Protezione del tuo sito Web WordPress: una panoramica

Pubblicato: 2020-08-25
Securing Your WordPress Website

introduzione

WordPress è uno strumento per la creazione di siti Web, noto come C ontent Management S ystem (CMS), che semplifica la creazione di siti Web belli e potenti senza la necessità di sapere nulla di HTML, PHP o tecnologie Web. Questa flessibilità e potenza hanno reso WordPress follemente popolare. Ora è il CMS numero uno che alimenta oltre 455.000.000 di siti Web o il 35% dell'intera Internet! Se vuoi che il tuo sito web abbia un aspetto elegante, abbia tutte le funzionalità di cui potresti aver bisogno e utilizzi gli strumenti SEO più potenti disponibili, WordPress offre.

La popolarità di WordPress ha creato un ecosistema incredibilmente ricco di temi, plugin e strumenti che estendono e migliorano facilmente ogni aspetto del tuo sito WordPress. Sfortunatamente, questa popolarità rende WordPress anche un bersaglio attraente per gli hacker. Ciò accade per un paio di motivi correlati. In primo luogo, con 455 milioni di siti che eseguono WordPress, se un hacker riesce a scoprire un exploit, può potenzialmente entrare in quasi mezzo miliardo di siti Web e prendere ciò che vuole.

In secondo luogo, tra l'enorme numero di componenti aggiuntivi e plug-in, alcuni non sono scritti molto bene, sono mantenuti male o addirittura abbandonati dai loro autori. Ciò fornisce agli hacker un punto di accesso molto più semplice a un sito Web WordPress rispetto al core WordPress rinforzato. L'enorme numero di siti WordPress significa che anche un plug-in relativamente impopolare può ancora essere utilizzato su molti, molti siti Web WordPress.

In questo articolo, esamineremo le basi per proteggere un sito Web WordPress in modo da poter godere della potenza di WordPress senza subire alcuno degli svantaggi.

Mantenersi aggiornati

Il mondo della tecnologia avanza incredibilmente rapidamente e questo include WordPress e la tecnologia che lo supporta. Quando visiti un sito WordPress c'è un gran numero di software che funzionano tutti insieme per abilitare il sito web che stai guardando. Questi pacchetti software possono essere raggruppati approssimativamente nei seguenti livelli:

  1. Sistema operativo
  2. Nucleo di WordPress
  3. Plugin e temi per WordPress

Ciascuno di questi livelli dipende dal livello inferiore numerato per funzionare correttamente e in modo sicuro. Nessun software è scritto perfettamente, il che significa che i bug vengono scoperti continuamente nei pacchetti distribuiti. Inoltre, i loro autori creano versioni nuove e migliorate dei pacchetti software per aggiungere caratteristiche e funzionalità.

Tutto ciò significa che gli amministratori di WordPress devono rimanere aggiornati su ogni aggiornamento disponibile per il loro sistema operativo e la loro installazione di WordPress. Come puoi immaginare, questo richiede molto tempo e, sfortunatamente, a volte conoscenze altamente tecniche quando le cose vanno male. Ci sono strumenti che rendono parti di questo più facili ma non infallibili.

Dai un'occhiata al nostro articolo Stai al sicuro e mantieni aggiornato il tuo WordPress per molte informazioni su come mantenere aggiornato il tuo sito Web WordPress.

Blocco di hacker e bot

Un sito web, quasi per definizione, deve “parlare” con internet. Ciò significa che, in un mondo ideale, chiunque può fare una richiesta educata e ben formata per una pagina Web e il tuo sito Web WordPress risponderà restituendo la pagina. Potresti aver notato che non viviamo in un mondo ideale e, di conseguenza, hacker, criminali e script kiddy proveranno ogni tecnica a cui possono pensare per abusare del tuo sito Web WordPress per introdurlo o deturparlo.

Allo stesso modo in cui hai una porta d'ingresso robusta e chiusa a chiave per impedire l'irruzione dei ladri, puoi creare una robusta barriera di rete davanti al tuo sito Web WordPress che impedirà agli hacker di distruggere il tuo sito.

Il vantaggio che hai come amministratore è che gli aggressori puoi controllare esattamente quale traffico di rete può accedere al tuo sito WordPress. Puoi implementare strumenti efficaci per schermare il traffico che arriva al tuo server e filtrare ed eliminare qualsiasi traffico dannoso, proteggendo così il tuo sito Web WordPress.

I seguenti tre strumenti di filtraggio del traffico monitoreranno diverse proprietà del traffico di rete in arrivo al tuo sito Web WordPress:

  1. Firewall filtro pacchetti.
  2. Firewall per applicazioni web.
  3. Bruteforce e monitoraggio dei bot.

Il primo strumento, un filtro per pacchetti, è ciò a cui la maggior parte delle persone pensa quando sente la parola "firewall". Questo strumento di sicurezza esamina le proprietà del traffico di rete a un livello molto semplice. Queste proprietà sono cose come la porta a cui è destinato il pacchetto, da dove ha avuto origine, il protocollo del pacchetto e molte altre. Il firewall mantiene un elenco di proprietà consentite e bloccate e scarterà tutti i pacchetti che violano queste regole. Puoi perfezionare queste regole per soddisfare qualsiasi minaccia per proteggere il tuo server.

Il secondo strumento, un Web Application Firewall (WAF) funziona esaminando le richieste Web in arrivo e assicurando che nessuna richiesta malformata possa essere elaborata da WordPress. Molti attacchi si basano sulla creazione di richieste deliberatamente non standard o richieste di file WordPress sensibili. Un WAF scarterà tali richieste e consentirà solo tramite richieste autentiche e correttamente formattate.

Gli strumenti finali, una forza bruta e un rilevatore di bot, fermeranno gli attacchi di forza bruta contro il tuo sito WordPress. Un attacco di forza bruta si verifica quando un utente malintenzionato tenta di accedere al tuo sito Web WordPress inviando migliaia di combinazioni di nomi utente e password nella speranza di indovinare una coppia funzionante. La protezione Bruteforce noterà quei numerosi tentativi di accesso falliti e bandirà automaticamente la persona o il bot che effettua più tentativi.

Se hai un sito Web WordPress devi assolutamente installare, configurare e mantenere tutti e tre questi strumenti di sicurezza della rete. Ottenere il massimo da questi strumenti e raggiungere il massimo livello di sicurezza per il tuo sito è impegnativo.

Scansione malware

Il malware è un nome generico per qualsiasi software con intenti dannosi o criminali. Il malware è disponibile in molte forme e dimensioni e può facilmente finire sul tuo sito Web WordPress. La complessità di WordPress significa che ci sono una varietà di modi in cui puoi finire con il malware sul tuo sito. Tuttavia, il più popolare tra gli hacker è tramite un plug-in o un tema. Ciò può essere dovuto all'inclusione deliberata di codice dannoso da parte di un hacker, ma è più probabile che si tratti semplicemente di un errore di codifica. Un piccolo errore di codifica difficile da trovare può consentire agli aggressori di sfruttare uno script PHP per inserire codice dannoso sul tuo sito.

Ovviamente, mantenere aggiornato tutto il codice del tuo sito Web WordPress è essenziale per bloccare questi attacchi poiché i bug verranno corretti e il codice dannoso rimosso se viene trovato. Tuttavia, gli aggiornamenti possono solo aiutare con i problemi che sono stati identificati. Ciò lascia ancora molti problemi che vengono attivamente sfruttati dai criminali che non sono stati ancora risolti o che non hai ancora applicato l'aggiornamento.

Questo è il motivo per cui una scansione efficace del malware è essenziale. Una buona scansione del malware funzionerà proprio come uno scanner antivirus sul tuo laptop. Deve scansionare continuamente il tuo sito Web WordPress ed esaminare ogni file che trova rispetto a un elenco di malware aggiornato e mettere in quarantena qualsiasi malware che trova.

Installare, configurare e mantenere uno scanner malware efficace non è banale. È efficace solo se viene mantenuto aggiornato ed eseguito frequentemente. Se è consentito non essere aggiornato, il tuo sito Web WordPress è soggetto a compromissione.

Dai un'occhiata al nostro articolo sulla scansione del malware Malware e WordPress: mantenerlo pulito per uno sguardo completo su come il malware infetta WordPress e cosa puoi fare al riguardo.

Come dovrei fare tutto questo?

Se gestisci il tuo sito Web WordPress per hobby, l'installazione, la configurazione, la manutenzione e la correzione degli strumenti che affrontano questi problemi di sicurezza possono essere un'esperienza di apprendimento eccellente. Dopotutto, non hai molto da perdere se sbagli.

Tuttavia, se il tuo sito Web WordPress è mission-critical e non hai l'esperienza e le conoscenze specifiche del dominio per mantenere tutto al sicuro, dovresti cercare una soluzione di hosting WordPress gestita esperta come Rocket. Rocket distribuisce automaticamente e continuamente strumenti di sicurezza leader del settore e assume la sicurezza del tuo sito WordPress per te per ogni livello delle loro istanze WordPress.

Basta registrarsi, creare un sito Web WordPress e tuffarsi direttamente nella creazione di un bellissimo sito WordPress.