Le 5 vulnerabilità più comuni di WordPress (e perché mantenere il sito aggiornato)

Da Microteam | 26 Agosto 2021

WordPress è la piattaforma CMS (Content Management System) che fa da “motore” al 42,5% di tutti i siti web (fonte: w3techs.com).

Sviluppato in modalità open-source, della sua flessibilità beneficiano sia gli sviluppatori, che hanno creato decine di migliaia fra temi e plugin, sia l’utente finale che li utilizza per aggiungere funzionalità al proprio sito WordPress.

Il team di WordPress lavora costantemente per mantenere la piattaforma sicura ma, proprio per l’intrinseca caratteristica di “apertura” del sistema a tutti gli sviluppatori, non è possibile affidarsi unicamente al suo meccanismo di sicurezza di default, in quanto le modifiche che vengono introdotte installando i vari plugin e temi possono creare delle falle facilmente sfruttabili dagli hacker.

Questo non è un difetto del sistema in sé, ma presuppone la necessità di conoscere quali sono le principali vulnerabilità di sicurezza di WordPress e come intervenire per mantenere il sito in sicurezza.

Qui di seguito elenchiamo le più note e utilizzate.

Vulnerabilità di WordPress e problemi di sicurezza

  1. Attacco “Brute force”
  2. Attacco DDoS
  3. SQL injection
  4. Malware
  5. Scripting Cross-Site

1. Attacco “Brute force”

È finalizzato a individuare nome utente e password di accesso all’area riservata di WordPress.

Viene messo in atto utilizzando potenti algoritmi che analizzano il contesto con le informazioni a disposizione e dizionari che provano a indovinare la combinazione utente/password.

Rimane uno degli attacchi più popolari eseguiti sui siti WordPress che, di default, non impedisce ad un utente, magari un bot, di provare molte combinazioni al secondo.

Come evitare gli attacchi Brute Force?

  • Creare una password forte che includa lettere maiuscole, lettere minuscole, numeri e caratteri speciali
  • Evita di usare password semplici, nomi o date, …
  • Installare e configurare uno dei plugin che limitano il numero di accessi possibili
  • Usare un plugin che permetta l’autenticazione a 2 fattori.

 

2. Attacco DDoS

Attraverso il famigerato attacco DDoS (Distributed Denial of Service) un grande volume di richieste contemporanee viene fatto verso un singolo sito in modo da saturare le risorse del server, rendendo il sito lentissimo fino a bloccarlo.

Il DDoS viene eseguito tramite più macchine distribuite in tutta la rete (botnet) e provoca costi enormi per le aziende coinvolte.

Come prevenire e correggere gli attacchi DDoS?

Per la natura e la portata dell’attacco non è semplice prevenire un attacco DDoS usando tecniche convenzionali. I fornitori del servizio di hosting svolgono un ruolo importante nel proteggere da tali attacchi attraverso strategie e tecniche differenti da fornitore a fornitore.

 

3. SQL injection

L’iniezione di query SQL per manipolare o distruggere completamente il database che contiene tutti i dati relativi a struttura e contenuti del sito può essere messa in atto utilizzando qualsiasi modulo web o campo di input non adeguatamente programmato.

Se l’attacco riesce, l’hacker può manipolare il database e ottenere l’accesso al sito come amministratore e provocare ulteriori danni.

Come evitare la vulnerabilità SQL Injection?

  • Utilizzare un plugin come WPScan o Sucuri SiteCheck per identificare se il vostro sito è stato vittima di un attacco SQL Injection
  • Aggiornare il core di WordPress così come qualsiasi tema o plugin che risulti obsoleto o si pensi possa essere alla base del problema
  • Verificare in rete se altri utenti hanno segnalato le medesime condizioni di attacco.

 

4. Malware

Il codice malevole viene iniettato in WordPress attraverso un tema infetto, un plugin obsoleto o uno script. Questo codice può estrarre dati dal tuo sito così come inserire contenuti dannosi, che spesso passano inosservati a causa della loro natura discreta.

Se non si interviene rapidamente o se il core di Worpress viene intaccato, può rendersi necessario reinstallare l’intero sito. Può anche succedere che il malware metta in sofferenza il server che ospita il sito inviando migliaia di messaggi spam o trasferendo enormi quantità di dati. In tal caso può succedere che il provider metta offline il sito fino a che il cliente provvede a ripristinare la funzionalità corretta del sito.

Come prevenire e correggere le infezioni malware?

  • Scaricare e utilizzare temi e plugin solo da risorse fidate e prive di contenuti dannosi
  • Eseguire con regolarità scansioni di sicurezza del sito, utilizzando uno degli appositi plugin (ad esempio WordFence) che spesso sono anche in grado di eliminare i malware individuati
  • In caso di danno irreparabile consultare un esperto di WordPress.

 

5. Scripting Cross-Site

Conosciuto anche come “attacco XSS”, uno degli attacchi più comuni è il Cross-Site Scripting.

In questo tipo di attacco, l’aggressore crea un codice JavaScript dannoso e lo carica su un sito compromesso. Durante la navigazione, questo codice verrà inviato al browser dell’utente e inizierà a raccogliere dati o a reindirizzare verso altri siti dannosi.

Come prevenire e correggere il Cross-Site Scripting?

  • Verificare, attraverso una corretta convalida, i dati di tutto il sito WordPress.
  • Utilizzate la sanitizzazione dell’output per garantire che venga inserito il giusto tipo di dati.
  • Possono essere utilizzati anche plugin come Prevent XSS Vulnerability.

Perché è essenziale mantenere il sito aggiornato?

Le versioni obsolete di WordPress sono più inclini a essere colpite da una minaccia alla sicurezza. Non appena viene segnalata in rete una falla, gli hacker trovano il loro modo di sfruttarla a loro favore.

Mantenere online un sito non aggiornato significa lasciare una porta aperta a diversi tipi di attacco.

WordPress è scritto in linguaggio PHP. L’esecuzione di vecchie versioni di tale linguaggio di programmazione può causare problemi di sicurezza e incompatibilità, pertanto è importante utilizzare una versione PHP aggiornata perché il sito possa funzionare correttamente.

Secondo le statistiche ufficiali di WordPress, soltanto il 36% degli utenti utilizza la versione più aggiornata di WordPress.

statistiche versioni wordpress

Mentre solo il 41% dei siti utilizzata PHP nella versione 7.4 o 8.

statistiche versioni php

Come correggere le versioni obsolete di WordPress e PHP?

L’installazione di WordPress dovrebbe essere sempre mantenuta aggiornata all’ultima versione, ricordando di fare sempre un backup prima di aggiornare.

Riguarda all’aggiornamento di PHP, questo deve essere eseguito solo dopo averne testato la compatibilità al tema e ai plugin utilizzati.

Considerazioni finali

L’aggiornamento gioca un ruolo essenziale nel mantenere intatta la sicurezza del tuo sito realizzato in WordPress. Se viene notata una qualsiasi attività insolita correlata al sito, non esitate a indagare fino a individuare il problema, poiché questi rischi per la sicurezza causare spesso alle aziende danni economici ingenti, di immagine e reputazione (che nel caso di Google significa essere estromessi dai risultati del motore di ricerca).

Pensi di avere un problema con la sicurezza del tuo sito? Vuoi essere proattivo e ti serve una mano per intervenire prima che si manifesti un problema? Contattaci!

Se hai trovato interessante questo articolo, condividilo con la tua rete di contatti.

Hai suggerimenti? Vuoi condividere la tua esperienza? Commenta l’articolo qui sotto!