Come migliorare la sicurezza di WordPress
I sistemi di gestione dei contenuti (CMS, Content management system) sono applicazioni software che aiutano gli utenti a creare, gestire e personalizzare siti web senza dover scrivere nemmeno una riga di codice. WordPress è uno dei CMS più diffusi al mondo e, pertanto, rappresenta un bersaglio di alto valore per i criminali informatici.
I team interni di WordPress forniscono regolarmente aggiornamenti e patch di sicurezza per le vulnerabilità appena scoperte nel loro sistema. Gli utenti di WordPress, tuttavia, possono adottare diverse misure per garantire che i loro siti rimangano protetti da minacce conosciute ed emergenti. La maggior parte di queste misure ricade nelle categorie "eliminazione delle minacce" e "riduzione del rischio".
L'eliminazione delle minacce si concentra sull'eliminazione di attacchi informatici e di altri tipi di minaccia. Ad esempio, un utente di WordPress può installare un firewall per filtrare il traffico dannoso e mitigare gli attacchi DDoS oppure può scegliere un provider di hosting che offra funzionalità di sicurezza integrate.
La riduzione del rischio comporta invece l'adozione di prassi di sicurezza proattive, come la modifica del prefisso predefinito del database WordPress, in modo da impedire a eventuali aggressori di individuarlo facilmente, l'applicazione di severi requisiti di accesso utente e l'esecuzione di scansioni di sicurezza regolari.
Quanto è sicuro WordPress?
Sebbene WordPress sia uno strumento potente e flessibile, non è immune da attacchi informatici, vulnerabilità o altri rischi introdotti da errori degli utenti.
Attacchi comuni a WordPress
- Attacchi basati su password: gli attacchi di forza bruta, in cui gli aggressori inseriscono ripetutamente diverse serie di credenziali utente (combinazioni di nome utente e password) in una pagina di accesso, vengono spesso utilizzati per ottenere l'accesso non autorizzato a un account WordPress. Altre forme di attacchi alle password includono la sottrazione e uso illecito delle credenziali e gli attacchi a dizionario.
- Cross-site scripting (XSS): XSS consente di inserire codice dannoso in un sito WordPress. Questa operazione viene eseguita più comunemente tramite dei plug-in. Scopri di più su come impedire gli attacchi XSS.
- SQL injection (SQLi): talvolta definiti come attacchi di database injection, gli attacchi SQLi iniettano codice dannoso in un sito WordPress tramite i campi di inserimento dati (ad es. moduli di contatto).
- Attacchi DDoS: gli attacchi DDoS inondano i siti WordPress con un elevato volume di traffico indesiderato, causando un grave degrado delle prestazioni o addirittura l'interruzione del servizio.
Le vulnerabilità di WordPress
- Versioni obsolete di WordPress: WordPress aggiorna regolarmente il proprio software principale per correggere le vulnerabilità esistenti e rafforzare le proprie difese contro le minacce emergenti. Le versioni precedenti di WordPress non dispongono di queste protezioni e potrebbero essere ancora vulnerabili agli attacchi.
- Temi e plugin di terze parti: i temi e i plugin WordPress di terze parti offrono un'ampia gamma di funzionalità, ma potrebbero non essere sempre conformi ai più recenti requisiti di sicurezza. Pertanto, possono creare dei rischi quando vengono installati su un sito WordPress.
- Backdoor: una volta che un account WordPress è stato violato da un utente malintenzionato, è possibile creare una backdoor, ovvero un metodo segreto per aggirare le misure di sicurezza. Le backdoor consentono agli aggressori di accedere ripetutamente a un sito WordPress o di sferrare ulteriori attacchi.
- Autenticazione utente debole: la mancata adozione di adeguate misure di sicurezza per le password (come la creazione di password complesse e la loro sostituzione regolare) o l'implementazione dell'autenticazione a più fattori (MFA) può aumentare il rischio di una violazione.
- Impostazioni predefinite di WordPress: WordPress dispone di diverse impostazioni predefinite che semplificano l'identificazione, da parte degli autori degli attacchi, dei punti di accesso comuni (ad esempio, l'URL /wp-login.php) e delle informazioni sensibili del sito (ad esempio, il file wp-config.php).
Le prassi di sicurezza raccomandate per WordPress
Ci sono diverse misure che gli utenti possono adottare per proteggere i siti web WordPress dalle minacce informatiche più diffuse e dalle vulnerabilità conosciute. In genere, rientrano in una delle seguenti categorie: configurazione del sito, funzionalità di sicurezza proattive, accesso e autorizzazioni degli utenti e aggiornamenti della sicurezza del sito.
