La sicurezza su WordPress

WordPress è ormai una fra le più celebri piattaforme di CMS (content management system, ossia sistema per la gestione di contenuti), apprezzato per la sua versatilità che lo rende capace di creare siti praticamente con ogni funzione, non solo blog. I siti WordPress infatti, possono integrare un elevato numero di componenti detti plugin, capaci si farlo divenire anche un ecommerce, un piccolo social network, un forum e molto altro ancora.

Proprio la sua natura lo espone però a rischi su due fronti in particolare, da cui devi saperti proteggere.
Il fatto che il codice base di WordPress sia opensource, ossia di libero accesso a chiunque, è il primo dei due rischi. Questo espone infatti il codice sorgente agli occhi dei malintenzionati, rendendo più facile per hacker e cracker vari arrivare a trovarne vulnerabilità e falle varie.

Il secondo fattore di rischio è la presenza sempre maggiore di dati di tipo personale, specialmente se possiedi un sito come quelli di cui ti ho parlato in precedenza: ecommerce, social o forum vari. Tutti quei siti che solitamente oltre a contenere i tuoi personali contenuti insomma, vanno a creare un’interazione attiva con degli utenti, incanalandone anche i dati sensibili come form di registrazione, email, password, o peggio ancora dati di conti e carte di credito per l’acquisto di prodotti.
Diventa dunque imprescindibile che tu prenda coscienza dei rischi concreti per agire di conseguenza.
Oltre al furto di dati personali e sensibili, un malintenzionato può danneggiare o rimuovere parti di codice, informazioni, backup salvati o peggio ancora integrarvi codici malevoli di propria creazione per danneggiare te e gli utenti che visitano il tuo sito.
Ti basti pensare che la maggior parte delle persone dispone a stento di un antivirus leggero a tutelare il proprio pc, e sono dunque completamente impreparate a fronteggiare un rischio, navigando serenamente su una piattaforma che ritengono affidabile e sicura come WordPress.

Come proteggere WordPress

Per proteggere WordPress sono necessari diversi accorgimenti, che passano sia da un utilizzo coscienzioso della piattaforma e dei suoi plugin ufficiali, sia da alcuni provvedimenti personali che puoi approntare o dalla scelta di strumenti esterni.
Tanto per iniziare con qualche cenno che può apparirti scontato ma non lo è affatto, due buone norme sono quelle di tenere sempre costantemente aggiornata la tua installazione di WordPress. In questo modo sarai capace di installare quelle correzioni e patch di sicurezza fatte ufficialmente dal sito stesso per risolvere bug noti e falle varie.

Piccola nota a margine: prima di aggiornare ricorda sempre di eseguire una copia di backup a cui poter tornare in caso di imprevisti.

Il secondo passo per proteggere il tuo sito WordPress è l’evitare tassativamente l’installazione di qualsivoglia tema e plugin non ufficiali, presi da fonti esterne a WordPress stesso.
Potresti essere tentato di scaricare sul web quel tema o plugin Premium che proprio non puoi permetterti, o di volerlo provare magari per semplice curiosità, ma così facendo esponi il tuo sito a rischi concreti, in quanto non puoi sapere se il codice di questi temi o plugin sia stato magari alterato o riscritto con porzioni malevole.

Pensaci: perché mettere a disposizione di tutti una risorsa in maniera gratuita? Raramente per mera generosità. Quindi cerca di evitare i siti “nulled” o simili.

Altro consiglio che ti sembrerà sciocco nella sua semplicità, ma che può contribuire facilmente ad aumentare i livelli di sicurezza è quello che riguarda la scelta di nome account e password dell’account amministratore. Evita di scegliere il classicissimo e indovinabile Admin come nome utente, ma crea un nome personalizzato protetto da una password con tutti i crismi e gli accorgimenti del caso in fatto di resistenza come lettere maiuscole, minuscole, simboli, numeri e così via. Magari ricorda ogni tot mesi di rinfrescare tale password con una nuova. Un’altro consiglio sicuramente non devi usare la stessa password del tuo account admin altrove ma deve essere puramente unica, non utilizzare mai ad esempio una password uguale a quella della tua email.
Per il resto, fra le azioni che puoi compiere subito per tutelarti ci sono anche l’installazione di plugin per salvare i backup della piattaforma, indispensabili al ripristino dei contenuti eventualmente danneggiati (non solo da hacker ma anche da eventuali danni involontari effettuati dalle tue mani), la scelta di un buon hosting per ospitare il sito e l’attivare il certificato SSL (che comunque serve solamente a gestire le sessioni sicure, e non proteggere il tuo cms ma invece dovresti assolutamente utilizzare un plugin di sicurezza). Un’altra cosa ci tengo a precisare se non ti proteggi una tua campagna o un tuo funnel di vendita con WordPress rischia di diventare un incubo per la tua reputazione da parte dei clienti ma anche da Google.

