weBlog

Come proteggere il sito web da attacchi hacker (WordPress)

Dicembre 13, 2018 by 1193 Views
Ho volato sul Chianti (in mongolfiera)
25 Ottobre 2018
Ginestra – CAPO NORD 🇳🇴 | Viaggio alla fine del mondo | Short Movie
24 Giugno 2022
weBlog
Come proteggere il sito web da attacchi hacker (WordPress)
Dicembre 13, 2018 by in weBlog

Nelle ultime settimane, ho avuto modo di assistere a numerosi tentativi di attacco da parte di hacker esteri nei confronti di alcuni siti web che ho realizzato.

Un attacco hacker che va a segno, è un problema enorme per chi possiede un sito, ed è un disastro se non si ha un backup relativamente recente da qualche parte.

Ci sono poi i tentativi di incursione che arrivano tramite mail, la nuova “moda”  è quella di controllare tramite Whois quando scade un dominio, ed inviare una finta mail in cui si segnala che il pagamento del rinnovo non è andato a buon fine oppure che il dominio è in scadenza anche se è stato appena rinnovato e quindi è necessario inserire di nuovo il numero della carta di credito. Ovviamente chi fa simili tentativi non è uno sprovveduto, e quindi conferisce alla mail una veste grafica assolutamente simile a quella del provider su cui si ha il sito web (ad esempio Aruba) e in più maschera il link per andare a mettere il numero di carta altrettanto bene. Insomma, se non si è del mestiere, cascarci è facilissimo.

Cosa fare:

Innanzi tutto, partiamo dal presupposto che una mail di questo tipo un provider non la manda, se hai fatto un tentativo di pagamento e non è andato a buon fine lo sai subito nel momento in cui lo fai. Ma poniamo che il dubbio rimanga e che ci sia una minuscola possibilità che il sito sia realmente scaduto, l’unica cosa da fare è chiudere la mail senza cliccare assolutamente nulla, nessun link, niente di niente, e andare, magari col cellulare o un altro apparecchio a guardare direttamente sul sito ufficiale del provider se è tutto a posto nel proprio pannello di controllo (vedrete che è tutto a posto).

La mail in questione va poi cancellata, segnalata come spam, distrutta, fatta esplodere, insomma eliminata fisicamente in tutti i modi possibili, e successivamente bisogna far fare un bello scan al proprio antivirus (aggiornato), anche se si ha un mac.

Io ad esempio per il mio Mac uso AVG, e devo dire che funziona molto bene, anche se non avrei mai creduto fino a  qualche tempo fa che mi sarebbe servito un antivirus e antimalware per il Mac.

Fatta questa premessa, passiamo ora a

Come proteggere il sito web WordPress

Innanzi tutto è bene fare dei backup, sia dell’hosting che del database, e tenerli al sicuro anche in più di un posto. Quasi tutti i provider offrono la possibilità di avere un backup automatico del sito, ma se non vi accorgete immediatamente che il il vostro sito è stato infettato potreste avere un backup infetto allo stesso modo, quindi è bene avere dei backup manuali e periodici.

Io poi utilizzo in tutto 3 plugin:

  • Wordfence è assolutamente fondamentale, per un periodo ho pensato che non fosse davvero necessario e che nella versione free offrisse una protezione misera, ma non è così. Questo plugin impedisce:
    • I tentativi eccessivi di login al sito, bloccando l’indirizzo ip di provenienza e facendo un report del nei nome utente usati, la provenienza e il numero di tentativi
    • Blocca gli attacchi di forza bruta, che sfruttano debolezze o mancati aggiornamenti del sistema per entrare e sovrascrivere il database
    • Segnala tramite mail quali sono le criticità del sito come i plugin non aggiornati (grande fonte di debolezza)
    • Segnala tramite mail che un utente autorizzato o no ha fatto accesso al pannello di controllo del sito.

Non è assolutamente poco

  • Captcha bank in realtà ha una funzione ridondante perché oltre a inserire un captcha con una operazione da risolvere sotto al login form, blocca gli indirizzi ip di chi fa troppi tentativi, direi che è una cosa in più che male non fa
  • Companion Auto Update è ottimo se non volete andare settimanalmente a ad aggiornare tutti i plugin del sito riducendo fortemente il rischio di attacchi esterni. Per usarlo però, bisogna essere amanti del brivido: può capitare che per qualche motivo l’aggiornamento di un plugin non vada a buon fine (WooCommerce ad esempio) mandando in palla tutto il sito, quindi suggerisco di usare questo plugin se si sa come risolvere il problema. In linea di massima però un aggiornamento costante di tutto non dovrebbe creare problemi.
Conclusioni

Spero di essere stato utile, al netto di questi consigli, bisogna tenere presente che un attacco hacker ben organizzato può mettere in crisi anche colossi come Facebook, quindi in ultima istanza, avere dei backup sul proprio hard disk è un’ottima risorsa

Guido Legnaioli

logo