Principali errori di sicurezza di WordPress e come risolverli - MalCare

Pubblicato: 2023-04-13

Errori di sicurezza di WordPress: sapevi che ogni minuto vengono effettuati circa 90.978 tentativi di hacking sui siti Web di WordPress? Una volta che il tuo sito è stato violato, gli hacker lo utilizzano per eseguire ogni sorta di attività dannose come l'invio di e-mail di spam (leggi – phishing hack), l'attacco ad altri siti Web, l'iniezione di collegamenti spam, il reindirizzamento dei visitatori, ecc.

Questo è il motivo per cui i proprietari di siti WordPress come te devono prendere sul serio i loro problemi di sicurezza. Non esiste un proiettile d'argento che puoi utilizzare per risolvere tutte le tue esigenze di sicurezza, ma piuttosto devi fare molte cose correttamente. Su Internet, ci sono innumerevoli consigli su come mantenere il tuo sito sicuro e protetto. Alcuni di loro sono consigli contrastanti e alcuni sono semplicemente obsoleti. Numerose opinioni su ciò che un proprietario di un sito dovrebbe fare e non dovrebbe creare confusione e in mezzo a tutta quella confusione, gli errori sono inevitabili.

Mantenere la sicurezza di un sito non è un lavoro facile soprattutto per i nuovi proprietari di siti che sono inclini a commettere errori che potrebbero renderli vulnerabili ai comuni attacchi di hacking. Conoscere i comuni errori di sicurezza commessi dai proprietari di siti Web aiuterà a evitarli. Ed è per questo che abbiamo creato questo elenco in modo che possa smettere di commettere gli errori commessi dalla maggior parte dei proprietari di siti WordPress.

Principali errori di sicurezza di WordPress che i proprietari di siti fanno:

Ti suggeriamo di eseguire un controllo di sicurezza di WordPress prima di adottare una delle misure seguenti:

1. Mancato aggiornamento del core, dei plugin e dei temi di WordPress

Mantenere aggiornati il ​​core e gli add-on di WordPress (cioè temi e plugin) è una buona misura di sicurezza. Aggiornarli non solo aggiunge più funzionalità al sito, ma aiuta anche a correggere le vulnerabilità. A causa dell'ecosistema in cui funziona WordPress, le notizie sulle vulnerabilità si diffondono molto rapidamente e gli hacker cercano di approfittare della situazione. Se non aggiorni il tuo sito che avrebbe aiutato a correggere la vulnerabilità, il tuo sito diventerà facile da violare.

Mentre alcuni proprietari di siti non aggiornano il proprio sito perché non sono a conoscenza di come gli aggiornamenti sono collegati alla sicurezza, altri temono l'incompatibilità. I siti Web di WordPress possono rompersi dopo l'aggiornamento del core di WordPress e dei suoi componenti aggiuntivi.

Gli aggiornamenti di WordPress sono progettati per essere compatibili con tutte le versioni precedenti. Pertanto, se il tuo sito esegue la versione 4.1, puoi comunque aggiornarlo all'ultima versione, ovvero, ad esempio, 4.9. Ma nonostante tutte le precauzioni prese, ogni aggiornamento porta notizie di crash del sito web. Ecco un esempio dall'ultima versione di WordPress 4.9.6.

Potresti incorrere in problemi simili durante l'aggiornamento dei componenti aggiuntivi di WordPress, ad esempio temi e plug-in. Spesso si verificano problemi di incompatibilità in temi e plug-in perché lo sviluppatore è stato affrettato a rilasciare un nuovo aggiornamento o forse lo sviluppatore era incompetente. Plugin e temi hanno un mercato davvero competitivo e nel tentativo di distinguersi dagli altri, gli sviluppatori sono spinti ad aggiungere sempre più nuove funzionalità nel più breve tempo possibile. A volte non hanno abbastanza tempo per vedere se la versione è compatibile con tutte le versioni precedenti di WordPress. Quindi, se qualcuno utilizza una versione molto precedente di WordPress e aggiorna un plug-in che funziona solo con le ultime versioni di WordPress, il suo sito si interrompe.

