22 modi in cui WordPress è vulnerabile ai tentativi di hacking

WordPress è incredibilmente popolare. Non c'è modo di aggirare questo fatto.

A partire dal 2022, WordPress detiene attualmente il 64,3% della quota di mercato dei siti Web che dispongono di un CMS identificabile, secondo W3Techs.

WordPress è particolarmente vulnerabile agli attacchi dannosi non perché non sia sicuro ma perché è così popolare.

Ma proprio come ha detto Spiderman, "da un grande potere derivano grandi responsabilità", si potrebbe dire lo stesso di WordPress. Cioè, "con una grande popolarità arriva un enorme aumento dei tentativi di hacking".

Ora, non lasciarti abbattere.

Sì, WordPress riceve più tentativi di hacking rispetto ad altri CMS. Ma è comunque un'ottima piattaforma da utilizzare.

In realtà basta implementare alcune semplici soluzioni per proteggere il tuo sito Web dalla stragrande maggioranza degli attacchi.

In questo articolo, esploreremo i motivi più comuni per cui i siti Web WordPress vengono violati e come risolvere rapidamente queste vulnerabilità.

Perché le persone hackerano i siti Web in primo luogo?

In generale, ci sono quattro motivi per cui qualcuno potrebbe voler hackerare il tuo sito Web WordPress:

1. Per inserire codice o contenuti dannosi che possono in qualche modo danneggiare i tuoi visitatori. Questo è noto come un "attacco dannoso". Secondo Sucuri Security, questi attacchi malware rappresentano circa il 64% degli hack di WordPress.
2. Per utilizzare le risorse del tuo sito web per i propri scopi. Ad esempio, per aiutare come parte di una botnet in un attacco "denial of service" o "DDoS".
3. Per utilizzare lo scripting tra siti. Funziona facendo in modo che qualcuno carichi siti Web che hanno JavaScript non sicuro su di essi. Questi script quindi rubano i dati del browser e costituiscono circa il 54% delle vulnerabilità di sicurezza di WordPress a partire dal 2022, secondo iThemes.
4. Per dirottare il tuo sito Web per utilizzarlo in uno schema di phishing. In altre parole, per indurre i tuoi visitatori a fornire informazioni personali come password o numeri di carta di credito.

L'obiettivo finale di tutti questi metodi è quasi sempre quello di rubare informazioni. Queste informazioni vengono utilizzate per rubare l'identità di una persona o per rubare denaro.

Per fortuna, con poche semplici soluzioni, puoi proteggere il tuo sito web dalla maggior parte degli hacker.

22 motivi per cui i siti Web WordPress vengono violati frequentemente e come risolverli

Quindi vuoi sicuramente usare WordPress ma vorresti evitare la possibilità di essere hackerato. Suona giusto?

Sei fortunato!

Abbiamo messo insieme 22 diversi motivi per cui i siti Web WordPress in particolare vengono hackerati.

Ti mostriamo anche cosa puoi fare al riguardo e come difendere il tuo sito web il più umanamente possibile.

1. WordPress è facile da sfruttare

In cima alla nostra lista qui oggi c'è il fatto che WordPress è facile da sfruttare. Poiché WordPress è open-source, chiunque può visualizzare il codice. Quindi, una volta trovata una vulnerabilità, è disponibile per tutti da vedere e potenzialmente sfruttare.

Come sistemarlo:

Anche se non puoi fare nulla per il fatto che WordPress è un obiettivo, puoi adottare misure per assicurarti che il tuo sito Web sia il più sicuro possibile.

Parleremo di più su come farlo più avanti in questo articolo ma, per ora, sappi solo che è importante mantenere aggiornata l'installazione di WordPress, utilizzare password complesse e installare un plug-in di sicurezza.

2. WordPress è super popolare

Come abbiamo appena discusso in precedenza, WordPress è uno dei sistemi di gestione dei contenuti più popolari al mondo.

Sfortunatamente, ciò significa che è anche un obiettivo primario per gli hacker.

Sanno che se possono investire del tempo per trovare una vulnerabilità in WordPress, saranno in grado di sfruttare molti siti Web con la stessa vulnerabilità.

Come sistemarlo:

Il modo migliore per combattere questo problema è mantenere aggiornati l'installazione, i temi e i plug-in di WordPress.

Quando viene rilasciata una nuova patch di sicurezza per WordPress, è importante aggiornare il tuo sito web il prima possibile. In questo modo, puoi essere sicuro di essere meno suscettibile a una qualsiasi delle vulnerabilità note.

Ma ne parleremo tra poco.

3. I siti WordPress spesso mancano di misure di sicurezza di base

Molti utenti di WordPress non prendono le misure necessarie per proteggere i propri siti web. Questo è solo un dato di fatto.

Ora, potrebbero non rendersi conto di quanto sia facile da fare o potrebbero non pensare che il loro sito Web sia un obiettivo.

Ma la verità è che anche un piccolo sito web può essere un bersaglio per gli hacker. Se non prendi le misure necessarie per proteggere il tuo sito web, sarà un bersaglio facile.

Come sistemarlo

Il primo passo è informarti sulle misure di sicurezza di base che dovresti adottare per proteggere il tuo sito Web WordPress.

Per alcuni, questo significherà l'installazione di un plug-in di sicurezza. Per altri, ciò significherà intraprendere un protocollo di rafforzamento.

La buona notizia è che questo post copre la maggior parte di ciò che devi sapere.

4. I siti Web WordPress sono spesso ospitati su server condivisi

Un altro motivo per cui i siti Web WordPress sono vulnerabili ai tentativi di hacking è perché sono spesso ospitati su server condivisi.

Molti proprietari di siti Web non si rendono conto che il server su cui è ospitato il loro sito Web può avere un grande impatto sulla sicurezza del loro sito Web.

Se il server su cui è ospitato il tuo sito Web non è adeguatamente protetto, può lasciare il tuo sito Web aperto ad attacchi.

Come sistemarlo

Il primo passo è assicurarsi di utilizzare una società di hosting rispettabile.

Fai qualche ricerca e leggi le recensioni per trovare una società di hosting che prenda sul serio la sicurezza. Siamo particolarmente affezionati a SiteGround, DreamHost e Hostinger.

Una volta trovata una buona società di hosting, assicurati che il tuo sito web sia ospitato su un server sicuro.

5. Password errate (e non forzate quelle forti) senza autenticazione a due fattori

L'abbiamo sentito tutti un milione di volte, ma vale la pena ripeterlo: uno dei modi più semplici per proteggere il tuo sito Web WordPress è utilizzare password complesse.

Molti proprietari di siti Web WordPress non seguono questo consiglio e utilizzano password deboli che sono facili da indovinare.

Ancora peggio, alcuni utenti di WordPress non costringono i propri utenti a utilizzare password complesse anche con l'autenticazione a due fattori. Questo rende gli attacchi di forza bruta ancora più probabili.

Come sistemarlo

Cambiare la tua password in qualcosa di più difficile da indovinare è il primo passo.

La tua password dovrebbe essere lunga almeno 8 caratteri e dovrebbe includere un mix di lettere maiuscole e minuscole, numeri e simboli.

Se non sei sicuro di come creare una password complessa, puoi utilizzare un generatore di password per crearne una per te.

Alcune buone opzioni includono:

• Generatore di password LastPass
• Generatore di password complesse
• Norton Password Manager

Una volta ottenuta una password complessa, il passaggio successivo è assicurarsi che anche gli utenti utilizzino password complesse.

Puoi farlo costringendoli a utilizzare password complesse quando creano un account.

Per fare ciò, dovrai installare un plug-in di sicurezza. Password Policy Manager è una buona opzione gratuita.

Installa e attiva questo plug-in come faresti con qualsiasi altro, quindi fai clic su MiniOrange Password Policy nella dashboard di WordPress.

Da qui, puoi impostare le tue regole per la password.

Seleziona il numero di caratteri richiesto e decidi se desideri obbligare gli utenti a utilizzare lettere maiuscole e minuscole, numeri e caratteri speciali.

6. Nessuna misura di indurimento

Un altro errore di sicurezza comune che commettono i proprietari di siti Web WordPress è non adottare alcuna misura di rafforzamento.

Le misure di rafforzamento sono passaggi che puoi adottare per rendere più sicuro il tuo sito Web WordPress. Spesso sono semplici cose che puoi fare, come cambiare il prefisso del database predefinito o rimuovere il file readme.

Ma, anche se sono semplici, possono fare una grande differenza nella sicurezza del tuo sito web.

Come sistemarlo

L'indurimento di WordPress può assumere diverse forme. Ma una delle cose più semplici che puoi fare è cambiare il prefisso del database predefinito.

Collegati al tuo sito WordPress tramite il tuo client FTP preferito, quindi aggiungi la seguente riga al tuo file wp-config.php :

 $table_prefix = 'wp_';

Un'altra semplice misura di rafforzamento che puoi adottare è rimuovere il file readme. Puoi farlo eliminando il file readme.html dalla directory di WordPress.

Uno dei modi migliori per implementare una gamma completa di pratiche di rafforzamento è installare un plug-in di sicurezza, che ci porta al punto successivo.

Abbiamo un post dedicato alla personalizzazione del file wp-config qui.

7. Nessun plug-in di sicurezza

Una delle cose più importanti che puoi fare per proteggere il tuo sito Web WordPress è installare un plug-in di sicurezza.

Un plug-in di sicurezza aggiungerà un ulteriore livello di protezione al tuo sito Web e può aiutarti a risolvere rapidamente eventuali problemi di sicurezza che si presentano.

E la parte migliore è che un plug-in come questo è relativamente pratico: basta configurarlo e il tuo sito è protetto.

Come sistemarlo:

Il primo passo è trovare un buon plug-in di sicurezza per il tuo sito Web WordPress. Ci sono molte ottime opzioni là fuori.

Ecco alcuni dei migliori artisti:

Sicurezza Sucuri

Questo plugin è un'ottima opzione per i proprietari di siti Web WordPress che cercano una soluzione di sicurezza completa.

Include funzionalità come la scansione del malware, il monitoraggio della blacklist e la rimozione remota del malware.

MalCare

Un'altra grande opzione è MalCare. Fornisce una gamma completa di funzionalità di sicurezza, tra cui la scansione completa del sito, un firewall in tempo reale e strumenti di rimozione del malware. Offre anche queste funzionalità di protezione del sito senza compromettere la velocità del sito web.

Dopo aver scelto un plugin, installalo e configuralo secondo le istruzioni del plugin.

8. Permessi file errati

Un altro errore di sicurezza comune commesso dai proprietari di siti Web WordPress è non impostare le autorizzazioni file corrette.

I permessi dei file determinano chi può leggere, scrivere ed eseguire un file. Se non sono impostati correttamente, possono lasciare il tuo sito Web WordPress vulnerabile agli attacchi.

Come sistemarlo

Il primo passo è connettersi al tuo sito Web WordPress utilizzando un client FTP.

Una volta connesso, dai un'occhiata alle autorizzazioni per i seguenti file e directory:

• wp-admin
• wp-include
• contenuto wp

Questi file e directory dovrebbero avere un'autorizzazione di 755.

I numeri indicano le autorizzazioni effettive:

• 3 = (2 + 1) = Scrivi + Esegui
• 5 = (4 + 1) = Leggi + Esegui
• 6 = (4 + 2) = Leggi + Scrivi
• 7 = (4 + 2 + 1) = Leggi + Scrivi + Esegui

Quindi 755 fornisce lettura + scrittura + esecuzione a chiunque sia un utente registrato. Non è l'ideale.

Quindi, dai un'occhiata alle autorizzazioni per i seguenti file:

• index.php
• wp-login.php
• wp-blog-header.php

Questi file dovrebbero avere un'autorizzazione di 644.

Scopri di più sui permessi dei file qui.

9. Troppi utenti con privilegi di amministratore

Dare a troppi utenti privilegi di amministratore è un altro errore di sicurezza cruciale che può mettere a rischio il tuo sito.

I privilegi di amministratore offrono a un utente il controllo completo su un sito Web WordPress. Se un account utente con privilegi di amministratore viene violato, può rendere vulnerabile l'intero sito Web.

Come sistemarlo

Assicurati che tutti gli utenti del tuo sito dispongano solo del livello di autorizzazione necessario per completare il proprio lavoro in modo efficace. È qui che entrano in gioco i ruoli utente.

Un collaboratore occasionale non ha bisogno di essere un amministratore. Seleziona invece Collaboratore o Scrittore durante la creazione dell'account.

Se devi modificare il ruolo utente di un utente esistente, vai su Utenti > Tutti gli utenti nella dashboard di WordPress, quindi fai clic sul nome dell'utente a cui desideri apportare le modifiche.

Scorri verso il basso fino a visualizzare un menu a discesa accanto a Ruolo . Fare clic su di esso e selezionare il ruolo utente appropriato per questo utente.

Al termine delle modifiche, scorri verso il basso fino alla fine della pagina e fai clic su Aggiorna utente .

Ulteriori informazioni sui ruoli utente di WordPress.

10. Non utilizzare i registri delle attività

Tenere un registro delle attività è uno dei modi migliori per monitorare il tuo sito Web WordPress per attività sospette.

Un registro delle attività terrà traccia di ogni modifica apportata al tuo sito Web WordPress. E, se succede qualcosa di sospetto, sarai in grado di identificarlo rapidamente e agire.

Quindi, puoi vedere come se non tieni d'occhio il loro sito Web, potresti perdere importanti minacce alla sicurezza.

Come sistemarlo

Il primo passo è trovare un buon plug-in per il registro delle attività per il tuo sito Web WordPress.

Ci sono alcune ottime opzioni là fuori, ma una delle migliori è il plugin WP Activity Log.

Dopo aver installato e attivato il plug-in, inizierà a tracciare ogni modifica apportata al tuo sito Web WordPress, il che rende molto più facile vedere quando sta succedendo qualcosa di dannoso.

11. File core di WordPress obsoleti

Una delle cose più importanti che puoi fare per mantenere sicuro il tuo sito Web WordPress è assicurarsi che i file principali siano sempre aggiornati.

WordPress rilascia regolarmente nuove versioni del suo software. Ogni nuova versione include correzioni di sicurezza per eventuali vulnerabilità note.

Se non utilizzi l'ultima versione di WordPress, il tuo sito Web potrebbe essere vulnerabile agli attacchi.

Come sistemarlo

Il modo più semplice per aggiornare i file core di WordPress è accedere alla dashboard di WordPress e quindi fare clic sul collegamento Aggiornamenti nella parte superiore dello schermo.

Se sono disponibili aggiornamenti, vedrai un messaggio che dice che è disponibile una nuova versione di WordPress.

Fare clic sul pulsante Aggiorna ora per aggiornare i file di WordPress. Ti consigliamo sempre di eseguire il backup del tuo sito prima dell'aggiornamento, per ogni evenienza.

12. Temi e plugin obsoleti

Oltre a mantenere aggiornati i file core di WordPress, devi anche assicurarti che i tuoi temi e plugin siano sempre aggiornati.

Come WordPress Core, i temi e i plug-in vengono aggiornati regolarmente per correggere le vulnerabilità della sicurezza e aggiungere nuove funzionalità.

Se stai utilizzando un tema o un plug-in obsoleto, il tuo sito Web potrebbe essere a rischio.

Come sistemarlo

Accedi alla dashboard di WordPress e quindi fai clic sul collegamento Aggiornamenti nella barra laterale di sinistra.

Se sono disponibili aggiornamenti per i tuoi temi o plugin, vedrai un messaggio che dice che è disponibile una nuova versione.

13. Temi e plugin mal codificati

A volte, nessuna quantità di aggiornamenti può risolvere un problema con un plug-in o un tema. Devi stare attento a quali temi e plugin stai utilizzando in primo luogo.

Alcuni temi e plugin sono codificati male e possono introdurre vulnerabilità di sicurezza nel tuo sito Web WordPress.