Malware WordPress esempio

Qui un esempio di un file che ho levato da un sito attaccato da Malware

I Plugin di Sicurezza per WordPress

Venendo al succo della questione, oltre agli accorgimenti precedenti, per proteggere la tua piattaforma un plugin di sicurezza è ciò che può fare la differenza.
Ma di cosa si occupano questi plugin? Le funzionalità cambiano a seconda del prodotto ovviamente, e con esso anche i costi relativi delle versioni estese. Molti di questi infatti sono veri e propri firewall complessi e professionali, ideali per chi ha necessità di mettere in sicurezza in particolare i siti a carattere commerciale.
Solitamente un plugin di sicurezza per WordPress si occupa di proteggere da attacchi diretti, ma effettua anche scansioni attive sul traffico, blocca e filtra accessi indesiderati, ferma attacchi di brute force atti a cercare di danneggiare e rubare informazioni, o aiuta a riparare file danneggiati da eventuali attacchi subiti.
Non mancano ovviamente le protezioni da attacchi DDoS, da spam, il monitoraggio e le scansioni attive, o addirittura funzioni di ottimizzazione varie per migliorare non solo l’aspetto della sicurezza ma anche la navigabilità del sito.
Grazie al giusto plugin, potrai insomma prendere davvero in mano concretamente le redini del tuo sito realizzato con WordPress e gestirlo al meglio.
Se credi che tutto questo sia eccessivo e pensi di essere al sicuro, sappi che il numero di attacchi mensili portati a piattaforme WordPress è impressionante e in costante aumento. Siti come Wordfence, uno dei plugin di sicurezza, riporta dati poco rassicuranti di ben 4,4 miliardi di attacchi bloccati negli ultimi 30 giorni, e di 78,000 IP malevoli inseriti in una blacklist lungo il medesimo arco di tempo.
Ovunque ci siano informazioni sensibili e scarsa protezione a tutelarle, un attacco informatico può arrivare in ogni momento, sia in maniera distruttiva e palese ma anche silenziosa e subdola. Meglio non farti trovare impreparato dunque, o prendere la questione sotto gamba.

Quale Plugin di Sicurezza per WordPress scegliere

Wordfence Logo Sicurezza

Logo di Wordfence – Plugin sicurezza WordPress

Fra le offerte più interessanti in merito ai plugin di sicurezza, spiccano fra tutti tre opzioni: Wordfence, Sucuri ed ASTRA Security.
Wordfence è un endpooint firewall che blocca ogni perdita di dati a differenza dei più labili sistemi Cloud Firewall, garantendo anche un buon numero di features accessorie importanti.
Ad esempio consente di impostare un blocco dell’account di amministrazione, con conseguente obbligo di resettare la password, quando si accorge che qualcuno sta tentando di accedere a tale account con password precedentemente rilevate come non sicure e ottenute da infrazioni note.
Il suo sistema di monitoraggio del traffico live, ti consente invece di tenere d’occhio il traffico in tempo reale sul tuo sito, inclusivo di informazioni che Google Analytics e diversi loggers Javascript non sono capaci di rilevare. Questo ti consente addirittura di riuscire a beccare sul fatto eventuali hacker intenti a cercare di violare il tuo sito e prendere subito provvedimenti per bloccare i relativi IP. Consente anche un discreto controllo dal rischio di furti inerenti ai contenuti e le proprietà intellettuali, spesso rubati e reinseriti senza riguardo su altri siti.
Un potente sistema di bloccaggio manuale ti consente con Wordfence di bloccare un ampio insieme di situazioni pericolose, sia chiudendo l’accesso a singoli IP, che gruppi interi di IP funzionanti attivamente come network malevoli organizzati. Puoi decidere di bloccare specifici browser o pattern di browser, siti di riferimento e anche combinazioni di tutti questi elementi.
Puoi scegliere anche di bloccare i contenuti provenienti da un’intera area geografica per massimizzare la protezione durante un attacco.
La funzione di riparazione dei file aiuta inoltre a rimettere a posto eventuali danni subiti, e l’autenticazione in due fattori garantisce un netto stop degli attacchi di brute force. Ovviamente Wordfence é il piú popolare tra quelli che vedremo su questo articolo con oltre 5+ milioni di installazioni attive, sicuramente grazie alle versione gratuita ma se decidi di andare con questo plugin consiglio di pagare 99€ annuali avere un protezione maggiore. Saresti disposto a perdere tutto e danneggiare il tuo business per non aver spesso 99€? Io no!

