20
Tobias Schüring
0 commenti
Quanto è sicuro WordPress

WordPress : La sua più grande forza è anche la sua più grande debolezza

Quanto è sicuro WordPress? Non particolarmente, perché presenta una serie di gravi vulnerabilità. E poiché oltre il 28% di Internet è attualmente basato su WordPress, è un bersaglio popolare per gli attacchi. La buona notizia è che le vulnerabilità più importanti possono essere eliminate molto facilmente.

Il bello di WordPress è che chiunque può usarlo. Tutto ciò di cui hai bisogno è una connessione a internet e potrai iniziare a lavorare. La situazione è molto diversa quando si parla di sicurezza di WordPress. Forse proprio a causa di Forse perché è così facile da usare, non tutti gli utenti si preoccupano di scoprire quanto WordPress sia effettivamente sicuro.

In ogni caso, a causa dei suoi grandi punti di forza - l'incredibile gamma di funzioni e i diversi design - WordPress tende a essere molto insicuro. La struttura modulare offre numerosi punti di attacco. E ovviamente anche gli hacker sfruttano questi aspetti. E lo fanno automaticamente, 24 ore su 24, 365 giorni all'anno.

Ma non preoccuparti: questi punti deboli di WordPress possono essere eliminati molto facilmente. E prima di tutto, senza alcun plugin di sicurezza aggiuntivo.

Naturalmente, non voglio convincerti a rinunciare al tuo plug-in di sicurezza. Potrebbe anche avere molto senso. Ma la protezione del tuo sito WordPress non si esaurisce con la sua installazione. E prima di impegnarti in incontri di shadow boxing con pseudo-minacce, è più sensato compensare le debolezze fondamentali di WordPress.

In dettaglio, l'argomento di oggi è

"Ma il mio sito non è affatto interessante per gli hacker".

Non fraintendetemi: questo presupposto è semplicemente sbagliato. Ogni sito WordPress è prezioso per gli aggressori. Ad esempio, come spam spinner, parte di una botnet o piattaforma pubblicitaria per siti di phishing.

E in caso di dubbio, all'attaccante non importa quanto piccolo, nuovo o poco visitato sia il tuo sito. Perché alla fine sei tu e la tua azienda a soffrirne. Può succedere che la tua newsletter venga classificata come spam, che gli utenti vengano avvertiti di non visitare il tuo sito e che il tuo posizionamento su Google ne risenta. il tuo sito è nella lista nera.

Intendo dire che, semplicemente a causa della popolarità e della diffusione di WordPress, i siti WordPress sono un bersaglio privilegiato per gli attacchi. A prescindere dal loro contenuto e dal loro scopo.

L'area di amministrazione di WP è particolarmente vulnerabile

La pagina di login è accessibile per impostazione predefinita tramite il suffisso "wp-admin". Per questo motivo è un bersaglio particolarmente frequente di attacchi, ad esempio i cosiddetti attacchi di forza bruta. Questi attacchi sono tra gli hack più comuni contro i siti WordPress. Questo perché sono molto facili da automatizzare. In un attacco di forza bruta, l'attaccante cerca di indovinare la giusta combinazione di nome utente e password. Quindi, se la password è debole o l'area di login non è protetta, può accadere che un attacco di forza bruta abbia successo - e l'aggressore riesca ad accedere al tuo WP - oppure che l'enorme quantità di tentativi di login paralizzi il tuo sito.

Wordfence, il noto produttore dell'omonimo plug-in di sicurezza, ha registrato una media di 34 milioni di attacchi di forza bruta solo nel mese di marzo - e questo è giornaliero. In confronto, i cosiddetti "attacchi complessi", cioè quelli che sfruttano specifiche falle di sicurezza, si attestano a un livello di 3,8 milioni di attacchi al giorno.

Statistiche sugli attacchi brute force contati da Wordfence nel mese di marzo 2017
Il rapporto di marzo di Wordfence mostra: Il produttore del plug-in ha registrato una media di circa 34 milioni di attacchi brute force al giorno. Sono stati particolarmente numerosi a metà del mese.

Tuttavia, poiché Wordfence conta solo gli attacchi respinti dal proprio software, il numero di casi non segnalati è ancora più alto.

Ma la buona notizia è che, sebbene l'attacco all'area di amministrazione di WP sia molto facile e possa essere automatizzato rapidamente, le misure di protezione contro di esso sono molto semplici. Per proteggere l'area di amministrazione di WP, puoi erigere dei muri di protezione in tre punti:

  1. A livello di WP, attraverso password forti
  2. Al momento dell'accesso, limitando il numero di tentativi di accesso.
  3. Prima del login, attraverso una blacklist

1) Il vecchio consiglio: password forti

Gli attacchi di forza bruta sono attacchi molto poco impegnativi. In linea di principio, si tratta solo di ipotesi. Ecco perché una password forte può essere sufficiente a vanificare gli attacchi. Quindi, per farla breve: la password forte è obbligatoria. Questo include: Lettere, numeri, caratteri speciali e lettere maiuscole e minuscole. E ovviamente ha senso anche l'autenticazione bidirezionale.

CONSIGLIO: Con i gestori di password non solo è facile creare password sicure, ma anche gestirle. I computer Apple, ad esempio, offrono un comodo modo per gestire le password offline grazie al programma "Gestione Portachiavi". Tutto ciò che devi fare è ricordare una password principale (che, ovviamente, deve essere il più complessa possibile). I programmi di gestione delle password basati sul cloud come 1Password, LastPass o X-Key Pass funzionano allo stesso modo.

2) Limitare il numero di accessi

Lo si può vedere in modo impressionante nei dati di Wordfence : Gli attacchi di forza bruta sono gli attacchi più comuni ai siti WordPress. La probabilità che il tuo sito sia vittima di un attacco di questo tipo è quindi molto alta. Affinché l'elevato numero di tentativi di accesso non appesantisca inutilmente il tuo sito, c'è la possibilità di limitarli.

Dopo tre tentativi falliti, ad esempio, un IP viene bloccato per un certo periodo di tempo. Se poi supera di nuovo il limite, il periodo di blocco aumenta progressivamente. In questo modo, limiterai il numero di tentativi possibili molto rapidamente, al punto che l'attacco diventerà inutile.

A seconda di quanto è bassa la soglia di blocco, questa procedura può anche proteggere da un attacco con IP mutevoli. Il modo più semplice per proteggere l'area di login è utilizzare dei plugin. Qui puoi trovare, ad esempio, WP Limit Login Attempts, Blocco dell'accesso oppure uno dei grandi plugin di sicurezza come Sucuri, Wordfence o Sicurezza WP tutto in uno. Le pagine dei clienti di Raidboxes sono già dotate di protezione contro la forza bruta sul server. Un plugin aggiuntivo non è quindi necessario in questo caso.

3) Lista nera

I dipendenti di aziende di sicurezza come Sucuri o Wordfence dedicano gran parte del loro tempo lavorativo all'analisi degli attacchi. Inoltre, pubblicano queste analisi a intervalli regolari. Uno degli aspetti più importanti di questi rapporti è l'origine regolare di un IP. Questo perché i server si trovano in alcuni paesi che effettuano attacchi con particolare frequenza.

L'inserimento nella lista nera degli IP corrispondenti ha quindi perfettamente senso. Soprattutto se la regione non è rilevante per il tuo gruppo target. In questo modo potrai contrastare efficacemente gli attacchi prima che raggiungano il tuo sito.

Puoi creare tu stesso queste blacklist implementandole a livello di server, oppure puoi utilizzare un plugin di sicurezza con la funzione corrispondente.

WordPress obsoleto

WordPress è un sistema modulare. Si compone del nucleo, cioè del software principale, dei plugin e dei temi. Uno dei maggiori pericoli per le installazioni WP deriva dal fatto che molti utenti non aggiornano regolarmente il loro sistema WordPress.

Le ragioni sono molteplici. Questi problemi vanno dalle incompatibilità con i plugin e i temi all'ignoranza o alla mancanza di tempo per effettuare un aggiornamento.

Quanto è sicuro wordpress: oltre il 70% di tutti i siti wordpress non utilizza la versione attuale
Questa statistica di WordPress.org mostra che il 72,5% di tutte le installazioni di WordPress non sta eseguendo l'ultima versione di WP. Quasi il 40% funziona addirittura con versioni più vecchie della 4.7.

Le conseguenze di un ritardo negli aggiornamenti del core sono state dimostrate in modo impressionante all'inizio dell'anno: nel febbraio 2017 è stata resa nota una vulnerabilità di sicurezza nella versione 4.7.1 di WordPress e gli utenti di WordPress sono stati invitati ad aggiornare alla versione 4.7.2 il più rapidamente possibile.

In brevissimo tempo, l'annuncio ha provocato attacchi di massa ai siti WordPress (perché la vulnerabilità non era ancora nota prima dell'annuncio ufficiale). I produttori dei relativi software di sicurezza forniscono ancora una volta delle cifre: in pochi giorni sono stati violati in totale da un milione e mezzo a due milioni di siti. due milioni di pagine sono state violate. In precedenza, un dipendente di Wordfence aveva scoperto la vulnerabilità di sicurezza.

Se si ricorda che attualmente più del 28% L'intero internet è basato su WordPress, quindi puoi farti un'idea di cosa potrebbe accadere se una vulnerabilità del genere passasse inosservata. È quindi consigliabile automatizzare o far automatizzare gli aggiornamenti del nucleo di WordPress.

Questo vale soprattutto per i cosiddetti aggiornamenti minori, ovvero i numeri di versione a tre cifre, ad esempio 4.7.4. Questi sono i cosiddetti "rilasci di sicurezza e manutenzione" e devono essere installati il prima possibile. Nel caso di salti di versione più ampi, ad esempio dalla 4.7 alla 4.8, la situazione è un po' diversa: in questo caso gli aggiornamenti si concentrano sulle funzioni e sulla guida all'uso.

Plugin e temi obsoleti

Ciò che vale per il nucleo di WordPress vale naturalmente anche per i plugin e i temi: le versioni obsolete dei plugin nascondono quasi sempre vulnerabilità di sicurezza, per di più evitabili.

Secondo uno studio sulla sicurezza dei sistemi di gestione dei contenuti, l'Ufficio federale tedesco per la sicurezza informatica (BSI) è dello stesso parere. I dati del BSI si riferiscono al periodo compreso tra il 2010 e il 2012. L'80% delle vulnerabilità ufficialmente segnalate è riconducibile alle estensioni, ovvero nella maggior parte dei casi ai plug-in.

Una ricerca di exploit con l'aiuto di ExploitsDatabase ha portato a oltre 250 exploit per WordPress. La maggior parte degli exploit per i plugin di WordPress sono stati inseriti qui.

- BSI (2013): "Studio sulla sicurezza dei sistemi di gestione dei contenuti (CMS)".

In pratica, i plugin sono uno dei punti di attacco preferiti dagli hacker. E con più di 50.000 estensioni nella directory ufficiale dei plugin di WordPress, è anche molto produttivo. Il punto di partenza di questi attacchi sono quindi le lacune nel codice dei plugin.

È importante capire questo punto: Queste lacune esisteranno sempre. Un sistema sicuro al 100% semplicemente non esiste. E: la mancanza di aggiornamenti per un plug-in o un tema non significa automaticamente che sia insicuro. Anche se la frequenza di aggiornamento è un buon indicatore della qualità del supporto di un produttore. Ma potrebbe anche essere che finora non sia stata scoperta alcuna falla nella sicurezza.

Ma se ne viene scoperta qualcuna, il fornitore del plug-in fornirà (si spera) un aggiornamento che colmi la lacuna. In caso contrario, è possibile che si verifichino iniezioni di SQL o cross site scripting (XSS). Nel primo caso, gli hacker manipolano il database del tuo sito. In questo modo, possono, ad esempio, creare utenti completamente nuovi con diritti di amministrazione e quindi infettare il tuo sito con codice maligno o addirittura trasformarlo in una fonte di spam.

Gli attacchi XSS consistono fondamentalmente nell'inserimento di JavaScript nella pagina. In questo modo, un malintenzionato può, ad esempio, inserire nella tua pagina dei moduli che rubano i dati dell'utente. Completamente invisibile, crittografato SSL e in un ambiente affidabile.

E poiché i plug-in e i temi offrono così tanti punti di attacco, dovresti sempre prestare attenzione al numero di plug-in e assicurarti di non lasciarli in stato di disattivazione, ma di disinstallarli davvero quando non ti servono più.

Hosting condiviso

Questi svantaggi sono intrinseci a WordPress. Ma dato che il tuo sito deve essere online in qualche modo, l'hosting è anche un importante aspetto della sicurezza. Poiché la sicurezza e l'hosting sono un argomento molto complesso e sfaccettato, in questo momento vorrei parlare solo dei principali svantaggi dell'hosting condiviso. Ancora una volta, questo non significa che voglio convincerti a rinunciare all'hosting condiviso. Ha molto senso, soprattutto dal punto di vista del prezzo. Ma l'hosting condiviso presenta uno svantaggio decisivo di cui devi essere consapevole.

Con l'hosting condiviso, diverse pagine si trovano su uno stesso server. Le pagine condividono anche l'indirizzo IP. Ciò significa che lo stato e il comportamento di una pagina possono influenzare negativamente anche tutte le altre pagine del server. Questo effetto è chiamato Effetto Cattivo Vicino e si riferisce, ad esempio, allo spamming. Se una pagina del tuo server causa l'inserimento dell'IP nella lista nera, questo può influire anche sulla tua offerta.

Inoltre, può portare a un sovrautilizzo delle risorse, ad esempio se una delle pagine del server è coinvolta in un attacco DDoS o viene colpita da un attacco massiccio. La stabilità della tua offerta dipende quindi, in una certa misura, dalla sicurezza delle altre pagine del tuo server.

Per i progetti WP WordPress gestiti in modo professionale, un server virtuale o dedicato ha perfettamente senso. Naturalmente, i concetti di sicurezza degli host includono anche soluzioni di backup, firewall e scanner di malware, ma ne parleremo in dettaglio altrove.

Conclusione

WordPress è insicuro. E questo grazie alla sua struttura modulare. La sua più grande forza può quindi diventare la sua più grande debolezza. La buona notizia è che puoi facilmente aggirare questa debolezza. In linea di massima, non ti serve altro che l'impegno necessario per l'amministrazione degli utenti e la creazione delle password, oltre che per gli aggiornamenti.

Naturalmente, queste misure non trasformano il tuo sito in Fort Knox. Ma sono la pietra miliare del tuo concetto di sicurezza. Se non le prendi in considerazione, possono compromettere tutte le altre misure di sicurezza. E ogni utente di WordPress può influenzare questi aspetti in modo indipendente. Ecco perché è così importante che tu ne sia sempre consapevole.

Ti è piaciuto l'articolo?

Con la tua valutazione ci aiuti a migliorare ancora di più i nostri contenuti. Grazie!

Tobias Schüring

Come amministratore di sistema Tobias sorveglia la nostra infrastruttura e trova ogni vite per ottimizzare le prestazioni dei nostri server. Grazie ai tuoi instancabili sforzi, spesso lo si può trovare di notte su Slack .

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *.