Filippo Negroni Sangue Blu

Virus e siti WordPress: come proteggersi

Succede sempre così, una mattina ti svegli e scopri che “qualcosa” non va per il verso giusto. A me è successo qualche giorno fa, mentre stavo visualizzando un articolo del Blog sul mio smartphone. Sembrava quasi che qualcuno stesse dirottando tutti gli accessi al sito verso un URL esterno; soltanto dopo un’attenta scansione sono giunto alla drammatica conclusione: CA**O! SONO STATO HACKERATO! L’indirizzo fraudolento portava il nome di: travelfornamewalking.

Non importa che si tratti di un Ecommerce, di un semplice Blog o di un sito informativo, se stai utilizzando la piattaforma WordPress anche tu sei a rischio infezione (come se – oggigiorno – non bastasse il Covid). E’ possibile creare un sistema a prova di intrusioni? La mia risposta è: no, ma possiamo rendergli la vita difficile. Ecco alcuni semplici consigli su come provare a contrastare quei simpatici “terroristi” nascosti dietro ad una maschera di Guy Fawkes.

Perché proprio io?

Per rispondere a questa domanda, è sufficiente avere nozioni elementari di matematica. Ogni giorno vengono creati migliaia (se non milioni) di nuovi siti web, e ognuno di essi riceverà un numero variabile di visitatori. Lo stesso motore di ricerca (es. Google) impiegherà diverse settimane ad “accorgersi” del nuovo sito, il lavoro di indicizzazione è una fatica quotidiana che ogni “search engine” (diciamolo all’inglese che fa più scena) deve affrontare. E indovinate un po’? Più visitatori avrete, maggiore sarà il punteggio che vi verrà attribuito (permettendovi di scalare la classifica e di comparire tra i primissimi risultati).

Non tutto è oro quel che luccica

Sfortunatamente, il motore di ricerca non è l’unico che può “sniffare” il traffico dati. Esistono infatti alcuni programmi (denominati “bot”) in grado di fare esattamente la stessa operazione. Tali software vengono utilizzati da malintenzionati (leggasi: Hacker) con il fine di monitorare il traffico in entrata verso i principali CMS (WordPress, Joomla, etc.). In poche parole, più un sito/blog/ecommerce è visitato, maggiori saranno le possibilità che quest’ultimo venga “preso di mira”. Se il tuo sito registra un centinaio di visite all’anno, è difficile che venga infettato (anche se nel prossimo punto parlerò di alcune variabili in grado di ribaltare completamente la previsione statistica), il discorso cambia se aggiungiamo alle 100 visualizzazioni mensili un terzo o un quarto “zero”.

Punti deboli: Plugin e Template

L’altro fattore che influenzerà la tipologia d’attacco, consiste nell’individuare potenziali vulnerabilità del sito internet. Immaginiamo per un solo minuto di avere a che fare con una scatola chiusa, quasi impossibile da aprire. Se questa scatola possiede dei “fori”, sarà possibile intravedere parte del suo contenuto, facilitando il lavoro di manomissione. Le debolezze di cui sto parlando sono rappresentate dai plugin e dai template utilizzati.

Ogni tema acquistato, ogni plugin installato, rappresenta una potenziale vulnerabilità.

Il lavoro più importante consiste nel mantenere aggiornati non solo questi plugin e template, ma anche l’intero “motore” di WordPress. Se alcuni plugin sono stati acquistati con una licenza a scadenza, sarete obbligati ad effettuare nuovamente l’acquisto o non potrete effettuare nessun tipo di update. Sarà, inoltre, di fondamentale importanza che il vostro sito sia provvisto di un certificato di sicurezza SSL (anche nel rispetto della normativa sul GDPR).

Il troppo, stroppia

Ricordatevi sempre che è inutile fare “collezionismo” di plugin ed estensioni. Cercate sempre di limitarvi nell’installazione di quest’ultimi (casomai, optate per un template “all-in-one”, comprensivo anche di tutte quelle funzionalità che potrebbero servirvi in futuro).