SUCURI SECURITY FIREWALL

Sucuri Firewall WordPress

Logo Sucuri – Plugin Firewall sicurezza WordPress

Sucuri offre servizi che variano invece a seconda del pacchetto acquistato, con prezzi che coprono diverse esigenze includendo numerose funzionalità.
Il pacchetto più completo offre una funzione di monitoraggio e scansione attiva di: malware, attacchi server side come tentativi di DDoS, pagine di phishing e backdoor, controllo delle blacklist, eventuali cambiamenti irregolari nei DNS, il corretto mantenimento dei certificati SSL, il fenomeno del SEO Spamming e un sistema di avviso immediato in caso il sito diventi improvvisamente non disponibile.
A livello di protezione, oltre a mitigare gli attacchi DDoS, proteggere da codici malevoli, e attacchi bruteforce, si assicura anche che non vengano lasciati scoperti gli exploit e vulnerabilità più recenti.
A livello di prestazioni invece, offre un’ottimizzazione della velocità di risposta del sito fino al 70%, migliorandone i caricamenti e la stabilità per mantenerlo correttamente attivo 24h su 24.
Offre inoltre la possibilità di riparare un sito attivamente infetto e danneggiato, rimuovendo malware e codici malevoli, riparando il prolema del SEO spamming, ossia lo spam delle parole chiave che possono danneggiare attivamente un sito, rimuovere lo stato di blacklist del sito dai registri ufficiali una volta messo in sicurezza e prevenire attacchi futuri.
Supporta ovviamente la certificazione SSL.

ASTRA SECURITY

Astra Security Logo

Astra Security – Firewall proteggere WordPress

Astra infine, disponibile con una versione demo e diversi pacchetti di prezzo mensili, offre un altro valido Firewall per il tuo sito WordPress.
Protegge da Bot e Spam, e blocca più di 100 tipologie di minaccia differente.
Dispone di uno strumento di rimozione dei malware, ed una dashboard intuitiva e facile da consultare.
Anche in questo caso è disponibile la possibilità di blocco per area geografica (Country Blocking), ed una scansione sempre attiva sugli upload, alla ricerca di caricamenti malevoli, determinate estensioni di file, settaggio di limiti nelle dimensioni di file in upload e blocco di tentativi di backdoor tramite questo metodo.
Il sistema si adatta alle esigenze di ogni singolo utente e situazione, rendendolo di fatto customizzato e pronto a fornire responsi e raccomandazioni diverse per ogni situazione.
Astra Security sfrutta inoltre attivamente una community che contribuisce al miglioramento e il controllo costante del suo sistema, offrendo un supporto da operatori reali 24h su 24, 7 giorni su 7, via telefonica e via chat.

Io personale lo sto utilizzando su questo sito personale e uno dei miei siti principali anche insieme a Wordfence e devo dire che funziamente perfettamente senza appesantire il caricamento delle pagine, anzi come puoi vedere il google speed test di questo sito raggiungo comunque il 96/100 mobile e 100/100 desktop nonostante aver installato il firewall comunque sto preparando un articolo dedicato a come raggiungere questo risultato di velocitá con il WordPress. Ora passiamo alla pratica su come proteggere WordPress perfettamente e dormire sonni tranquilli senza l’ansia di avere il sito infettato da qualche malware maligno! Ho scritto una articolo piú approfondito e lo trovi qui: recensione Astra Web Security

Come installare Astra Security su WordPress

Se hai deciso di utilizza Astra Security come ti consiglio, l’installazione devo dire che é veramente semplice e intuitiva e richiede al massimo 3 minuti. Incredibile vero?

Una volta che hai acquistato il servizio mensile (consigliato almeno la versione PRO) potrai andare su installa versione per WordPress. Subito viene generato un plugin con estensione unica per il dominio che hai inserito durante l’attivazione della licenza. Quando caricherai questo plugin nel tuo sito WordPress ti basterá fare click su “Dashboard” e quindi il firewall sará attivato!

Astra Security WordPress Plugin

Astra Security WordPress Plugin

Noterai nella tua dashboard di Astra Security immediati due attacchi verso il tuo sito, non prendere paura, sono solamente dei test immediati che i bot di Astra inviano per verificare che tutto funzioni.

Ottimo, ora sei protetto ed hai un ottimo firewall! Questo non significa che sei al sicuro al 100% peró un bel 90% direi di si, poi devi comunque mantenere tutti i consigli che ho citato sopra. Facile vero?

La dashboard di Astra Security Plugin

All’interno del plugin di Astra Security puoi notare quattro voci principali “Dashboard”, “Threats”, “Login Activity” e “Supporto” facendo click su qualsiasi di questi pulsanti verrai reindirizzato nel sito di getastra.com dove inserendo tue credenziali avrai accesso a moltissime funzionalitá e configurazioni del plugin di sicurezza.

A differenza di altri plugin per la sicurezza di WordPress che hanno il loro pannello di gestione dentro WordPress e quindi tutte le configurazioni avvengono dentro al sito. Astra utilizza un’altro metodo e qualsiasi impostazioni dovrai farla nel loro sito, il loro plugin di sicurezza che hai appena installato fará da ponte tra il tuo sito e il loro firewall dove potrai impostare il tutto. Questo avviene perché questo fantastico servizio permette non solo di proteggere perfettamente WordPress ma puó essere utilizzato per qualsiasi applicazione sas e CMS!

Astra Security Dashboard WordPress

La mia dashboard di Astra Security

Questo screenshot l’ho fatto oggi mentre scrivo questo articolo, e puoi vedere come il loro team abbia tenuto l’interfaccia molto pulita e semplice da capire (forse anche troppo?), ma almeno non crea confusione e quello che ti interessa é visualizzare la tipologia di attacchi e quanti ne avvengono al tuo sito. Nel mio caso negli ultimi 30 giorni ho ricevuto oltre 1423 attacchi di diverso tipo, alcuni di questi sono Bad Bots requests altri XSS, DDos e cosi via.

Se vai nella tab “Threats” avrai tutti i dettagli specifici degli attacchi e potrai bloccare il loro IP se ne ritieni il caso.

Cosa mi piace di Astra Security?

Il primo giorno che ho usato Astra Security ero un pó scettico per la semplicitá di utilizzo e mi sembrava molto limitato, ma devo dire che il suo lavoro lo fa perfettamente e molto bene! Sicuramente quello che mi piace di piú é il loro Malware Scan e Supporto via Chat che manca al suo competitor principale “Wordfence”, infatti se per caso un malware viene iniettato nel tuo sito potrai richiedere subito la rimozione manuale del malware da parte degli esperti di Astra, veramente molto bella come servizio. Un servizio simile viene offerte da Sucuri che ho citato all’inizo del post (sicuramente bravissimi pure loro e una societá molto grande).

Ma chiusa la parentesi su questo firewall che ci tenevo a farla, torniamo a vedere come proteggere WordPress.

5 cose da evitare per tenere al sicuro il tuo sito in WordPress

Come ho spiegato ci sono diversi attacchi continuamente ai nostri siti e molto spesso sono attacchi automatici quindi non vengono effettuati manualmente dal presunto hacker, ma vengono creati degli script e bot che viaggiano nella rete in cerca di vulnerabilitá. Hai capito bene ovviamente appena uno di questi bot capisce che il tuo sito non é protetto e vulnerabile (molto spesso per colpa di plugins non aggiornati) sei finito se non hai un buon firewall che evita e blocca questi attacchi automatici.

Quindi di buona regola ora che hai il Firewall installato che fa giá buona parte del lavoro devi anche tenere conto ti 5 problematiche:

  1. Caricamento di file sui forms
  2. /wp-admin/ raggiungibile
  3. Username e Password molto deboli per gli account admin
  4. Versione file core di WordPress datate
  5. Versioni vecchie di plugin di terze parti

Questi sono 5 elementi assolutamente da cambiare e che possono veramente tenere in vita il tuo sito! Ora vediamoli nel dettaglio.

Proteggere caricamento di file sui form e upload execution files

Uno degli attacchi automatici da parte di bot che ho riscontrato in questi anni piú frequente é sicuramente il caricamento in upload di file eseguibili che possono essere file di immagini con al loro interno codice eseguibile o file .php (in seconda fase). Uno dei file che ultimamente viene caricato molto spesso é “.ico” che in realtá da parte degli attacker c’é l’intento di ofuscare l’immagine come se fosse l’icona del sito (quella che vedi solitamente in alto nel browser). Fortunamente puoi bloccare il caricamento di file eseguibili grazie a qualche regola nel tuo firewall quindi andando su Astra Security nella sezione firewall potrai impostare lo scan di qualsiasi file in upload.