Come sistemarlo

Per evitare ciò, scarica solo temi e plugin da fonti affidabili. Il posto migliore per trovare temi e plugin affidabili è la directory dei temi e dei plugin di WordPress.org.

Puoi anche accedervi da sviluppatori molto apprezzati nel settore come noi qui a Brainstorm Force.

Se non sei sicuro della reputazione dello sviluppatore dietro eventuali plugin o temi che stai utilizzando, potrebbe essere meglio trovare un'alternativa.

In realtà offriamo numerosi consigli per i plugin che potresti voler controllare.

14. Mancata eliminazione di temi e plugin inutilizzati

Un'altra vulnerabilità è avere troppi plugin o temi installati.

Se alcuni temi e plug-in inutilizzati presentano vulnerabilità di sicurezza, il tuo sito Web potrebbe essere a rischio. Questo è ancora più probabile quando non li stai utilizzando, poiché è meno probabile che tu esegua gli aggiornamenti.

Come sistemarlo

Esamina tutti i temi e i plugin che hai installato sul tuo sito Web WordPress. Se ce ne sono che non stai utilizzando, eliminali.

Ciò mantiene anche il tuo database in ordine, così come altri vantaggi!

15. Nessun backup

Non importa quanto bene proteggi il tuo sito Web WordPress, c'è sempre la possibilità che qualcosa possa andare storto.

Ad esempio, potresti eliminare accidentalmente file importanti o il tuo sito Web potrebbe essere violato.

Se succede qualcosa del genere e non hai un backup del tuo sito web, potresti perdere tutti i tuoi contenuti.

Ecco perché è importante creare backup regolari del tuo sito Web WordPress. In questo modo, se qualcosa va storto, puoi ripristinare il tuo sito web.

Come sistemarlo

Esistono molti plugin per WordPress che possono aiutarti a creare backup del tuo sito web. Le opzioni popolari includono:

Updraft Plus

UpdraftPlus è uno dei plugin WordPress più popolari per la creazione di backup. Ti consente di creare backup di file, database e plug-in del tuo sito Web.

Puoi quindi ripristinare il tuo sito Web da questi backup se qualcosa va storto.

UpdraftPlus ha anche una serie di altre funzionalità, inclusa la possibilità di eseguire automaticamente il backup del tuo sito Web in base a una pianificazione.

Kinsta

Puoi anche utilizzare un'opzione di hosting WordPress gestita che include backup regolari come parte del suo servizio. Kinsta è la nostra opzione preferita che offre questo.

Ti consigliamo di avere il tuo meccanismo di backup in atto indipendentemente dal fatto che tu utilizzi o meno i backup ospitati. Non puoi mai essere troppo attento!

16. Accesso limitato ai file di WordPress

Un altro rischio per la sicurezza dell'utilizzo dell'hosting WordPress condiviso è che potresti non avere pieno accesso ai tuoi file WordPress.

Alcuni provider di hosting limitano la quantità di accesso che i loro clienti hanno ai loro file WordPress. Ciò può rendere difficile proteggere correttamente il tuo sito web.

Come sistemarlo

Il modo migliore per evitare questo problema è utilizzare un provider di hosting WordPress che ti dia pieno accesso ai tuoi file WordPress.

17. Non utilizzare un firewall

Un firewall è un software che aiuta a proteggere il tuo sito web dagli attacchi. Lo fa bloccando il traffico in entrata che considera dannoso.

Se non stai utilizzando un firewall sul tuo sito Web WordPress, è più vulnerabile agli attacchi.

Come sistemarlo

Esistono molti plugin per WordPress che possono aiutarti ad aggiungere un firewall al tuo sito web.

Le opzioni popolari includono:

• Web Application Firewall di Sucuri
• Sicurezza Wordfence
• Cloudflare

Alcune opzioni sono gratuite, altre premium. Ti suggeriamo di leggere le recensioni e di controllare le funzionalità per prendere una decisione.

18. Obiettivo principale degli attacchi DDoS

I siti Web WordPress sono spesso oggetto di attacchi DDoS.

Gli attacchi DDoS sono un tipo di attacco in cui l'attaccante cerca di sovraccaricare il tuo server di traffico per portare il tuo sito web offline.