Le preoccupazioni relative ai problemi di compatibilità tra WordPress Core e un componente aggiuntivo possono indurre i proprietari del sito a saltare gli aggiornamenti di sicurezza.

Come risolvere questo problema: un servizio di gestione temporanea potrebbe risolvere questo problema. Il processo di creazione di un sito duplicato allo scopo di testare l'installazione del core di WordPress e dei suoi componenti aggiuntivi si chiama Staging. Servizi di backup come BlogVault o persino fornitori di host web come Kinsta offrono ambienti di staging. Verifica con il tuo host web o i servizi di backup (se ne stai utilizzando uno) per vedere se hanno un'opzione per mettere in scena un sito. In caso contrario, registrati con un servizio che ti consente di mettere in scena un sito.

Oltre a mantenere aggiornati plugin, temi e core, ti consigliamo vivamente di mantenere aggiornati i salt e le chiavi di sicurezza di WordPress.

2. Utilizzo di componenti aggiuntivi di scarsa qualità

Non tutti i plugin e i temi di WordPress sono ben fatti. Alcuni ignorano i controlli di garanzia della qualità, mentre altri sono sviluppati da programmatori dilettanti. È importante che gli utenti prestino attenzione a ciò che sceglie di utilizzare o acquistare. Ma sfortunatamente, molti utenti di WordPress non hanno alcuna conoscenza tecnica che li rende non attrezzati per scoprire quanto è buono il plugin o il tema.

Come risolvere questo problema: per aiutare tali utenti, abbiamo elencato alcune caratteristiche che aiuteranno a individuare un buon tema o plug-in:

io. Assicurati di ottenere i componenti aggiuntivi da una fonte rinomata come il repository dei plug-in di WordPress o da un venditore popolare come Elegant Themes, Themeforest, ecc.

ii. Assicurati che i componenti aggiuntivi abbiano una buona valutazione nel repository di WordPress e siano esaminati da persone che hanno utilizzato il tema/plugin sul loro sito . Una rapida ricerca su Google ti aiuterà a trovare le recensioni.

iii. Verifica che il plug-in sia in circolazione da molto tempo e abbia superato la prova del tempo. Cerca aggiornamenti di sicurezza e correzioni di bug elencati nel repository di WordPress o nel sito Web ufficiale.

iv. E assicurati che vengano aggiornati spesso e che il recente aggiornamento sia stato effettuato meno di 2 mesi fa.

3. Utilizzo di plugin e temi illegali

Molti siti Web vendono temi e plug-in premium gratuitamente. L'utilizzo di questi prodotti gratuiti può portare a un disastro perché molti di questi componenti aggiuntivi di WordPress hanno deliberatamente iniettato malware. Installare questi componenti aggiuntivi illegali nei tuoi siti è come aprire le porte e invitare gli hacker sul tuo sito. Una volta che un utente malintenzionato riesce a penetrare nel tuo sito utilizzando il codice errato nel tema/plugin che hai appena installato, utilizzerà il tuo sito per eseguire una serie di attività dannose come l'invio di e-mail di spam o l'attacco ad altri siti. Inoltre, la presenza di malware sul tuo sito lo considera compromesso, il che fa sì che i provider di hosting sospendano i motori di ricerca del tuo account come Google per inserire nella blacklist il tuo sito e sospendere il tuo account AdWords.

Come risolvere questo problema: acquista temi e plug-in originali da mercati popolari come ThemeForest , Elegant Themes , ecc. Durante il periodo di vendita, è possibile acquistare temi e plug-in a prezzi molto più bassi. Si possono cercare siti web ufficiali del tema o plugin di nostra scelta.