La Password:

La prima combinazione che l’hacker proverà, sarà di sicuro quella più ovvia. Evitate di utilizzare “admin” come nome utente e abbiate cura di scegliere una password difficile da indovinare. Niente nomi, anno di nascita o informazioni riconducibili alla vostra attività/persona. La password non deve per forza avere un senso logico, non stiamo parlando di un elaborato scritto. Le qualità che ogni password dovrebbe avere, sono tre:

  • Lunga (da 8 a 12 caratteri, anche di più se preferite)
  • Strana (utilizzate caratteri alfanumerici e simboli, ad es: #29#s[GF!1:cXQ$)
  • Variabile (andrebbe aggiornata almeno una volta ogni 6 mesi)

 

via GIPHY

Quando ho subito l’attacco hacker, ho visto che il Bot in questione provava ogni 60 secondi ad effettuare un accesso al sito, utilizzando proprio le più banali combinazioni d’accesso (es: admin/password, admin/admin, admin/filippomarianegroni, etc.)

Ti sta piacendo l’articolo? Aiutami a sostenere il Blog! Potete effettuare una donazione su PayPal.



Aggiornare il PHP:

Ne ho parlato qualche tempo fa in questo articolo, vi consiglio di buttarci un occhio perché è di fondamentale importanza. Potete trovarlo qui: Aggiornare WordPress all’ultima versione di .PHP

Effettuare Backup regolari:

L’ultimo consiglio che vi do è il seguente, sceglietevi un servizio di Hosting che effettui in automatico un backup del sito internet (magari ad intervalli quotidiani/settimanali) ma non affidatevi completamente a questa funzionalità. Nel mio caso, infatti, veniva effettuato solamente un backup dello spazio web e non del database MySQL. Molto meglio il classico “copia/incolla” utilizzando un qualsiasi programma FTP per il trasferimento dei file (uno tra tanti: FileZilla).

Tale backup andrebbe fatto almeno una volta al mese (in base a “quanti” articoli/prodotti pubblicate nel vostro sito).

Antivirus per WP:

Esistono, e sono molto costosi. Una sola licenza annuale può arrivare a costare anche 100-200€. Personalmente non avrei pagato una cifra del genere, se non fossi riuscito a ripristinare il sito da una vecchia copia di backup, avrei rincominciato da zero. Tutto dipende dal volume di introiti che genera il vostro spazio web. Di sicuro questi antivirus sono molto utili ma, leggendo in rete, mi è sembrato di capire che il miglior antivirus sia l’amministratore di sistema (il quale deve – appunto – tenere aggiornato il sito). Ad ogni modo, tra i più conosciuti troviamo:

A questo link potrete effettuare una scansione gratuita del vostro sito per vedere se – effettivamente – risulta infettato da qualche malware: SUCURI – SITE CHECK

In conclusione:

Proteggersi da un attacco hacker è praticamente impossibile, diamine, bucano il firewall della CIA/NASA e non possono violare la sicurezza di un “banalissimo” sito realizzato con WordPress? In questi casi si dice: prevenire è meglio che curare. Quanto tempo occorre per fare un backup al mese? Il tempo di un caffè sulla Moca. 

Volete aiutarmi a sostenere il Blog? Potete effettuare una donazione su PayPal.

Filippo Negroni Sangue Blu

CONTATTI:

Volete mettervi in contatto con me? Semplice, potete mandare una mail all'indirizzo: negroni.filippomaria@gmail.com o in alternativa, mandatemi un messaggio privato sui miei canali social: Facebook e Instagram

SOSTIENI IL BLOG!

Volete aiutarmi a sostenere il Blog? Potete effettuare una donazione (1€, 2€, 5€ o un importo a scelta) su PayPal. In questo modo coprirò tutti i costi di gestione:

ULTIMI ARTICOLI: