Pubblicato il /by lidweb/ in Web links

8 Scanner per verificare vulnerabilità di un sito WordPress

Aggiornato il 10/02/2021 by lidweb

Una lista di strumenti per verificare la vulnerabilità e avere informazioni di un sito WordPress.

scanner virus

 

Introduzione


La piattaforma WordPress è un programma open source che da quindici anni circa è stato scelto come gestore di contenuti dal circa il 34%dei siti nel mondo.

È ovvio che una piattaforma così diffusa si presta ad essere oggetto di eventuali attacchi di hacker o cracker che voglio  carpire fraudolentemente i dati agli utenti.

Chi ha un sito WordPress sa che deve prestare attenzione ai vari aspetti di sicurezza che sono:

  • Installare sempre le patch di aggiornamento. Alcuni provider provvedono ad installare in automatico le patch lasciando all’utente solo l’installazione delle major release.
  • Verificare se sul server è presente l’ultima versione del linguaggio PHP che è alla base dell’interpretazione del  codice di WordPress.
  • Impostare un tema alternativo qualora quello principale dovesse corrompersi.
  • Creare un tema Child se pensi di modificare il codice sorgente del sito. In questo modo eventuali aggiornamenti (update) del tema non andranno a sovra scrivere eventuali modifiche fatte al codice.
  • Installare plug-in da fonti certe e soprattutto mantenerli aggiornati. Con le ultime versioni di WordPress è possibile inserire un automatismo automatico di aggiornamento.
  • Disinstallare i plug-in che non si usano.
  • Utilizzare un nome personalizzato e una password complicata per l’accesso come Admin.
  • Importantissimo, creare periodicamente una copia sul proprio PC dell’intero sito con un apposito plugin come per esempio Duplicator. Leggi I migliori plugin di WordPress e come installarli.
  • Nell’articolo How to Easily Backup WordPress Manually (Step-by-Step Guide) una guida per il backup manuale.
  • Verificare con il proprio hosting se da la possibilità di acquistare un servizio di backup automatico.

 

Plugin per la sicurezza


In questo paragrafo suggerisco alcuni plug-in orientati alla sicurezza del nostro sito.

Duplicator Questo plugin ti permette la copia di un sito Wotdpress per eventuali ripristini o migrazioni. La versione gratuita è già sufficiente per salvare in locale il sito web.

WPS Hide Login  Consente di modificare con facilità e sicurezza l’url del modulo di accesso . Non rinomina letteralmente o cambia il file nel core, né aggiunge regole di riscrittura. Intercetta semplicemente le richieste alla pagina e funziona su qualsiasi sito web con WordPress. La pagina wp-login.php e la cartella wp-admin diventano inaccessibili. Dovrai solo inserire il nuovo URL nel tuo segnalibro (bookmark) . Disattivando questo plugin l’indirizzo di login ritorna esattamente allo stato che era prima.

WPS limit login Limita i tentativi di connessione multipli da determinati indirizzi IP alla pagina di login del sito. Utili per i tentativi di cracking dei dati di accesso.

 

Scanner on line per la vulnerabilità


In rete possiamo trovare dei scanner che ti aiutano a controllare le vulnerabilità di un sito web.

Questo scanner effettuano delle verifiche sul WordPress core, plugin, sul tema utilizzato o sulla configurazione.

I scanner proposti sono specializzati nel verificare la sicurezza del tuo sito web e delle sue eventuali vulnerabilità. Così si può prendere le misure necessarie per evitare di essere violato.

Lo sai già ma ti ricordo che un sito che viene rilevato pericolo da Google viene ovviamente penalizzato nelle ricerche.

Questi scanner propongono anche servizi a pagamento per un’utenza professionale.

 

Web links


Geekflare

 

8 Scanner per verificare vulnerabilità di un sito Wordpress 1

 

WPScan è un scanner on line che esegue le seguenti operazioni:

  • Rileva eventuali vulnerabilità note nel core, nel tema e nei plug-in.
  • Attica il certificato SSL. Alcuni hosting lo rilasciano gratuitamente.
  • Mantieni il tuo tema aggiornato. Se fai modifiche utilizza il child theme.
  • Verifica se un sito è considerato non sicuro da Google.
  • Rilevare se le librerie JavaScript lato client sono vulnerabili.
  • Se la console di amministrazione WP è esposta
  • ed altro.

L’utilizzo è semplice, inserite il nome del dominio, accettate i termini di servizio e avviate la scansione.