4. Mantenere plugin e temi inutilizzati sul tuo sito

Mantenere temi e plug-in inutilizzati sul sito Web offre agli hacker l'opportunità di infiltrarsi nel tuo sito. Molti proprietari di siti non aggiornano i componenti aggiuntivi inattivi perché non sono a conoscenza dei vantaggi in termini di sicurezza. Per loro, gli aggiornamenti apportano nuove funzionalità e, poiché non utilizzano il plug-in, pensano di non aver bisogno delle nuove funzionalità. Se è stato rilasciato un aggiornamento per correggere una vulnerabilità, il tuo sito rimane a rischio finché non lo aggiorni.

Come risolvere questo problema: l'unica soluzione qui è sbarazzarsi dei temi e dei plug-in di WordPress inattivi. Ecco come:

Visita la pagina "plugin installati" dalla dashboard di WordPress del tuo sito.

Errori di sicurezza di WordPress

Nella pagina è presente un'opzione chiamata "inattivo". Seleziona quello.

Errori di sicurezza di WordPress

Verrà visualizzata un'altra pagina da cui è possibile eliminare i plug-in inattivi . Ma prima di premere il pulsante "inattivo", ti suggeriamo di assicurarti di non richiedere quel particolare plug-in nel prossimo futuro.

Errori di sicurezza di WordPress

5. Utilizzo di cattive pratiche di accesso al sito web

Due pratiche di accesso comuni ma molto pericolose sono l'utilizzo di credenziali di accesso facili da indovinare e il non disconnettersi quando il sito non viene utilizzato. Gli aggressori programmano bot che tentano di accedere al tuo sito utilizzando una combinazione di nome utente facile da ricordare (come admin) e password (come password123) per hackerare un sito. Questo particolare metodo di hacking di un sito è chiamato attacco di forza bruta.

Come risolvere questo problema: si consiglia di utilizzare un nome utente e una password univoci (lettura consigliata – Guida alla protezione della pagina di accesso di WordPress). Uno svantaggio qui è che le credenziali uniche sono difficili da ricordare. Pertanto è necessario mantenere un documento che riporta queste credenziali. E assicurati che il documento sia crittografato per impedire l'accesso non autorizzato.

6. Dare a tutti gli utenti l'accesso amministrativo

Rendere ogni utente un amministratore è una cattiva idea soprattutto per i siti Web in cui è presente un numero elevato di utenti che il proprietario del sito non conosce personalmente. WordPress consente ai proprietari di siti di assegnare i seguenti ruoli agli utenti: amministratore, editore, autore, collaboratore, abbonato, SEO manager, SEO editor. È rischioso rendere tutti amministratori perché garantisce l'accesso a tutte le aree di un sito.

Dare agli utenti un accesso illimitato all'intero sito porta allo sfruttamento, come visto in questo caso con TechCrunch (un popolare sito tecnologico) che è stato violato da OurMine (un gruppo di hacker). Dopo aver ottenuto l'accesso a un account utente, OurMine è stato in grado di pubblicare sul sito. Ecco uno screenshot della home page quando i lettori si sono svegliati dopo che TechCrunch è stato violato:

Errori di sicurezza di WordPressErrori di sicurezza di WordPressErrori di sicurezza di WordPress

Come risolvere questo problema: ogni ruolo utente su WordPress consente l'accesso solo ad aree specifiche del sito. In base a ciò di cui hai bisogno che un utente faccia sul tuo sito, puoi assegnare questi ruoli. Seguire questo principio garantisce che solo le persone di cui ti fidi possano accedere all'intero sito. E se qualcosa va storto, sai chi è il responsabile.

7. Non eseguire backup

I backup sono la tua rete di sicurezza. Non averne uno sul posto potrebbe metterti nei guai quando si verifica un disastro. Se il tuo sito viene violato e i post vengono eliminati, puoi facilmente ripristinare il tuo sito alla normalità utilizzando i backup. Ma l'utilizzo di qualsiasi servizio di backup non è consigliabile perché molti servizi di backup non sono efficienti. Ad esempio, molti plug-in di backup memorizzano i backup nei server Web. Alcuni di loro archiviano i backup in un unico posto. Il server del tuo sito Web non è il luogo ideale per archiviare i backup perché il server si assume l'onere del backup oltre all'esecuzione di processi regolari. Impantana la velocità del tuo sito. Archiviare un solo backup significa che se lo perdi, non avrai altri backup su cui ripiegare.

Come risolvere questo problema: prima di scegliere un servizio di backup, controlla le funzionalità per vedere dove archiviano i backup. Se non riesci a trovare le informazioni corrette, invia loro una mail chiedendo domande dirette su dove archiviano i backup e se li archiviano in più posizioni. Per saperne di più su come scegliere backup affidabili, dai un'occhiata a questo post .

8. Non utilizzare un servizio di sicurezza

Molti proprietari di siti Web, in particolare quelli che hanno siti Web di piccole dimensioni che attirano meno traffico, pensano che il loro sito sia insignificante e quindi non attirerà l'attenzione di un hacker. Ma oggi gli hacker hanno molte ragioni per attaccare un piccolo sito web . Potrebbero usarlo per archiviare file o inviare messaggi di spam tra le altre cose. Molti gruppi di hacker, infatti, preferiscono attaccare i siti di piccole dimensioni perché i siti Web di piccole dimensioni sono poco sicuri riguardo alla loro sicurezza e sono quindi più facili da hackerare. Lanciano massicci attacchi di forza bruta in cui i robot cercano di indovinare il nome utente e le credenziali corretti per entrare in un sito. Una delle tecniche di hacking più preferite consiste nello sfruttare plugin e temi vulnerabili.

Come risolvere questo problema: un servizio di sicurezza standard offre funzionalità di sicurezza essenziali come WordPress Firewall che aiuta a impedire agli hacker di forzare brute nel tuo sito.

Oltre a prendere le misure di cui sopra per riparare il tuo sito, puoi prendere alcune misure di sicurezza in più. Ti consigliamo vivamente di seguire questa guida: Proteggi il tuo sito WordPress con wp-config.php.

Ogni volta che si verifica una vulnerabilità nel plug-in o nei temi o persino nel core, gli sviluppatori rilasciano una patch tramite un aggiornamento. Pertanto, mantenere aggiornati tutti i temi, i plug-in e il core di WordPress è una buona pratica di sicurezza. MalCare : uno dei migliori plug-in di sicurezza di WordPress in circolazione offre funzionalità di gestione del sito che ti consentono di aggiornare plug-in, temi e core di WordPress dalla dashboard di MalCare. È particolarmente utile per le persone che hanno molti siti Web da mantenere. L'accesso a ciascun sito Web e l'aggiornamento di temi, plug-in e core è un lavoro che richiede tempo. Servizi come MalCare rendono più facile per i proprietari dei siti seguire buone pratiche di sicurezza.

Oltre al firewall e alla gestione del sito, un plug-in di sicurezza offre anche servizi di scansione giornalieri. Se il tuo sito Web è infetto da malware, il plug-in ti aiuterà a riparare il tuo sito Web compromesso. Se ti sentiresti più a tuo agio con un team che ti fornisce servizi di manutenzione del sito Web WordPress direttamente per gestire completamente la sicurezza del tuo sito Web, WP Buffs sarà un'ottima opzione. Si occupano degli aggiornamenti, della sicurezza, della velocità del sito Web e delle modifiche in corso, indipendentemente dal fatto che tu stia gestendo 1 sito Web o 1000!

Cosa succederà?

L'utilizzo di un buon plug-in di sicurezza per WordPress è il primo passo verso la creazione di un sito Web sicuro o la protezione di WordPress. Altre misure di sicurezza che puoi adottare includono il blocco dell'IP, la protezione della pagina di accesso e seguire questa guida completa sulla sicurezza di WordPress per saperne di più come proteggere il tuo sito WordPress.

Se hai commesso uno di questi errori in passato, si spera che il post ti abbia aiutato a vedere cosa stavi facendo di sbagliato e come risolverli. Diamo il benvenuto a qualsiasi domanda tu possa avere riguardo a questi errori di sicurezza di WordPress e alle loro correzioni. Si prega di mettersi in contatto con noi attraverso la nostra pagina di contatto .