Nel 2021 sono aumentati gli attacchi hacker ai siti in WordPress. Sono state infatti rilevate in alcune centinaia di migliaia di vulnerabilità, ma solo il 2% riguarda i temi e la piattaforma di WordPress, in quanto il restante 98% è riferito ai plugin installati.
WordPress: le vulnerabilità più comuni
I tipi più comuni di vulnerabilità dei plugin sono stati:
- attacchi che consentono agli hacker di prendere il pieno controllo del sito. Tecnicamente si parla di Cross-site scripting (XSS), ossia di attacchi malware a siti che consentono l’esecuzione di codice JavaScript estraneo
- attacchi che permettono agli hacker di recuperare dati – come username e password – di aggiungere account, di modificare dati o, ancora, di bloccare l’accesso al sito per gli utenti legittimi. In questo caso si parla di SQL injections (SQLi), queste consentono a un hacker di sfruttare una query SQL (richiesta di dati al database) vulnerabile per eseguire delle proprie query.
Cosa puoi fare?
Per ridurre al minimo gli attacchi e non sottoporre il sito a delle vulnerabilità è importante scegliere plugin “ufficiali” (cioè realizzati da importanti software house) e aggiornarli mensilmente assieme al tema del sito e alla versione di WordPress stessa.
Oltre a ciò, è anche importante adeguare tutto il pacchetto tecnologico, cioè l’insieme delle tecnologie utilizzate – come php, mysql, apache e software come cpanel, plesk, ecc. – per il corretto funzionamento del sito.
Assieme agli aggiornamenti periodici è importante che ci sia un sistema di backup che preveda di effettuare il ripristino a prima dell’attacco o di recuperare i dati in caso di perdita. Allo stesso modo è importante un sistema di scansione di malware per rilevare il codice infetto di tutti i file presenti sul server.
Affidati a dei professionisti: il pacchetto E-leva
Quello che consigliamo è affidarsi alle competenze tecniche e all’esperienza professionale di un team di esperti che sia in grado di scegliere i plugin giusti, valutare quanti installarne (più plugin si installano, più c’è rischio di vulnerabilità) e intervenire qualora ci fossero delle anomalie.
Abbiamo pensato a un pacchetto annuale per la manutenzione del tuo sito in WordPress, che prevede:
-
- aggiornamento piattaforma sito WordPress all’ultima versione;
- aggiornamento del tema di WordPress del sito;
- aggiornamento dei plugin alle ultime versioni, installazione e/o settaggio di plugin per la sicurezza
- eliminazione plugin non attivi, inutilizzati e superflui;
- verifica e ottimizzazione best practice per la sicurezza, come, ad esempio, la verifica e/o l’integrazione di Google reCAPTCHA v3 con form sito;
- pulizia database e file inutili per il sito.
Se pensi che il tuo sito non sia protetto, che vada aggiornato o semplicemente per ricevere più informazioni: contattaci, sapremo indicarti la migliore soluzione personalizzata.
Fonti:
“Read the 2021 WordPress Vulnerability Annual Report” di Kristen Wright pubblicato su iThemes
“2021 WordPress Vulnerability ANNUAL REPORT” realizzato da WPScan pubblicato su iThemes