Se non sei preparato per un attacco DDoS, può portare il tuo sito Web offline per un periodo di tempo.

Come sistemarlo

Il modo migliore per proteggere il tuo sito Web WordPress dagli attacchi DDoS è utilizzare un provider di hosting WordPress che offre protezione DDoS o un CDN come Cloudflare.

19. Obiettivo principale per gli attacchi di scripting cross-site (XSS).

Gli attacchi di cross-site scripting (XSS) sono un tipo di attacco in cui l'attaccante tenta di iniettare codice dannoso nel tuo sito web.

In caso di successo, questo codice può quindi essere utilizzato per rubare informazioni dai visitatori del tuo sito web.

Come sistemarlo

Il modo migliore per proteggere il tuo sito Web WordPress dagli attacchi XSS è utilizzare un plug-in di sicurezza di WordPress che includa la protezione XSS.

Puoi saperne di più su XSS e la minaccia che rappresenta qui.

Prevenire la vulnerabilità XSS è un'ottima e semplice opzione per questo compito.

20. Obiettivo principale per l'iniezione di malware

Il malware è un tipo di software progettato per danneggiare o disabilitare il tuo sito web.

Può essere iniettato nel tuo sito web in diversi modi, anche attraverso plugin e temi non sicuri.

Se il tuo sito web è infetto da malware, può essere difficile rimuoverlo. E in alcuni casi, potrebbe essere necessario ricostruire completamente il tuo sito web.

Come sistemarlo

Il modo migliore per proteggere il tuo sito Web WordPress dal malware è utilizzare un plug-in di sicurezza di WordPress che includa la scansione e la rimozione del malware. MalCare, in particolare, è l'ideale per questo.

21. Moduli di contatto non sicuri

I moduli di contatto sono una caratteristica comune dei siti Web WordPress e vengono spesso utilizzati per raccogliere informazioni sensibili, come numeri di carte di credito e indirizzi di casa.

Se i tuoi moduli di contatto non sono adeguatamente protetti, queste informazioni possono essere rubate dagli hacker.

Come sistemarlo

Il tuo sito deve disporre di un certificato SSL per poter elaborare correttamente le informazioni sensibili tramite i moduli di contatto. Una volta che lo hai, puoi utilizzare un plug-in di sicurezza di WordPress per proteggere anche i tuoi moduli di contatto.

Ecco alcune informazioni in più sulla creazione di moduli di contatto sicuri.

22. Pagina di accesso non protetta

La pagina di accesso è una delle pagine più importanti del tuo sito Web WordPress. È anche uno dei più vulnerabili.

Se la tua pagina di accesso non è adeguatamente protetta, gli hacker possono accedere al tuo sito Web indovinando il tuo nome utente e password.

Come sistemarlo

Puoi rendere più sicuro l'accesso al tuo sito spostando effettivamente il suo URL. In questo modo, per gli hacker non è così facile trovarlo. Puoi farlo utilizzando un plug-in di sicurezza di WordPress o aggiungendo alcune righe di codice al file .htaccess del tuo sito.

Una volta connesso al tuo sito tramite FTP, vai alla directory /wp-content/ . All'interno di questa directory, cerca un file chiamato .htaccess . Se non lo vedi, assicurati che il tuo client FTP sia configurato per mostrare i file nascosti.

Aggiungi il seguente codice all'inizio del tuo file .htaccess :

RewriteEngine attivato

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$

RewriteRule ^(.*)$ –

Salva le modifiche e carica di nuovo il file sul tuo server.

Abbiamo un intero post dedicato alla tua pagina di accesso a WordPress proprio qui.

Proteggi il tuo sito WordPress dai tentativi di hacking e goditi la sicurezza del sito

In questo articolo, abbiamo elencato 22 modi in cui WordPress può essere violato. Abbiamo anche fornito suggerimenti su come correggere queste vulnerabilità.

Se segui questi suggerimenti, puoi aiutare a proteggere il tuo sito Web WordPress dai tentativi di hacking. E puoi stare tranquillo sapendo che il tuo sito è sicuro!

Buona fortuna!