Video: Come capire se è ora di cambiare hosting al tuo sito WordPress (Novembre 2024)
Come piattaforma di gestione dei contenuti, WordPress è estremamente popolare tra gli utenti perché è così facile da usare. Il fatto è che è un bersaglio popolare anche per criminali e aggressori. Se disponi di un sito WordPress, devi eseguire alcuni passaggi di base per proteggere il tuo sito.
DDoS con WordPress
Sebbene vi sia sempre la preoccupazione che il tuo sito WordPress possa essere hackerato per fornire malware ai visitatori del tuo sito o reindirizzarli a un sito dannoso altrove sul Web, non vuoi anche scoprire che il tuo sito viene utilizzato lanciare attacchi contro altri siti. All'inizio di questa settimana, la società di sicurezza Sucuri ha riferito che oltre 162.000 siti WordPress erano stati indotti a partecipare a un attacco di negazione del servizio distribuito contro un altro sito.
Il fatto è che i siti non sono stati dirottati o infettati per formare una botnet. Gli aggressori hanno abusato di Pingbacks, una funzione perfettamente legittima in WordPress, per inondare il sito di destinazione di traffico indesiderato. I pingback vengono utilizzati da un sito WordPress per avvisare altri siti quando un post è collegato a loro. Nell'attacco osservato da Sucuri, l'attaccante ha indotto i siti a inviare una richiesta di pingback allo stesso URL di destinazione, cosa facile da fare poiché Pingback è abilitato per impostazione predefinita in WordPress. Il sito di destinazione fu improvvisamente bombardato da richieste di Pingback, che essenzialmente montarono su un attacco DdoS.
Se stai usando WordPress, dovresti considerare di disattivare i Pingback per assicurarti che il tuo sito non possa essere usato per attaccare altri siti. La funzione ti avvisa quando qualcun altro parla di te, il che è un buon ripetitore di ego, ma vale la pena tenerlo in giro per essere maltrattato? Sucuri ha suggerimenti su come bloccare i pingback sul suo sito.
Perdita WordPress
Dave Lewis, un avvocato senior della sicurezza con Akamai Technologies, ha utilizzato Google per trovare oltre 111.000 siti WordPress i cui backup di database erano accessibili da Internet. L'elenco includeva "tutti i tipi di siti Web da siti musicali indipendenti a studi medici e persino alcuni siti Web governativi", ha scritto Lewis sul suo blog CSO. Il dump conteneva informazioni dettagliate sul database, che gli aggressori potevano utilizzare per lanciare altri attacchi, ma anche una potenziale perdita di dati.
Ovviamente, i backup non dovrebbero essere accessibili da Internet. Se i backup sono eseguiti localmente sullo stesso server su cui è installato WordPress, i plug-in di Wordfence o Sucuri possono bloccare l'accesso non autorizzato, Lewis ha detto.
WordPress obsoleto
Il compito più importante per gli amministratori di WordPress è rimanere aggiornato sugli aggiornamenti del software, non solo per la piattaforma principale, ma per ciascuno dei plug-in in esecuzione sul sito. Le versioni obsolete di WordPress sono costantemente sotto attacco, in particolare i plugin. "Gli hacker malintenzionati sono sempre alla ricerca di modi per infettare gli utenti di computer e quale tecnica migliore può esistere se non quella di compromettere un sito Web esistente e legittimo e sovvertirlo in modo tale da infettare subdolamente gli utenti di computer quando lo visitano", ha affermato il consulente per la sicurezza. Graham Cluley.
Gli aggressori possono sfruttare i difetti senza patch per eseguire attacchi SQL scripting o cross-site. I difetti possono anche essere sfruttati per infettare il sito con malware. Per la maggior parte, questi problemi sono generalmente il risultato di problemi con i plugin, non con la piattaforma software principale, il che rende ancora più critico il fatto che i plugin vengano aggiornati regolarmente.
È importante notare la differenza tra i siti ospitati su WordPress.com e i siti WordPress che girano su altri server. Il team dietro WordPress mantiene aggiornato il software su WordPress.com, in modo che i singoli utenti non debbano farlo. I siti con hosting autonomo richiedono che il proprietario del sito rimanga aggiornato su patch e aggiornamenti per assicurarsi che il software rimanga aggiornato.
Se hai intenzione di eseguire WordPress, mantieni il controllo degli aggressori mantenendo il tuo sito aggiornato regolarmente.