Come configurare un sito sicuro
- Utilizza un hosting WordPress sicuro. Un sito Web WordPress è sicuro solo quanto il suo provider di hosting (un servizio di terze parti che fornisce contenuti per conto degli utenti). Scegli un host in grado di difendersi da attacchi sofisticati, che possa aiutare a scansionare le vulnerabilità e le minacce emergenti e fornire risorse per il ripristino di emergenza.
- Modifica l'URL predefinito della pagina di accesso di WordPress e il prefisso del database. Questi URL, che terminano rispettivamente con /wp-login.php e /wp-admin, sono abilitati per impostazione predefinita su tutti i siti WordPress, il che li rende facili da trovare per gli aggressori. Possono essere rinominati per contribuire a evitare tentativi di violazione della password con attacchi brute-force e altre minacce mirate.
- Sposta il file wp-config.php. Il file wp-config.php include le chiavi di sicurezza di WordPress e altri dettagli sensibili sull'installazione. Sfortunatamente, è anche facile da trovare. Sposta il file al di sopra della directory principale di WordPress per renderlo più difficile da individuare.
- Installa un tema WordPress sicuro. Alcuni temi non sono stati aggiornati per supportare l'ultima versione di WordPress, oppure potrebbero non essere conformi agli standard di sicurezza esistenti. Di conseguenza, possono essere sfruttati più facilmente da eventuali aggressori. Seleziona un tema incluso nella directory dei temi di WordPress oppure eseguilo tramite un validatore di temi WordPress prima dell'installazione.
- Nascondi la versione di WordPress in uso. Molti attacchi sfruttano vulnerabilità peculiari delle varie versioni di WordPress. Nascondendo la versione di WordPress utilizzata, gli utenti possono evitare queste minacce o rendere più difficile per gli aggressori individuare le vulnerabilità esistenti nei loro siti.
Installa funzionalità di sicurezza proattive.
- Utilizza un certificato SSL/TLS. Secure Socket Layer (SSL), noto anche come Transport Layer Security (TLS), è un protocollo di sicurezza che contribuisce a proteggere e crittografare i dati trasmessi sul web. I certificati SSL possono essere ottenuti da provider di hosting o da servizi di sicurezza di terze parti, come Cloudflare.
- Installa un firewall. Un Web Application Firewall (WAF) si posiziona davanti ai siti WordPress per filtrare e bloccare il traffico non autorizzato. L'installazione di un WAF può aiutare a prevenire che gli attacchi DDoS e DoS impattino significativamente sulla disponibilità del sito.
- Blocca le richieste HTTP tramite il protocollo XML-RPC. XML-RPC viene spesso utilizzato per condurre attacchi volumetrici o tentativi di accesso con forza bruta. È possibile utilizzare un plug-in o una regola del firewall per disattivare la funzionalità XML-RPC.
- Impedisci l'hotlinking. L'hotlinking consente a terzi di incorporare contenuti da siti WordPress senza doverli ospitare autonomamente. Quando ciò accade ripetutamente, può far aumentare i costi di larghezza di banda per l'host originale del contenuto.
Metti in sicurezza l'accesso degli utenti
- Applica l'autenticazione a più fattori. L'MFA richiede agli utenti di fornire una forma di identificazione aggiuntiva prima di accedere a un sistema o a un account protetti, e rende più difficile per gli aggressori infiltrarsi in un sito WordPress, anche se hanno violato la combinazione nome utente/password di un utente legittimo.
- Limita il numero di tentativi di accesso non riusciti. Gli attacchi alle password hanno più probabilità di successo quando gli aggressori hanno tentativi illimitati per inserire le credenziali in una pagina di accesso.
- Disconnetti automaticamente gli utenti inattivi. Alcuni utenti potrebbero accedere ai propri account WordPress da computer pubblici, o adottare altre abitudini di navigazione non sicure. Disconnetti automaticamente gli utenti dopo un determinato periodo di inattività per ridurre le possibilità di snooping e altre forme di accesso non autorizzato.
- Elimina gli account utente inattivi. Anche se un utente non utilizza più il proprio account per accedere a un sito WordPress, l'account e le credenziali di accesso potrebbero essere presi di mira dagli attaccanti.
Gestisci le autorizzazioni utente
- Limita le autorizzazioni di accesso a file e cartelle. Gli utenti non devono disporre di privilegi di livello amministratore a meno che non sia assolutamente necessario. Limita le funzioni che gli utenti possono eseguire su un sito WordPress per diminuire la probabilità di condivisione indesiderata dei dati e minimizzare gli effetti di una violazione. (Scopri di più sul principio del privilegio minimo.)
- Impedisci la modifica dei file. L'editor di file predefinito di WordPress consente agli utenti di modificare facilmente i file PHP. Se un account WordPress viene violato, questa funzionalità consente agli aggressori di modificare anche notevolmente il codice dei file del sito.
- Monitora l'attività degli utenti. Gli attacchi WordPress possono provenire sia da fonti esterne che interne. Registra e rivedi regolarmente l'attività degli utenti per tenere traccia di qualsiasi comportamento sospetto (ad es. alterazione di file, installazione di plug-in non autorizzati, ecc.).
Aggiorna le funzioni di sicurezza di WordPress
- Effettua l'aggiornamento alla versione più recente di WordPress. WordPress viene aggiornato regolarmente per proteggerlo da vulnerabilità note. Cerca l'avviso nella parte superiore della dashboard di WordPress che segnala agli utenti quando è disponibile una nuova versione.
- Aggiorna i temi e i plug-in di WordPress. Ogni tema e plugin rappresenta un potenziale punto di accesso per gli attaccanti. Proprio come le versioni obsolete di WordPress possono contenere vulnerabilità critiche, gli aggressori utilizzano spesso temi e plugin obsoleti per sferrare attacchi contro gli utenti di WordPress.
- Esegui scansioni di sicurezza regolari. Utilizza un plug-in, un software o un servizio di sicurezza esterno affidabili per verificare automaticamente la presenza di malware e di altri rischi alla sicurezza.
- Crea backup regolari dei dati del sito. In caso di un attacco riuscito, gli utenti possono ripristinare tutti i dati persi da un backup recente del sito.
In che modo Cloudflare protegge i siti WordPress?
Cloudflare Automatic Platform Optimization (APO) è un plugin per WordPress che consente agli utenti di accedere a diverse funzionalità di sicurezza e di ottimizzazione delle performance, tra cui i set di regole di Cloudflare WAF, Universal SSL, la protezione da attacchi DDoS e altro ancora. Inoltre, grazie a Cloudflare Zero Trust, gli utenti possono rafforzare ulteriormente la sicurezza di WordPress abilitando l'MFA, monitorando i tentativi di accesso e limitando l'accesso degli utenti alle risorse interne. Scopri di più su come Cloudflare aiuta a proteggere i siti WordPress.
DOMANDE FREQUENTI
In che modo gli utenti di WordPress possono prevenire gli attacchi brute-force?
Gli attacchi brute-force possono essere mitigati limitando i tentativi di accesso e implementando l'autenticazione a due fattori (2FA). Una protezione aggiuntiva si ottiene utilizzando un WAF in grado di bloccare i tentativi di accesso sospetti e, per i siti WordPress in particolare, bloccando le richieste HTTP che utilizzano il protocollo XML-RPC.
Quale ruolo svolgono gli aggiornamenti di WordPress nella sicurezza di un sito?
Gli aggiornamenti di WordPress includono frequentemente patch di sicurezza per ovviare a vulnerabilità scoperte di recente. Mantenere aggiornati file principali, temi e plugin è una delle misure di sicurezza più efficaci per i siti WordPress.
In che modo l'hosting sicuro influisce sulla sicurezza di WordPress?
I provider di hosting sicuri offrono funzionalità di sicurezza WordPress specializzate, tra cui la scansione di malware, protezioni a livello di server e servizi di ripristino di emergenza.
Perché la crittografia SSL è importante per i siti web WordPress?
La crittografia SSL protegge i dati trasmessi tra gli utenti e il tuo sito WordPress, impedendo agli autori degli attacchi di visualizzare informazioni sensibili. SSL autentica anche l'identità del server, il che aiuta a prevenire l'impersonificazione del tuo brand da parte di malintenzionati.
Quali rischi per la sicurezza presentano i temi e i plugin inattivi?
I temi e i plugin inattivi possono contenere vulnerabilità di sicurezza non corrette, che possono essere sfruttate da malintenzionati. È opportuno pertanto che siano completamente rimossi dalla versione di WordPress installata.