Non vi prenderà certo di sorpresa sapere che la sicurezza è diventato un tema che chi sviluppa e gestisce siti web deve tenere sempre a mente. Visto che internet è diventato il nuovo ambiente di comunicazione, ricerca e shopping, i controlli di sicurezza dei siti web sono fondamentali per contrastare la diffusione di malware e spam.

Che voi gestiate un piccolo blog personale o l’enorme negozio online di una multinazionale, la minaccia di violazioni è sempre presente. Alcune persone deturpano il vostro sito e vi inseriscono malware, tentano di rubare i vostri dati o quelli dei vostri clienti e cancellano contenuti importanti sul vostro server. Dovete proteggere voi stessi e le vostre informazioni sensibili.

Cerchiamo di capire esattamente quanto è sicuro il vostro sito in questo momento. In questo articolo vi offriamo anche alcuni consigli su come rimuovere i punti deboli di cui approfittano gli autori di malware. WordPress è un CMS sicuro, ma ci vuole un po’ di lavoro per chiuderlo ermeticamente.

Guarda la Nostra Video Guida su Come Fare un Controllo di Sicurezza del Sito Web

Verifica di Sicurezza dei Siti Web: Perché È Importante?

Potreste pensare che il vostro sito web sia troppo piccolo e poco importante e che nessuno si preoccuperebbe di prenderlo di mira. O forse non avete mai pensato alla sicurezza prima e pensate che non sia ancora qualcosa di cui dovete occuparvi.

Pensare in questo modo è il motivo per cui, nel 2013, più del 70% delle installazioni WordPress erano vulnerabili agli attacchi. Molti di questi attacchi erano dovuti a software obsoleti. La maggior parte delle persone non sa o non si preoccupa abbastanza di rendere sicuri i propri siti, il che ha portato a una massiccia ondata di hacker che hanno preso di mira le installazioni WordPress.

CMS obsoleto vs aggiornato, dati 2019.
CMS obsoleto vs aggiornato, dati 2019.

Cosa potrebbe succedere se il vostro sito subisse un’intrusione indesiderata? Non si tratta di un semplice fastidio facilmente risolvibile cambiando la password.

  • Il vostro sito potrebbe contenere del codice iniettato che porta i visitatori a infettarsi con malware, e questo potrebbe essere estremamente difficile da individuare e rimuovere.
  • Le vostre pagine più importanti possono essere deturpate, oscurate o riempite di link verso siti illegali.
  • Può portare alla cancellazione di contenuti come articoli del blog e pagine.
  • Le informazioni sensibili come le informazioni di login o di carta di credito che appartengono a voi, ai vostri utenti o ai vostri clienti possono essere rubate e vendute online.
  • Gli attacchi potrebbero diffondersi ad altri siti web sul vostro server.
  • Se Google rileva qualsiasi malware sul vostro sito, ne bloccherà l’accesso e lo rimuoverà dai risultati di ricerca, distruggendo i vostri sforzi di ottimizzazione per i motori di ricerca (SEO).
  • Il nome utente e la password dell’account admin potrebbero essere cambiati, impedendovi di accedere al vostro backend.

I siti violati possono essere un problema enorme se gestite un negozio ecommerce.

E anche se pensate che il vostro sito non sia abbastanza importante, ricordate che non tutti gli attacchi sono mirati. Molti attacchi WordPress sono automatizzati: un bot sonda il vostro sito cercando delle vulnerabilità e avvia un attacco senza intervento umano.

Ecco perché è necessario prendere provvedimenti per rendere sicuro il vostro sito, a prescindere da tutto.

Perché WordPress Viene Hackerato?

L’hacking è molto diffuso, ma quali sono le vulnerabilità più comuni che gli hacker sfruttano per entrare nel vostro sito?

Potreste immaginare che entrare in un sito web sia un processo impegnativo che richiede giorni o settimane di lavoro e una vasta conoscenza di computer, codice e server. Questa situazione potrebbe essere vera per i tentativi mirati di superare le difese di un sito grande e ben protetto, ma la storia è molto diversa quando si tratta di piccoli domini WordPress.

La stragrande maggioranza degli attacchi a WordPress ha successo perché le persone usano password facili da indovinare e non aggiornano i loro temi e plugin. Gli hacker entrano nella maggior parte di questi siti usando programmi automatici.

Il cracking della password è la forma più semplice di hacking, ed è così comune perché funziona. Molte persone lasciano il loro login di WordPress sul valore di default “admin”, e già così riducono della metà la difficoltà di indovinare le info di accesso; e, oltre a questo, poi usano una password semplice e facile da indovinare.

Se le info di accesso non sono così facili da indovinare, gli hacker faranno leva sulle vulnerabilità comuni nei plugin popolari o nelle versioni obsolete di WordPress. Ecco perché è molto importante mantenere tutto aggiornato.

Ci sono molti modi più complessi per entrare in un sito web. Tuttavia, la maggior parte degli attacchi a WordPress fanno uso dei punti deboli come password insicure e software obsoleti che rendono estremamente facile accedere a un sito.

Come Eseguire una Verifica di Sicurezza del Sito Web

Il primo passo per rendere sicuro il vostro sito web: capire quanto è sicuro allo stato attuale. Ci sono delle vulnerabilità evidenti nel vostro backend che avete bisogno di correggere immediatamente, o delle semplici migliorie che potete fare ora?

Usare uno Strumento Online

Un modo semplice e veloce per verificare che il vostro sito non abbia malware o vulnerabilità è quello di usare uno scanner online. Questi strumenti scansionano in remoto il vostro sito e identificano i problemi più comuni. È super conveniente perché non richiede alcun software o plugin e ci vogliono solo pochi secondi.

Esistono decine di scanner online tra cui scegliere, e ne elencheremo alcuni nella nostra sezione degli strumenti qui sotto; per ora, ne scegliamo uno popolare che è facile da usare: Sucuri SiteCheck.

Schermata della homepage di Sucuri che dice
Sucuri SiteCheck.

Questo strumento è una buona scelta perché potete installare il plugin Sucuri e risolvere qualsiasi problema che rileva.

Una volta che avete scansionato il vostro sito, Sucuri lo metterà al riparo dalle block list, cercherà problemi evidenti come spam iniettato o software non aggiornato, e verificherà che non sia presente malware nel codice. Offre anche alcuni suggerimenti per rafforzare il vostro sito contro gli attacchi.

Scansione di un sito web con il plugin Sucuri.
Scansione di un sito web con il plugin Sucuri.

Strumenti come questo sono un ottimo punto di partenza per individuare malware nascosti e altri problemi.

Scansionare il Sito Web con un Plugin per WordPress

Gli scanner online funzionano abbastanza bene, ma sarebbe ancora meglio installare un plugin che è in grado di scavare in profondità nel vostro codice e pescare vulnerabilità o malware difficili da rilevare.

Abbiamo già menzionato Sucuri come opzione. Esistono anche due plugin di sicurezza ancora più popolari: All in One WP Security & Firewall, e il più scaricato sul repository, Wordfence Security.

Una volta che avete installato il vostro plugin preferito, probabilmente vi dirà di eseguire immediatamente una scansione. Il vantaggio di questi plugin rispetto agli scanner remoti è che possono rimuovere malware e apportare modifiche automaticamente.

Cercare Cambiamenti Sospetti

Se sospettate o sapete che il vostro sito è stato infettato da malware, individuare la fonte può essere difficile. Ecco alcuni cambiamenti inspiegabili che potreste notare, così come i file da cui gli hacker sono tipicamente attratti:

  • Link improvvisi a strani siti web che non avete aggiunto voi.
  • Nuovi articoli e pagine che non avete creato, o il contenuto delle pagine esistenti che cambia improvvisamente.
  • Modifiche alle impostazioni che non avete fatto.
  • Comparsa di un nuovo utente, specialmente uno con privilegi di alto livello, che voi non avete aggiunto.
  • Plugin o temi che non avete installato.
  • Il malware può spesso iniettare codice dannoso nei vostri file. Controllate i file dei plugin e dei temi, la cartella wp-content/uploads, i file del core di WordPress situati in una directory errata, wp-config.php e .htaccess. Dovreste fare il backup del vostro sito e avere qualche conoscenza di programmazione prima di fare qualsiasi modifica importante.

Se vi connettete al vostro sito con FTP, potete ordinare i file in base all’ultima modifica e scoprire il codice che non dovrebbe essere lì.

Se il vostro sito viene infettato periodicamente da malware e non riuscite a trovare alcuna causa nei file, il problema potrebbe essere dovuto al vostro server o a un altro sito sul vostro server.

Assicurarsi Che Tutto Sia Aggiornato

Come abbiamo già detto, il software non aggiornato è di gran lunga il vettore più comune di infezione in WordPress. Se c’è solo una cosa che potete fare per mantenere il vostro sito sicuro, dovrebbe essere mantenere WordPress aggiornato.

Il modo più semplice per controllare lo stato di tutti i software sul vostro sito è andare su Bacheca> Aggiornamenti, che vi avviserà se il core, il tema o i plugin non sono aggiornati.

Aggiornamenti di WordPress
Aggiornamenti di WordPress

A partire dalla versione 5.5 WordPress esegue gli aggiornamenti automatici, per cui tutto dovrebbe essere aggiornato a meno che non usiate una versione obsoleta di WordPress. In quel caso, potete aggiornare tutto dalla schermata Aggiornamenti.

Se sapete che è disponibile una nuova versione di WordPress, ma non viene visualizzata, fate clic sul pulsante Verifica di nuovo sotto Versione attuale.

Potete anche controllare le pagine Plugin > Plugin installati o Aspetto> Temi per gli aggiornamenti.

Account e Password Sicuri

Una password debole sul vostro account principale facilita a chiunque l’accesso al vostro sito con programmi di brute-forcing, dandogli accesso come amministratore e la possibilità di cambiare qualsiasi cosa.

Una password complicata può essere difficile da ricordare, e vi obbliga a uno sforzo in più per accedere al sito; ma è decisamente più scomodo dover recuperare il vostro sito da un hacker. Vale sicuramente la pena di usare una password più sicura, anche se dovete annotarla.

La vostra password dovrebbe usare un mix di lettere maiuscole e minuscole, numeri e simboli. Sarebbe meglio non basarla su parole facili o su informazioni personali e indovinabili come il vostro indirizzo o il nome di un membro della famiglia.

Nel migliore dei casi, la vostra password sarebbe una lunga e intricata stringa di caratteri casuali. Vi consigliamo vivamente di usare un gestore di password. Usate un sito come 1Password o LastPass per generare una password sicura e difficile da indovinare.

Generare una password sicura con LastPass.
Generare una password sicura con LastPass.

Potete aggiornare la vostra password e la vostra email in WordPress andando su Utenti > Tutti gli utenti o direttamente su Utenti > Profilo. Scorrete verso il basso e trovate Email sotto Informazioni di contatto e Nuova Password sotto Gestione dell’account.

Impostare una nuova password in WordPress
Impostare una nuova password in WordPress

Mentre siete nella pagina Utenti, date un’occhiata alla lista dei vostri utenti e verificate che non ci sia nessuno che non riconoscete o che abbia permessi inappropriati. Dovreste rimuovere immediatamente qualsiasi utente non identificato con permessi di amministrazione.

Date anche un’occhiata a questa guida su come limitare i permessi degli utenti in modo che solo il vostro account sia in grado di cambiare i file sensibili sul vostro sito.

Controllare il Certificato SSL

Se il vostro certificato SSL è scaduto, di solito lo saprete immediatamente; i browser come Google Chrome bloccheranno l’accesso al vostro sito con un enorme avvertimento sul certificato scaduto. Se non siete sicuri o state già vedendo questo errore, controllate il vostro certificato SSL per vedere se è aggiornato e se state usando l’ultima versione di SSL/TLS.

Quando visitate un sito web, vedrete un’icona a forma di lucchetto nella barra degli indirizzi della maggior parte dei browser. Se il vostro certificato è scaduto, il lucchetto sarà rosso oppure barrato.

Fate clic sull’icona del lucchetto, poi fate di nuovo clic per vedere le informazioni sul certificato, inclusa la data di scadenza.

Controllo del certificato SSL di un sito web.
Controllo del certificato SSL di un sito web.

Potete anche usare un controller di certificati SSL per analizzare il vostro sito e assicurarvi che il vostro certificato non sia scaduto e che non siano presenti vulnerabilità presenti nel vostro protocollo SSL.

Vulnerabilità Comuni

Molti siti WordPress sono pieni di piccoli vettori che li rendono vulnerabili agli attacchi: possono sembrare elementi innocui, ma in realtà forniscono più informazioni di quelle che avevate pensato di condividere.

Avere la versione di WordPress visibile nel frontend dice agli hacker quali vulnerabilità sono presenti sul vostro sito. Soprattutto se state usando una versione obsoleta di WordPress, potreste voler nascondere queste informazioni.

Troverete gli editor di file sotto Aspetto > Editor del tema e Plugin> Plugin Editor nel vostro backend.

Aggiungere codice all'editor del tema
Aggiungere codice all’editor del tema

Anche se questi strumenti sono molto comodi, facilitano il lavoro degli hacker che possono accedere facilmente al codice del sito per rompere qualcosa; considerate di disattivarli. Potete farlo aggiungendo questa funzione a wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Le iniezioni SQL sono un modo comune per entrare in un sito. Se avete dei moduli o altri input dell’utente, limitate l’uso di caratteri speciali e permettete di caricare solo tipi di file sicuri e comuni.

Infine, per un ulteriore livello di protezione, è possibile proteggere con password le directory dei file.

Come Proteggere il Vostro sito Web: Suggerimenti e Strumenti

Se il vostro sito presenta del malware, un buon plugin di sicurezza dovrebbe servire per rimuoverlo. Prima abbiamo visto alcune delle vulnerabilità da controllare.

Guarda la Nostra Video Guida alla Sicurezza del Tuo Sito Web

Abbiamo anche altri suggerimenti rapidi per proteggere il vostro sito web e prevenire l’infezione prima che possa accadere. Potete applicare la maggior parte di questi suggerimenti in pochi minuti, e dovrebbero essere facili da impostare anche se non avete familiarità con WordPress e la sicurezza web.

Scegliere un Host Sicuro

Quando gli hacker stanno cercando un modo per entrare nel vostro sito, spesso si rivolgono al server per cercare exploit. Ci sono un sacco di offerte di hosting economico sul mercato, ma non sempre questa aziende investono nei server più sicuri.

L’hosting condiviso può essere un vettore di infezione. Se un sito web è infettato da malware, può potenzialmente diffondersi a tutti i siti sul server. Quindi potreste ritrovarvi con un sito pieno di virus e spam SEO, senza averne nessuna colpa.

Ecco perché è vitale fare la vostra ricerca e scegliere un host che si preoccupa della sicurezza e investe in server sicuri. Dovrete comunque proteggere il vostro sito web, ma a livello di server i vostri dati saranno al sicuro.

Attivare l’Autenticazione in Due Fattori (2FA)

L’autenticazione a due fattori (conosciuta anche con l’acronimo 2FA) aggiunge un altro livello al processo di login. Oltre al nome utente e alla password, voi — o chiunque finga di essere voi — avrete anche bisogno di un’altra informazione: un codice unico supplementare.

Potrebbe essere un codice numerico inviato al vostro telefono, che può rendere il vostro account WordPress quasi inviolabile da attacchi di forza bruta. In alternativa, potrebbe richiedere la verifica dell’email o un’informazione che solo voi conoscete.

Anche se non c’è un modo integrato per abilitare l’autenticazione a due fattori, molti plugin aggiungono la funzionalità a WordPress.

Kinsta offre l’autenticazione a due fattori a tutti i clienti. Se non siete utenti Kinsta, però, il plugin di sicurezza Wordfence che abbiamo menzionato prima è dotato di 2FA integrato. Potete anche provare altri strumenti di sicurezza del sito web, come il plugin Two-Factor per i codici email o Duo per impostare l’autenticazione telefonica a due fattori attraverso un’app.

Plugin Duo Two-Factor Authentication
Plugin Duo Two-Factor Authentication

Fare un Backup Quotidiano

Il backup del vostro sito non può salvarlo da persone che cercano di entrare, ma se qualcosa dovesse mai accadere, un backup sarà un tesoro inestimabile. Averlo può fare la differenza tra perdere settimane o addirittura anni di lavoro e ripristinare in un attimo un backup precedente all’attacco.

Se siete clienti Kinsta, ci pensiamo noi con backup automatici giornalieri memorizzati per due settimane (30 giorni per chi è parte dell’Agency Partner Program di Kinsta). Inoltre, è possibile creare cinque backup manuali e un backup scaricabile a settimana, e ci sono componenti aggiuntivi opzionali per eseguire il backup ogni ora o esportarlo nel cloud.

Anche i plugin come Updraft Plus possono aiutare. È meglio scegliere un servizio che faccia il backup almeno ogni giorno per minimizzare la perdita di dati.

Usare un Web Application Firewall

Un web application firewall, o WAF, usa regole severe per filtrare il traffico in entrata, bloccando gli IP associati ad attacchi di hacking o DDoS. Impedisce a molti attacchi di raggiungere il vostro server.

È possibile applicare WAF a livello di server, ma è più facile acquistare un servizio basato su cloud come quello fornito da Cloudflare o Sucuri.

Connettersi Via SSH o SFTP

A volte avrete bisogno di connettervi al vostro sito con FTP per aggiungere o modificare dei file. È sempre meglio usare SFTP piuttosto che FTP; la differenza è semplice: SFTP è sicuro, mentre FTP non lo è.

Con l’FTP, i vostri dati non sono criptati. Se qualcuno riesce a intercettare la connessione tra voi e il vostro server, potrebbe vedere tutto, dalle vostre credenziali di accesso FTP ai file che caricate. Connettetevi sempre con SFTP.

Potreste anche considerare l’uso di un accesso SSH, che vi permette di connettervi a un prompt dei comandi e gestire il vostro sito più direttamente. È sicuro, protetto e può gestire in remoto compiti semplici. La nostra guida su SSH può aiutarvi se non sapete come proseguire.

Prevenire gli Attacchi DDoS

Gli attacchi DDoS rallentano il vostro sito web, spammando il vostro server con migliaia di richieste fasulle, e impedendo ai potenziali lettori o clienti di accedervi. Ecco alcuni consigli per fermarli prima che accadano:

  • Avere un piano da mettere in atto quando arriva un attacco DDoS. Meglio non farsi prendere dal panico quando sarà il momento di avvisare il vostro web host e fermare l’attacco.
  • Usare un firewall per applicazioni web che possa rilevare il traffico fasullo.
  • Usare un software anti-DDoS su misura.
  • Disabilitare xmlrpc.php per evitare che app di terze parti usino il vostro server.
  • Disattivare l’API REST per gli utenti generici.

Prevenire gli Attacchi di Forza Bruta

Gli attacchi di forza bruta possono essere simili agli attacchi DDoS, ma l’obiettivo è quello di indovinare la vostra password di amministrazione e penetrare nel sito piuttosto che far cadere il vostro server. Detto questo, anche questi attacchi possono rallentare il vostro sito.

Strumenti di Sicurezza del Sito Web che Dovete Conoscere

Oltre a quelli che abbiamo già menzionato, ecco alcuni altri strumenti di sicurezza online che vi aiuteranno a bloccare il vostro sito web:

  • Intruder.io: scansiona le ultime vulnerabilità.
  • SSL Server Test: strumento di sviluppo che analizza il vostro certificato SSL e identifica i punti deboli.
  • HTML Purifier: filtra il codice maligno/XSS, ottimo se avete del codice infetto da pulire.
  • Mozilla Observatory: consigli pratici per ripulire il vostro codice dalle vulnerabilità comuni.
  • sqlmap: uno strumento di test di penetrazione per identificare gli exploit nel vostro codice SQL.
  • Detectify: scansiona le vostre applicazioni web con l’aiuto di hacker etici.
  • WPScan: uno scanner per WordPress basato su CLI.
  • SonarQube: scrivere codice conforme agli standard senza vulnerabilità di sicurezza.

Checklist della Sicurezza del Sito Web

Il vostro sito web è al sicuro dagli attacchi? Assicuratevi di aver spuntato quasi tutti i punti in questa checklist:

  • State usando un ambiente di hosting sicuro e di alta qualità?
  • Avete scansionato il vostro sito con un plugin o uno scanner online per verificare la presenza di virus?
  • Avete installato un registro delle attività e lo state monitorando per identificare cambiamenti insoliti?
  • Voi e qualsiasi utente con privilegi di alto livello state usando password sicure e autenticazione a due fattori? Tutte le email sono corrette?
  • WordPress, i temi e plugin, e i sistemi sottostanti come il PHP sono aggiornati?
  • Il vostro certificato SSL è sicuro e aggiornato?
  • Avete controllato se ci sono cambiamenti inspiegabili, cancellazioni o aggiunte di contenuti, o link che non avete aggiunto nelle vostre pagine web, impostazioni o file?
  • La vostra pagina di accesso è protetta da una password e da tentativi di accesso limitati?
  • Avete controllato se ci sono nuovi utenti che non avete aggiunto?
  • I moduli, le aree per i commenti e altre fonti di input dell’utente sono protetti? (Disabilitate i caratteri speciali e limitate il caricamento dei file a tipi di file conosciuti).
  • Avete disabilitato xmlrpc.php e l’API REST per prevenire gli attacchi DDoS?
  • Avete disabilitato la modifica di temi e plugin nella bacheca?
  • Avete un servizio di backup giornaliero?
  • Avete impostato un web application firewall?

Sommario

La sicurezza del sito web non è un problema minore, quindi se non ci avete ancora prestato attenzione, è il momento di metterlo in cima alle vostre priorità. Essere hackerati non solo è un grosso fastidio ma può finire per danneggiare la vostra SEO, generare perdite devastanti di dati, distruggere la fiducia degli utenti, e avere malware che ritorna ogni volta.

Non c’è bisogno di essere sviluppatori esperti per iniziare proteggere il vostro sito. E questo processo inizia con un’adeguata verifica della sicurezza del sito web. Anche qualcosa di semplice come scegliere una password migliore o passare a un host più sicuro potrebbe fare la differenza.

Avete bisogno di altri consigli sulla sicurezza? Scoprite altri 19 modi per rendere sicuro il vostro sito e condividete i vostri suggerimenti nei commenti qui sotto!

Salman Ravoof

Salman Ravoof é uno sviluppatore web autodidatta, uno scrittore, un creatore e un grande ammiratore del Free and Open Source Software (FOSS). Oltre alla tecnologia, è appassionato di scienza, filosofia, fotografia, arte, gatti e cibo. Per saperne di più su di lui, visitate il suo sito web o contattate Salman su X.