In questo modo dovresti avere maggiore protezione se per alcun motivo un bot trovi la possibilitá di upload nel tuo sito. Un’altra strategia che puó aiutare é la modifica dei permessi delle cartelle da “scrivibili” a “non scrivibili”, questa operazione é avanzata e devi farla con massima cautela e quindi consiglio di fare un full backup del sito.

Cambiare /wp-admin/

Un’altro consiglio é quello di cambiare l’indirizzo per accedere all’area admin del sito WordPress, questa operazione é utile contro attacchi di “Brute Force”, quindi quando vengono vengono inviare numerose richieste verso la pagina di accesso per tentare di indovisare la password dell’amministratore del sito. Ci sono diversi plugin per cambiare facilmente url “wp-admin” e consiglio di farlo.

Username e Password contro hacker proof

Ovviamente uno dei primi tentativi che un hacker fará é indovinare la password dell’amministratore se fallisce con l’operazione di “upload execution files” e assolutamente non puoi avere password come “paolo1987”, “ClaudiJuventus12” sono tutte troppo generiche e andando avanti con il tempo gli attacchi sono sempre piú sofisticati. Non ci crederai mai se ti dicessi che una delle password ancora piú utilizzate nel 2019 é la classica “admin123” assurdo vero?

Devi sapere che questa tipologia di attacco prevente uno script che si appoggia a un file di testo con una lista di migliaia di password comuni, il bot una volta individuato l’username admin (solitamente con l’ID ZERO oppure UNO), inizierá a bombardare il sito provando diversi tentantivi fino a quando lo azzecca. Oltre a causare un rallentamente incredibile del sito per le numerose richieste al server se non hai un firewall che blocca questi tentantivi é molto probabile che prima o poi la password venga individuata e sai cosa succede dopo? Te lo lascio immaginare….

Insomma per proteggere WordPress questa é la base di tutto.

Aggiorna sempre la versione di WordPress

La versione di WordPress cambia di continuo circa ogni mese almeno un aggiornamente esce da parte del team di developer del CMS piú conosciuto e usato al mondo. Ovviamente essendo un open-source il codice necessitá di miglioramenti continui per aggiungere funzionalitá e molto spesso per risolvere problemi di sicurezza.

Se non tieni aggiornato WordPress all’utima versione automaticamente anche se hai un plugin di sicurezza e tutte le strategia per prevenire l’intrusione di bot maligni e hacker sei comunque esposto perché é proprio su quelle vulnerabilitá delle versioni vecchie di WordPress che andranno a colpire. Quindi fammi un piacere tieni aggiornato il tuo CMS!

Mi ricordo qualche mese fa, proprio prima dell’uscita di WordPress 5.0, che c’era stata una MAXI vulnerabilitá alla REST API di WordPress, in pratica qualsiasi sito che avesse JETPACK e WordPress non aggiornato era esposto e non c’era verso di scappare da questo attacco. Solamente dopo 3 giorni é uscitá la security patch per risolvere il problema ma nel frattempo milioni e milioni di siti internet sono stati infatti da un malware. Incredibile vero?

Sicurezza plugin WordPress aggiornali sempre

Ovviamente come succede con la versione core di WordPress, dovrai anche tenere sempre aggiornati i tuoi plugin con le ultime release, per non rischiare lo stesso problema. Fai molta attenzione a quale plugin installi soprattuto se non sono aggiornati da molto tempo!

Nella ricerca di plugins su WP ci sono ci sono plugins aggiornati anche 4 anni fa! Te ne rendi conto? “4 fa**king years! Secondo te possono essere sicuri? Ovviamente NO!

Quindi appena vedi nella tua dashboard i numeretti in alto che ti indicano che ci sono aggiornamenti, aggiornalo sto WordPress!

Conclusione proteggere WordPress parte 1

Il tema su come proteggere WordPress é talmente vasto che mi servirebbe un libro per spiegarti completamente tutta la strategia, ovviamente giá con questo articolo hai delle nozioni importati e dopo che le applicherai potrai dormire e sogni piú tranquilli. Questa é solamente la prima parte della guida definitiva alla sicurezza di WordPress che continueró anche con dei video dettagliati e pratici, se ti é piaciuta condivila e lascia un commento!