9 problemi comuni di vulnerabilità di WordPress (e come risolverli)

Uno dei modi migliori per proteggere il tuo sito Web WordPress è controllare spesso la presenza di codice potenzialmente dannoso sul tuo sito web. Ogni volta che trovi una vulnerabilità, puoi intraprendere azioni correttive immediate prima di consentire a chiunque di sfruttarla e presumibilmente entrare nel tuo pannello di amministrazione di WordPress.

Non c'è da meravigliarsi se gli hacker prendono di mira enormemente i siti Web di WordPress perché è il CMS più popolare sul mercato. Esistono diversi modi per rendere più sicura la tua installazione di WordPress. Tuttavia, la dura realtà è solo una piccola parte dei siti che li seguono. Questo rende WordPress uno degli obiettivi più facili per gli hacker.

 

Letture consigliate: 17 modi per prevenire l'hacking di WordPress

9 problemi di vulnerabilità di WordPress

1. Hosting WordPress economico

Se si opta per il proprio hosting WordPress basato esclusivamente sull'hosting, è molto probabile che si verifichi una serie di vulnerabilità di WordPress. Questo perché è più che probabile che l'hosting economico sia impostato in modo errato e non sia separato l'uno dall'altro correttamente.

Ciò significa che i siti che sono stati sfruttati su un'installazione potrebbero diffondersi a siti Web non correlati che sono ospitati sullo stesso server. Questo problema potrebbe verificarsi anche se ospiti diversi siti Web per diversi clienti sullo stesso account di hosting.

In questo caso, ancora una volta, se qualcuno dei tuoi siti web viene compromesso, l'infezione potrebbe diffondersi a TUTTI i siti web nel tuo account. È necessario fare attenzione per assicurarsi di utilizzare una configurazione come un VPS, che consente di creare una separazione tra i diversi siti Web ospitati.

Un altro problema con l'hosting a basso costo è la questione dei "vicini loschi". L'hosting economico tenderà ad attrarre clienti spam o ingannevoli: ciò potrebbe significare che il server effettivo in cui è ospitato il sito Web viene inserito nella lista nera o nella lista spam.

FIX: Innanzitutto, assicurati di non optare per l'hosting più economico che puoi trovare. Optare invece per l'hosting che rende la sicurezza una priorità. In secondo luogo, se ospiti siti Web per i tuoi clienti, assicurati di suddividere in compartimenti i diversi client creando utenti diversi per ogni cliente.  

2. Login e password deboli di WordPress

L'indirizzo di accesso a WordPress è di dominio pubblico ed esistono script di hacking il cui unico scopo è quello di forzare le combinazioni di password comuni o provare un elenco di password trapelate da altri siti.

Ciò significa che se utilizzi una password debole come admin / admin, o admin / password o altre combinazioni di password stupidamente semplici, stai introducendo una grave vulnerabilità di WordPress nel tuo sito web.

password deboli

FIX: È fondamentale che le password di accesso a WordPress utilizzino password complesse, siano archiviate in modo sicuro e non siano mai condivise con altre installazioni o piattaforme. E non usare "admin" come nome utente, scegli qualcosa che è più difficile da indovinare.

Versioni precedenti di WordPress utilizzate per creare un utente predefinito con il nome utente "admin", molti hacker presumono che le persone stiano ancora utilizzando lo stesso nome utente.

Se stai ancora utilizzando admin come nome utente dell'account amministratore, crea un nuovo account sul tuo sito WordPress e trasferisci la proprietà di tutti i post al nuovo account. Assicurati che il ruolo del nuovo utente sia un amministratore.

Al termine, puoi eliminare l'account utente con il nome utente admin o modificarne il ruolo in abbonato.

 

Se il tuo sito web è un sito di comunità con più autori, è meglio installarlo https://wordpress.org/plugins/force-strong-passwords/ plug-in sul tuo sito WordPress. Questo plugin obbliga gli utenti a utilizzare una password complessa durante la creazione di un nuovo utente.  

3. WordPress core, temi o plugin obsoleti

Come con la maggior parte dei software, WordPress in genere scopre problemi che possono essere utilizzati per hackerare un sito Web. Questi problemi vengono generalmente risolti ogni volta che viene rilasciato un aggiornamento. Ma tali aggiornamenti rilasciano anche al pubblico l'effettiva vulnerabilità di WordPress.

Ciò significa che non appena viene rilasciato un aggiornamento, verrà creato un exploit per attaccare i siti Web che non sono stati aggiornati alla versione più recente.

La stessa logica si applica ai plugin e ai temi di WordPress che possono presentare lo stesso problema. Ciò può accadere anche con software PHP, software MySQL, software server e qualsiasi altro software che non è stato aggiornato ed esiste sul server del tuo sito web.

In sostanza, se un qualsiasi software non è stato aggiornato è una papera, una vulnerabilità di WordPress in attesa di essere sfruttata.

FIX: Mantieni attivi tutti gli abbonamenti dei fornitori e assicurati di mantenere tutti i componenti aggiornati alle versioni più recenti.

4. Exploit PHP

Oltre agli exploit che esistono in WordPress stesso, è del tutto possibile che esista un exploit PHP in una libreria PHP che potrebbe non essere stata aggiornata. Il problema con questo è che la maggior parte delle volte potresti non essere nemmeno a conoscenza del fatto che una tale libreria viene utilizzata sul tuo sito web.

FIX: Per questo motivo, dovresti optare per un hosting WordPress avanzato come un VPS o un hosting WordPress gestito, dove puoi personalizzare e / o rimuovere le librerie PHP sul tuo server che non stai utilizzando e non ti servono.

5. Installazione di software da fonti pericolose

A volte, per vari motivi miopi (possibilmente monetari), potresti prendere in considerazione il download di prodotti premium da siti "loschi". In altre parole, scarica versioni piratate di plugin o temi premium.

Questo è un modo sicuro per introdurre le vulnerabilità di WordPress nei tuoi siti web. Il motivo è che il "prezzo" dell'utilizzo di tale software piratato è nascosto e nefasto. Questi plugin sono stati solitamente ottimizzati con ciò che è noto come backdoor. Le backdoor offrono agli utenti il ​​controllo remoto dei siti Web in cui sono stati installati questi plugin e gli hacker avranno il pieno controllo del tuo sito e lo useranno a loro piacimento per le loro pratiche.

backdoor software piratato

Ciò potrebbe includere l'utilizzo del tuo sito web come parte di una rete zombie (rete di computer che partecipano a una botnet o attacco DDoS), l'utilizzo del tuo sito web come parte di una rete di siti web utilizzati per infettare più utenti con vulnerabilità, per l'invio di SPAM, phishing o altro nefasto pratiche.

FIX: Evita tali fonti e assicurati di scaricare e utilizzare solo software da fonti ufficiali attendibili. Altrimenti, avrai sicuramente introdotto vulnerabilità nascoste di WordPress.

6. Siti che non utilizzano certificati protetti

I siti che non dispongono di un certificato SSL / TLS non crittografano le informazioni inviate tra il browser e il server. Ciò significa che tali informazioni, comprese le password o altri dati sensibili come le informazioni personali o di pagamento, possono essere rilevate mentre vengono trasmesse su Internet.

Il software esiste per leggere tali dati crittografati e accumulare informazioni potenzialmente preziose da utilizzare e sfruttare in seguito.

FIX: Installando e configurando un certificato protetto, le informazioni vengono crittografate prima di provenire da o verso il server

7. Exploit di inclusione di file

Gli exploit di inclusione dei file sono alcune delle vulnerabilità più comuni di WordPress sfruttate tramite codice PHP. Questo è quando una vulnerabilità di WordPress in cui un problema nel codice consente "l'elevazione dei privilegi" o "aggirare la sicurezza" in modo tale che un utente malintenzionato è in grado di caricare file in remoto per ottenere l'accesso a un sito web. Tali exploit potrebbero prendere completamente il controllo di un sito o rubare informazioni private accedendo a informazioni che in genere non sono disponibili al pubblico. 

FIX: Mantieni tutto il tuo software aggiornato alle ultime versioni e assicurati di avere installato un plugin di sicurezza per WordPress 

8. Iniezioni SQL

Le SQL injection sono una forma diversa di exploit, ma questo tipo di vulnerabilità di WordPress abusa anche di bug nel codice per eseguire azioni non previste. In sostanza, un'iniezione SQL si verifica quando un utente malintenzionato aggira le normali protezioni per accedere al database di WordPress e ai dati privati ​​del sito Web.

