Sfatare i miti sulla sicurezza dell'hosting WordPress

L'hosting di WordPress è complesso. Ogni sito WordPress dipende da una pila di software e hardware creati da aziende e comunità con standard e valori difficili da comprendere dall'esterno. Ciò genera incomprensioni e miti, soprattutto per quanto riguarda la sicurezza.
In questo articolo, esaminiamo alcuni dei miti più perniciosi dell'hosting WordPress, con particolare attenzione ai miti che portano a errori di sicurezza.

I piccoli siti non vengono hackerati

I media spesso riferiscono di significative violazioni della sicurezza in cui l'obiettivo dell'attaccante sembra ovvio. Le vittime memorizzano gigabyte di dati personali che possono essere utilizzati per il furto di identità. Molti memorizzano i numeri di carta di credito, che vengono rubati per ovvi motivi. Alcuni aggressori sono coinvolti in spionaggio industriale.
Niente di tutto ciò si applica ai siti Web più piccoli con una manciata di account utente: non molti dati personali utili lì. Raramente memorizzano i numeri di carta di credito, scegliendo saggiamente di utilizzare un processore di pagamento. Allora perché un criminale dovrebbe investire lo sforzo di hackerare un piccolo sito?
Primo, non è un grande sforzo. La maggior parte degli hacker è automatizzata: i bot esplorano il Web alla ricerca di siti vulnerabili, compromettendoli con attacchi preprogrammati. L'attaccante libera i suoi bot e attende che arrivino gli indirizzi IP.
In secondo luogo, anche un piccolo sito è prezioso. Ha un pubblico che può essere infettato da malware. Può essere trascinato nella botnet dell'attaccante e utilizzato per compromettere altri siti o per prendere parte ad attacchi DDoS. Può essere utilizzato per lo spam SEO. Ogni sito Web rappresenta un pacchetto di larghezza di banda, spazio di archiviazione e potenza di elaborazione, tutti utili ai criminali.

Se funziona, perché aggiornare?

Le persone che non passano la vita a fissare il codice su uno schermo sono abbastanza soddisfatte quando la tecnologia fa quello che dovrebbe. Potrebbero ritenere che gli aggiornamenti, che apportano modifiche, siano un'interruzione indesiderata. WordPress non è difficile da imparare, ma è abbastanza difficile che il pensiero del cambiamento preoccupi alcuni dei suoi milioni di utenti.
Le persone che usano WordPress ogni giorno ci si abituano. Preferiscono evitare il cambiamento per il bene del cambiamento, e quindi sono spesso riluttanti ad aggiornare. Dopotutto, perché alterare ciò che funziona.
La risposta dello sviluppatore a questo è duplice. Il software non si ferma mai e deve cambiare per stare al passo con i cambiamenti del mondo. E, soprattutto, gli aggiornamenti risolvono i bug che causano vulnerabilità di sicurezza. Un sito che non viene aggiornato da alcuni mesi è quasi sicuramente vulnerabile. Nella sezione precedente abbiamo parlato di botnet e hacking automatizzato. Sono i sistemi di gestione dei contenuti senza patch che quei bot cercano. Alla fine, troveranno un sito senza patch e verrà violato.

Saprei se ci fosse un problema

Che aspetto ha un sito Web hackerato? Per la maggior parte, sembra un sito Web che non è stato violato, specialmente al suo proprietario. Come abbiamo discusso, i malintenzionati violano un sito Web perché vogliono i suoi dati, risorse, visitatori o potenziale SEO. Se il proprietario del sito scopre di essere stato violato, il malintenzionato perde l'accesso a tali risorse. Quindi, sono subdoli. Cercano di nascondersi.
Se osservi attentamente, potresti notare picchi nella larghezza di banda o nell'utilizzo della memoria. Se esegui regolarmente la scansione di malware, potresti trovare il loro codice dannoso. Ma se usi il sito normalmente, è improbabile che ti accorgi che qualcosa non va.
Prendi come esempio lo spam SEO. Quando un sito viene compromesso, i collegamenti ai siti che l'attaccante vuole promuovere vengono inseriti nel suo contenuto. Questi collegamenti sono visibili a Google e potrebbero essere visibili ai visitatori ordinari, ma sono nascosti alle persone che hanno effettuato l'accesso al sito.
Ecco perché è una buona idea scansionare regolarmente il tuo sito con uno strumento come Sucuri o Wordfence . Individuano il codice dannoso e te lo fanno sapere. Se non esegui la scansione, è molto probabile che tu venga a conoscenza di un attacco quando Google inizia ad avvisare il tuo pubblico che il tuo sito non è sicuro.

SSL mantiene il tuo sito sicuro

I certificati SSL hanno due lavori. Crittografano i dati che viaggiano sulla rete da un server a un browser e viceversa. E vengono utilizzati dai browser per verificare che siano connessi all'host che si aspettano. Questo è tutto ciò che fanno i certificati SSL. Sono uno strumento essenziale per la sicurezza e la privacy, ma non proteggono i dati archiviati sul server del sito. Né proteggono un sito dagli aggressori che cercano di sfruttare le vulnerabilità.

Ogni plugin di WordPress è gratuito

Questo è un mito pernicioso che induce le persone a scaricare plug-in infetti da malware. La maggior parte dei plugin di WordPress sono open source con licenza GPL. Quando lo sviluppatore distribuisce il plugin, distribuisce anche il codice sorgente. Sono tenuti a farlo dalla licenza.
Spesso, il software open source è gratuito. Non costa nulla da usare. Lo stesso WordPress è open source e gratuito. Ma alcuni software open source non sono gratuiti . I plugin Premium di WordPress rientrano in questa categoria: sono open source, ma lo sviluppatore si aspetta che gli utenti paghino un canone per utilizzare il plugin.
Quando gli utenti pagano la quota, ottengono il codice sorgente, come richiesto. Ma open source non significa che lo sviluppatore debba fornire a tutti il ​​codice sorgente: solo le persone a cui viene distribuito il plug-in, le persone che hanno pagato. Questo è comunemente frainteso. È perfettamente legale prendere il codice di un tema premium e regalarlo gratuitamente dopo averlo pagato, ma questo è sconsigliato nella community di WordPress, per ovvi motivi.
Ti starai chiedendo cosa c'entra questo con la sicurezza. I cattivi attori sanno che le persone vogliono usare plugin premium senza pagarli. Quindi, prendono il plug-in, aggiungono una spolverata di malware e lo regalano gratuitamente. Questi plug-in "annullati" o "pirati" contengono backdoor e altro codice dannoso. Quando un ignaro utente di WordPress installa il plug-in annullato, cede il controllo del proprio sito a un utente malintenzionato. Installare plug-in pirata sul tuo sito è una cattiva idea.
In questo post abbiamo trattato cinque miti comuni sull'hosting di WordPress e ce ne sono molti altri che potremmo aver incluso. Se desideri vedere un post di follow-up che si tuffa in più miti sull'hosting di WordPress, faccelo sapere nei commenti.