Migliaia di siti WordPress che utilizzano potenzialmente un plugin vulnerabile: ecco come mantenere il tuo sito sicuro

Nel marzo 2024 è stata scoperta una vulnerabilità critica nel plugin WordPress Automatic. Disponibile sul marketplace Code Canyon, WordPress Automatic è uno strumento automatico di raschiamento dei contenuti che recupera articoli, video, prodotti, immagini e altri tipi di contenuti da fonti esterne e ripubblica automaticamente tali contenuti sul tuo sito web.

La società di ricerca Patchstack ha scoperto la vulnerabilità, che ha consentito agli autori malintenzionati di utilizzare attacchi SQL injection per assumere il pieno controllo dei siti Web vulnerabili. Tutti i tipi di siti web, dai negozi di vaporizzazione ai blog personali, erano vulnerabili all’attacco se utilizzavano una versione senza patch del plugin.

Sebbene il plug-in sia stato aggiornato tempestivamente, alcuni proprietari di siti Web non hanno installato la patch perché non erano consapevoli della gravità del problema. Le recenti recensioni degli utenti per il plug-in automatico di WordPress suggeriscono che almeno alcuni siti Web sono stati completamente persi a causa della vulnerabilità.

Nessun sito web è completamente immune agli attacchi di hacking e WordPress – che alimenta circa il 43% di tutti i siti web del mondo – è un obiettivo prioritario per gli autori malintenzionati.

Ma ecco la buona notizia: quando un sito web viene violato, di solito non è perché un hacker ha preso di mira specificamente quel sito. Più spesso, i siti Web vengono hackerati perché utilizzano temi o plug-in WordPress vulnerabili che sono stati scoperti tramite l'uso di scanner automatizzati.

In altre parole, se il tuo sito non presenta una vulnerabilità nota che possa essere facilmente rilevata con uno scanner e sfruttata con mezzi automatizzati, gli hacker solitamente passeranno ad altro.

Con questo in mente, puoi mantenere il tuo sito WordPress abbastanza sicuro semplicemente seguendo alcune pratiche di sicurezza basate sul buon senso. In questa guida spiegheremo esattamente cosa devi fare per ridurre al minimo il rischio che un plug-in non sicuro causi la prematura scomparsa del tuo sito.

Aggiorna tempestivamente il tema e i plugin

Quando accedi a WordPress, vedrai sempre una notifica nella barra laterale se sono disponibili aggiornamenti per il tema o i plugin del tuo sito. In alcuni casi, un plugin con un aggiornamento in sospeso visualizzerà addirittura un messaggio nella parte superiore della pagina. Se il tuo sito ha un gran numero di plugin, potresti vedere notifiche di aggiornamento quasi ogni volta che accedi e talvolta potresti tendere a procrastinare quando si tratta di scaricare e installare tali aggiornamenti. Lo fai a tuo rischio e pericolo, perché non sai mai quando un aggiornamento potrebbe includere una correzione per un problema di sicurezza critico.

Il plugin automatico di WordPress è stato aggiornato immediatamente quando il suo creatore è stato informato della falla di sicurezza. Tuttavia, secondo quanto riferito, un accordo di non divulgazione ha impedito al creatore del plugin di discutere del difetto fino a quando non è stato reso pubblico da Patchstack. Per questo motivo, alcuni utenti hanno ignorato l'aggiornamento.

Mantenere i backup completi del sito e del database

Sta diventando sempre più comune per gli host web offrire backup completamente automatici di siti Web e database, il che è un'ottima cosa per la sicurezza. Se il tuo sito web viene violato, avere a disposizione un backup significa che puoi ripristinare il sito allo stato precedente, a volte con un solo clic. Se il tuo host non offre questo servizio, diversi plugin WordPress possono fare il lavoro per te. È importante, tuttavia, mantenere una libreria di backup provenienti da diversi momenti nel tempo. Se il tuo sito web è stato violato, potrebbe passare del tempo prima che te ne accorgi.

Prendi in considerazione l'esecuzione di un plugin di sicurezza

Se il tuo sito web è il tuo business, non ci sono scuse per non avere una soluzione di sicurezza di qualche tipo. Un plugin di sicurezza può monitorare automaticamente i tentativi di accesso e bloccare gli utenti che sembrano essere dannosi. Anche alcune reti di distribuzione dei contenuti forniscono questo servizio. Un plug-in di sicurezza può anche monitorare i file e il codice non elaborato del tuo sito e avvisarti se qualcosa è cambiato inaspettatamente. Se improvvisamente iniziano ad apparire nuovi file sul tuo server, è probabile che il tuo sito sia stato violato.

Ottieni i tuoi temi e plugin da una fonte attendibile

Il repository WordPress è sempre il posto più affidabile per trovare temi e plugin per il tuo sito. Poiché tutto sul sito WordPress.org è gratuito e open source, tutti i plugin e i temi sono monitorati dalla vasta comunità di volontari di WordPress. In molti casi, però, potresti aver bisogno di funzionalità che non sono disponibili in un tema o plugin gratuito e, in questo caso, dovrai pagare per il software premium. Assicurati che qualcuno abbia verificato il codice e lo abbia dichiarato sicuro.

Rimuovi temi e plugin inutilizzati

Ogni tema e ogni plug-in installato sul tuo sito Web WordPress dovrebbe essere trattato come una potenziale falla di sicurezza perché è esattamente ciò che fanno gli hacker: esaminano costantemente ogni parte del codice WordPress esistente e cercano vulnerabilità da sfruttare. Ogni volta che rimuovi un tema o un plugin dal tuo sito, elimini un potenziale punto di accesso. Controlla i plugin e i temi del tuo sito e rimuovi tutto ciò che non stai utilizzando. È anche una buona idea esaminare i plugin attivi e assicurarti di averne davvero bisogno tutti.

Trova sostituti per plugin abbandonati

È passato un po' di tempo dall'ultima volta che hai visto una notifica di aggiornamento per un particolare plugin? In tal caso, potresti voler controllare il registro delle modifiche del plug-in per determinare quando è stato aggiornato l'ultima volta. A meno che la funzionalità di un plugin non sia estremamente semplice, dovresti considerarlo abbandonato dall'autore se non è stato aggiornato da più di un anno circa. In questo caso, dovresti cercare un plugin che offra le stesse funzionalità e sia ancora aggiornato attivamente. Le falle di sicurezza possono nascondersi nei vecchi plugin per molto tempo prima di essere scoperte – e se un plugin che ha una falla non viene più aggiornato dall'autore, la vulnerabilità non verrà mai risolta.

Assumi uno sviluppatore per controllare vecchi plugin e temi

Supponiamo che il tuo sito web abbia un plugin mission-critical che è stato abbandonato dallo sviluppatore e non è più aggiornato. In tal caso, sei da solo quando si tratta di garantire che il plug-in sia sicuro e non presenti vulnerabilità. In questo caso, assumere uno sviluppatore e chiedere a quella persona di controllare il plugin per te sarebbe un’ottima idea. Il mantenimento del plug-in potrebbe diventare una spesa continua finché non ne trovi un sostituto.