Accedendo al database di WordPress, possono eseguire modifiche abusive come la creazione di utenti a livello di amministratore che possono eventualmente essere utilizzati per ottenere pieno accesso al sito. Tali attacchi potrebbero essere utilizzati anche per aggiungere dati dannosi al database come collegamenti a siti Web contenenti spam o dannosi.

SELEZIONA * DA Utenti DOVE Nome ="" or ""="" E Passa ="" or ""=""

FIX: Assicurati di avere le ultime versioni del software configurate sul tuo sito e che siano mantenute aggiornate 

9. XSS o Cross-site Scripting

Questa è un'altra forma di attacco molto comune. In effetti, sono probabilmente gli exploit più comuni.

Lo scripting cross-site funziona quando un utente malintenzionato trova il modo per indurre la vittima a caricare siti Web che contengono codice Javascript specifico. Questi script vengono caricati all'insaputa dell'utente e vengono quindi caricati per poter leggere le informazioni a cui normalmente non avrebbero accesso. Ad esempio, tale codice potrebbe essere utilizzato per annusare i dati immessi in un modulo.

Nel resto di questo post, daremo un'occhiata ad alcune strategie per trovare le vulnerabilità nel tuo sito Web WordPress. Esamineremo anche vari metodi per correggere anche le vulnerabilità di WordPress.

Trovare le vulnerabilità di WordPress tramite la scansione

Come abbiamo detto come parte del nostro elenco sopra, se stai cercando temi WordPress gratuiti (o qualsiasi tema o plugin in generale) da installare sul tuo sito Web WordPress, è sempre consigliabile selezionarli dalla directory dei temi WordPress ufficiale perché il directory ufficiale garantisce la sicurezza dei tuoi temi WordPress.

Detto questo, alcuni sviluppatori e agenzie di temi legittimi preferiscono non elencare i loro temi gratuiti di qualità nella directory ufficiale perché le linee guida della directory ufficiale li limitano a includere molte funzionalità nel loro tema.

Ciò significa che, quando si tratta di scegliere un tema WordPress gratuito, la directory ufficiale dei temi WordPress non è l'unico spettacolo in città. Detto questo, quando scegli un tema al di fuori della directory ufficiale, devi avere una dose extra di responsabilità in termini di valutazione del tema.

Di seguito sono riportati alcuni metodi per verificare l'autenticità del tema WordPress e assicurarsi che sia protetto da codici potenzialmente dannosi e vulnerabilità di WordPress.

I seguenti servizi possono essere utilizzati per verificare la presenza di vulnerabilità di WordPress: 

  • geekflare
  • Sucuri
  • Target di hacker
  • Detectify
  • WPSEC
  • Sicurezza Ninja
  • Strumenti Pentest
  • WP Neurone
  • Quttera

 

Trovare le vulnerabilità di WordPress dopo l'installazione

Potresti aver già installato molti temi sul tuo sito Web WordPress. In tal caso, come verifichereste l'autenticità dei temi installati? Di seguito sono elencati alcuni metodi.

Alcuni di questi plugin non sono stati aggiornati negli ultimi anni e le versioni principali di WordPress. Ciò significa che probabilmente sono stati abbandonati e i loro risultati non sono affidabili. A meno che tu non visualizzi una versione recente, ti suggeriamo di optare per l'utilizzo Sucuri o un altro prodotto dai nostri plugin di sicurezza di WordPress lista qui.

1. Controllo dell'autenticità del tema

Controllo autenticità del tema

Il Theme Authenticity Checker è un plugin gratuito che ti consente di scansionare i file del tema per trovare se ci sono problemi di vulnerabilità di WordPress di cui devi essere a conoscenza. Se in un tema installato viene rilevato codice potenzialmente dannoso, il plug-in ti indicherà la patch, il numero di riga e visualizzerà il codice sospetto. Questo ti aiuterà a intraprendere un'azione preventiva o a sbarazzarti del tema.

Questo plugin è ottimo per verificare se nel tema installato sono stati inseriti script dannosi codificati a tua insaputa.

Sfortunatamente, questo plugin non lo ha è stato aggiornato negli ultimi 3 anni, quindi finché non vedi un aggiornamento più recente, potresti saltare questo.

2. Controllo autenticità WP

Su una linea simile è il WP Authenticity Checker. Oltre a verificare la presenza di problemi con i temi, questo plug-in esamina anche i problemi con i plug-in principali o di terza parte di WordPress per identificare eventuali vulnerabilità di WordPress.

Sfortunatamente, questo plugin hcome non aggiornato negli ultimi 2 anni anche, quindi potresti non voler fidarti completamente dei risultati di questo plugin.

controllo di autenticità wp

Semplicemente scaricalo, installalo ed esegui per scoprire eventuali problemi con eventuali temi o plugin.

3. Sfrutta lo scanner

Anche lo scanner Exploit era un prodotto che funzionava in modo simile, ma purtroppo anche questo plugin è caduto in abbandono. Per questo motivo, non è consigliabile utilizzarlo a meno che non si visualizzi un aggiornamento abbastanza recente.

sfruttare lo scanner

Exploit Scanner è un altro plug-in gratuito, che offre funzionalità più robuste rispetto a TAC. La cosa migliore è che il plug-in dello scanner di exploit ti aiuta a controllare il database della tua installazione di WordPress oltre ai file del tema.

Tieni presente che questi plugin ti mostreranno solo la vulnerabilità e spetta a te decidere quali misure preventive dovresti adottare per sradicare la vulnerabilità di WordPress.

Correzioni aggiuntive per la protezione dalle vulnerabilità di WordPress

1. Utilizzare il monitoraggio di Hackalert

Se stai cercando una soluzione premium per monitorare le vulnerabilità del tuo sito Web WordPress, non dovresti guardare altrove che il monitoraggio di Hackalert. Il monitoraggio di Hackalert è un servizio offerto da Siteground in cui ospitiamo alcuni dei nostri siti web.

Hackalert garantisce la sicurezza dei tuoi siti Web WordPress inviando un avviso e-mail ogni volta che rileva un codice potenzialmente dannoso. Inoltre, sarai aggiornato con un'e-mail settimanale con lo stato del monitoraggio hackalert del tuo sito web.

Per saperne di più sul servizio di monitoraggio Hackalert, leggi il post perché il monitoraggio di Hackalert è fantastico - 5 motivi.

Finora, abbiamo esaminato diversi modi per trovare potenziali vulnerabilità nel tuo sito Web WordPress.

Ovviamente, è sempre meglio aggiungere un ulteriore scudo di sicurezza per il tuo sito Web WordPress per impedirne l'hacking.

WordPress è noto per la sua vasta comunità di sviluppatori che vogliono rendere WordPress uno dei CMS più sicuri in circolazione.

Tuttavia, come proprietario di un sito web, dovrai adottare alcune misure di base per impedire presunti accessi alla tua dashboard.

Diamo un'occhiata ad alcune strategie per correggere le vulnerabilità del tuo sito Web WordPress.

2. Impostare un URL di accesso personalizzato per WordPress

Durante l'installazione di WordPress, WordPress crea due URL di accesso per impostazione predefinita. Sono

  • wp-login.php
  • wp-admin.php

Il problema con l'utilizzo dell'URL di accesso predefinito è che chiunque può accedere alla dashboard di WordPress dopo aver trovato (o aver indovinato correttamente) il nome utente e la password. Personalizzando l'URL della tua pagina di accesso, stai avanzando verso una maggiore sicurezza per il tuo sito Web WordPress e rendendo più difficile per i malintenzionati romperlo.

Come cambieresti l'URL di accesso del tuo sito Web WordPress?

Installa semplicemente il Accesso invisibile plug-in e personalizzare la parte Stealth del file Plugin di accesso personalizzato per nascondere il login.

impostazioni di accesso invisibili per l'accesso personalizzato

 

3. Limita il numero di tentativi di accesso

Quindi hai personalizzato l'URL di accesso del tuo sito Web WordPress per una maggiore sicurezza. Ma cosa succederebbe se i malintenzionati scoprissero l'URL di accesso effettivo? Quindi, come puoi impedire i tentativi di accesso al tuo sito web?

In tal caso, uno dei metodi migliori è limitare il numero di tentativi di accesso. Per impostazione predefinita, gli hacker possono provare tutte le password per entrare nel tuo sito web quante ne vogliono; limitando i tentativi di accesso, stai bloccando questa possibilità di attacchi di forza bruta al tuo sito web.

Installazione iThemes Sicurezza (un plug-in di sicurezza completo) o Accedi LockDown collegare. Entrambi questi plugin consentono di limitare i tentativi che un utente può fare per accedere alla dashboard. 

protezione dalla forza bruta di wordpress

4. Disabilitare la navigazione nelle directory

Per impostazione predefinita, quando il tuo visitatore naviga in una pagina e il server web non riesce a trovare un file di indice per essa, automaticamente visualizza una pagina e mostra il contenuto della directory. Il problema con questo è che chiunque può navigare in quelle directory, che possono essere vulnerabili per il tuo sito e un hacker potrebbe sfruttarlo facilmente per smantellare il tuo sito.

indice indice wp

Ad esempio, alcune directory di WordPress contengono dati sensibili come wp-content o wp-includes. Consentendo agli hacker di navigare attraverso queste cartelle, gli hacker potrebbero trovarvi potenziali exploit.

Quindi è importante per la sicurezza del tuo sito web disabilitare la navigazione nelle directory.

Come disabiliteresti la navigazione nelle directory sul tuo sito Web WordPress?

L'unica cosa che devi fare è aggiungere il codice qui sotto nella parte inferiore del file .htaccess del tuo sito Web WordPress.

Options -Indexes

Osservazioni:: Assicurati di eseguire un backup del tuo sito web prima di modificarlo. .htaccess è un file nascosto e se non riesci a trovarlo sul tuo server, devi assicurarti di aver abilitato il tuo client FTP a mostrare i file nascosti.

Lettura consigliata: Native vs. Plugin: eseguire backup di WordPress con metodi diversi

Una volta disabilitata la navigazione nelle directory, tutte le directory precedentemente visibili inizieranno a mostrare una pagina "404 Not Found" o il messaggio "403 Access Forbidden".

Scarica l'elenco dei 101 trucchi per WordPress che ogni blogger dovrebbe conoscere

101 trucchi per WordPress

Fare clic qui per eseguire il download ora

Conclusione

Nessun software è perfetto quando si tratta di sicurezza. Questo è vero anche per WordPress, quindi assicurati di aggiornare il software principale di WordPress o qualsiasi tema e plug-in ogni volta che ci sono versioni di nuove versioni per fermare qualsiasi vulnerabilità fissa di WordPress. Assicurati di abilitare l'aggiornamento automatico di WordPress o di disporre di una procedura per mantenerlo aggiornato.

Hai bisogno di aiuto per riparare e pulire il tuo WordPress? Prova questi concerti economici di prim'ordine su Fiverr!

logo fiverr

 

Clicca qui per trovare esperti su Ottimizzazione della velocità di WordPress.

Clicca qui creare un sito web completo di WordPress.

Se hai domande, chiedi di seguito nella sezione commenti e faremo del nostro meglio per aiutarti.

L'autore
Shahzad Saeed
Autore: Shahzad SaeedSito web: http://shahzadsaeed.com/
Shahzaad Saaed è stato presentato in un gran numero di siti Web di autorità, come esperto di WordPress. È specializzato in content marketing per aiutare le aziende a far crescere il proprio traffico.

Un'altra cosa... Sapevi che anche le persone che condividono cose utili come questo post sembrano FANTASTICHE? ;-)
Si per favore lasciare un utile commenta con i tuoi pensieri, quindi condividi questo articolo sui tuoi gruppi di Facebook che lo troverebbero utile e raccogliamo insieme i frutti. Grazie per la condivisione e per essere gentile!

Disclosure: Questa pagina può contenere collegamenti a siti esterni per prodotti che amiamo e consigliamo vivamente. Se acquisti prodotti che ti suggeriamo, potremmo guadagnare una commissione per segnalazione. Tali commissioni non influenzano le nostre raccomandazioni e non accettiamo pagamenti per recensioni positive.

Autore / i in primo piano su:  Inc Magazine Logo   Logo di Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   e molti altri ...