Prezzo: gratis


Google Safe Browsing

8 Scanner per verificare vulnerabilità di un sito Wordpress 2

Google nelle sue scansioni del web, segnala anche eventuali siti compromessi da malware. Con questa risorsa puoi vedere se un determinato sito è stato penalizzato dal motore di ricerca a causa della presenza di codice maligno. La tecnologia Navigazione sicura di Google esamina miliardi di URL al giorno alla ricerca di siti web non sicuri. Ogni giorno vengono segnalati migliaia di nuovi siti non sicuri, molti dei quali sono siti web legittimi che sono stati compromessi. Quando viene rilevato un sito non sicuro viene mostrato un avviso nella Ricerca Google e nei browser web. Con questo servizio puoi digitare un indirizzo per sapere se è attualmente è considerato pericoloso da visitare.

Prezzo: gratis


 Hacker target

8 Scanner per verificare vulnerabilità di un sito Wordpress 3

Il test su un sito WordPress fatto da Hacker Target ti permette fare numerose verifiche:

  • Puoi vedere se la versione WordPress del sito è obsoleta.
  • Quali sono i Plugin vulnerabili.
  • Configurazione del server web.
  • Test di navigazione sicura di Google.
  • Indicizzazione della directory.
  • Stato dell’account amministratore (abilitato/disabilitato).
  • Reputazione del provider di hosting.
  • JavaScript collegati.
  • Temi vulnerabili.

Hacker Target scarica alcune pagine dall’URL ed esamina l’intestazione HTTP e il codice HTML.

Prezzo: gratis e a pagamento.


Sucuri

8 Scanner per verificare vulnerabilità di un sito Wordpress 4

SiteCheck di SUCURI ti aiuta a scoprire rapidamente se il sito è nella lista nera, infettato da malware o utilizza software obsoleto.

Con un colpo d’occhio puoi vedere l’indirizzo IP del sito, l’hosting, proxy, CMS e il grado di vulnerabilità, minimal, low security risk e critical.

È inoltre possibile installare un loro plugin per avviare la scansione dalla bacheca (dashboard) di amministrazione di WordPress.

Sucuri offre anche servizi a pagamento di monitoraggio continuo e di protezioni da attacchi DDoS e quant’altro.

Prezzo: gratis e a pagamento.


The markup Blacklight

8 Scanner per verificare vulnerabilità di un sito Wordpress 5

Inserisco in questa lista un scanner un po’ particolare rispetto all’oggetto del Post.

Blacklight è un servizio ti permette di ispezionare la privacy di un sito al quale facciamo la scansione.

Se vuoi sapere chi ti sbircia sulle spalle mentre lavori, mentre guardi video, impari, esplori e fai acquisti su Internet questo scanner potrebbe esserti utile.

Inserisci l’indirizzo di qualsiasi sito web e Blacklight ti rivelerà le tecnologie specifiche di monitoraggio degli utenti e chi sta raccogliendo i tuoi dati. Potresti essere sorpreso da ciò che vedi.

Può essere utile al webmaster per vedere il grado di invasività nella privacy degli utenti che visitano un determinato sito.

Prezzo: gratis.


 WordPress Security Scanner

8 Scanner per verificare vulnerabilità di un sito Wordpress 6

Con questo sito puoi effettuare una scansione ad un sito in WordPress per verificare la sicurezza.

Prezzo: gratis


 Wpsec.com

8 Scanner per verificare vulnerabilità di un sito Wordpress 7

“Is your WordPress website protected  against attackers?” Letteralmente tradotto “Il tuoi sito WordPress è protetto contro gli attacchi” Con questo servizio puoi verificare vulnerabilità agli attacchi. Non richiede registrazione,
Prezzo: gratis


 Wpthemedetector

8 Scanner per verificare vulnerabilità di un sito Wordpress 8

Una webapp per vedere quale tema WordPress utilizza un determinato sito. E’ possibile vedere anche i plugin installati. Segnalo anche un’altra valida alternativa Themechi.com.

Prezzo: gratis


 

 

Conclusione


Uno script open source così diffuso come WordPress, lo pone sempre all’attenzione di attacchi da parte di malintenzionati e cracker. Per questo è necessario provvedere sempre all’aggiornamento del codice con le continue patch pubblicate dai sviluppatori. È importantissimo fare sempre una copia nel PC del sito con appositi plug-in oppure scegliere un hosting con funzioni di backup.

 

Risorse selezionate dal web


Statistiche e Fatti Pazzi e Interessanti su WordPress (2020) (Kinsta.com)

The Definitive WordPress Security Guide (Scalahosting.com)

9 WordPress Scanner to Find Security Vulnerabilities (Geekflare.com)

 

Altri articoli consigliati


Tags: