Una lista di strumenti per verificare la vulnerabilità e avere informazioni di un sito WordPress.
Indice dei contenuti
Introduzione
La piattaforma WordPress è un programma open source che da quindici anni circa è stato scelto come gestore di contenuti dal circa il 40% dei siti nel mondo (Fonte Kinsta).
È ovvio che una piattaforma così diffusa si presta ad essere oggetto di eventuali attacchi di hacker o cracker che voglio carpire fraudolentemente i dati agli utenti.
Mettere in sicurezza WordPress
Se ha un sito WordPress devie prestare attenzione ai vari aspetti di sicurezza che sono:
- Fai sempre un backup del sito e del database, manualmente o con appositi plugin. Fai un dump del database MySql attraverso cPanel o PhPpanel. Avrai sempre a disposizione una copia funzionante da ripristinare in caso di malfunzionamenti o attacchi malware.
- Installa sempre le patch di aggiornamento. Alcuni provider provvedono ad installare in automatico le patch minori lasciando all’utente solo l’installazione delle major release.
- Verifica se sul server è presente l’ultima versione del linguaggio PHP che è alla base dell’interpretazione del codice di WordPress.
- Imposta un tema alternativo qualora quello principale dovesse corrompersi.
- Crea un tema Child se pensi di modificare il codice sorgente del sito. In questo modo eventuali aggiornamenti (update) del tema non andranno a sovrascrivere eventuali modifiche fatte al codice.
- Installa plugin da fonti certe, non affidarti a versione crackate, e soprattutto manteneli aggiornati. Con le ultime versioni di WordPress è possibile inserire un automatismo di aggiornamento automatico senza intervento del web developer.
- Disinstalla i plugin che non usi. I plugin inattivi possono essere un bersaglio per eventuali aggressori. Se non pensi utilizzare un plugin rimuovilo.
- Utilizza un nome personalizzato e una password complicata per l’accesso come Admin alla bacheca di WordPress.
- Importantissimo, crea periodicamente una copia sul PC dell’intero sito con un apposito plugin come per esempio Duplicator. Leggi I migliori plugin di WordPress e come installarli.
- Nell’articolo How to Easily Backup WordPress Manually (Step-by-Step Guide) una guida per il backup manuale.
- Verifica con il tuo hosting se da la possibilità di acquistare un servizio di backup automatico che non può e non deve sostituire quello fatto in locale.
Plugin per la sicurezza
In questo paragrafo suggerisco alcuni plug-in orientati alla sicurezza del nostro sito.
■ BulletProof Security – WordPress plugin
Questo plugin include varie funzionalità quali uno scanner malware, creazione di backup parziale o completi del database, protezione .htaccess (web server configuration file), monitoraggio accessi e disconnessione di sessione inattive e molto altro. La versione gratuita ha già delle buone funzionalità per le quali vale la pena provarlo. Nella pagina principale dell’autore trovi un video che ti aiuta a configurare il plugin una volta installato sul tuo sito. È disponibile una versione a pagamento BulletProof Security Pro, che ti consente di installarlo su un numero illimitato di siti Web con aggiornamenti gratuiti a vita e, naturalmente, molti strumenti non disponibili nella versione gratuita, incluso Heads Up Dashboard Status Display e una serie di mini plugin chiamati Pro Tools.
■ Duplicator
Questo plugin ti permette la copia di un sito Wotdpress per eventuali ripristini o migrazioni. La versione gratuita è già sufficiente per salvare in locale il sito web. Versione gratuita con limiti.
■ WPS Hide Login
Consente di modificare con facilità e sicurezza l’url del modulo di accesso . Non rinomina letteralmente o cambia il file nel core, né aggiunge regole di riscrittura. Intercetta semplicemente le richieste alla pagina e funziona su qualsiasi sito web con WordPress. La pagina wp-login.php e la cartella wp-admin diventano inaccessibili. Dovrai solo inserire il nuovo URL nel tuo segnalibro (bookmark) . Disattivando questo plugin l’indirizzo di login ritornerà esattamente allo stato che era prima.
■ WPS limit login
Limita i tentativi di connessione multipli da determinati indirizzi IP alla pagina di login del sito. Utili per i tentativi di cracking dei dati di accesso. Versione gratuita e a pagamento con più funzionalità.
Scanner on line per la vulnerabilità
In rete possiamo trovare dei scanner che ti aiutano a controllare le vulnerabilità di un sito web.
Questo scanner effettuano delle verifiche sul WordPress core, plugin, sul tema utilizzato o sulla configurazione.
I scanner proposti sono specializzati nel verificare la sicurezza del tuo sito web e delle sue eventuali vulnerabilità. Così si può prendere le misure necessarie per evitare di essere violato.
Lo sai già ma ti ricordo che un sito che viene rilevato pericolo da Google viene ovviamente penalizzato nelle ricerche.
Questi scanner propongono anche servizi a pagamento per un’utenza professionale.
Web links consigliati
Risorse in rete e online scanner per verificare vulnerabilità e tipologia di un sito web.
1. Geekflare
WPScan è un scanner on line che esegue le seguenti operazioni:
- Rileva eventuali vulnerabilità note nel core, nel tema e nei plug-in.
- Attiva un certificato SSL. Alcuni hosting lo rilasciano gratuitamente. Se ne vuoi uno base gratuito puoi utilizzare Letsencrypt.org
- Mantieni il tuo tema aggiornato. Se fai modifiche utilizza il child theme.
- Verifica se un sito è considerato non sicuro da Google.
- Rilevare se le librerie JavaScript lato client sono vulnerabili.
- Se la console di amministrazione WP è esposta
- ed altro.
L’utilizzo è semplice, inserite il nome del dominio, accettate i termini di servizio e avviate la scansione.
Prezzo: gratis
2. Google Safe Browsing
Google nelle sue scansioni del web, segnala anche eventuali siti compromessi da malware. Con questa risorsa puoi vedere se un determinato sito è stato penalizzato dal motore di ricerca a causa della presenza di codice maligno. La tecnologia Navigazione sicura di Google esamina miliardi di URL al giorno alla ricerca di siti web non sicuri. Ogni giorno vengono segnalati migliaia di nuovi siti non sicuri, molti dei quali sono siti web legittimi che sono stati compromessi. Quando viene rilevato un sito non sicuro viene mostrato un avviso nella Ricerca Google e nei browser web. Con questo servizio puoi digitare un indirizzo per sapere se è attualmente è considerato pericoloso da visitare.
Prezzo: gratis
3. Hacker target
Il test su un sito WordPress fatto da Hacker Target ti permette fare numerose verifiche:
- Puoi vedere se la versione WordPress del sito è obsoleta.
- Quali sono i Plugin vulnerabili.
- Configurazione del server web.
- Test di navigazione sicura di Google.
- Indicizzazione della directory.
- Stato dell’account amministratore (abilitato/disabilitato).
- Reputazione del provider di hosting.
- JavaScript collegati.
- Temi vulnerabili.
Hacker Target scarica alcune pagine dall’URL ed esamina l’intestazione HTTP e il codice HTML.
Prezzo: gratis e a pagamento.
4. Sucuri
SiteCheck di SUCURI ti aiuta a scoprire rapidamente se il sito è nella lista nera, infettato da malware o utilizza software obsoleto.
Con un colpo d’occhio puoi vedere l’indirizzo IP del sito, l’hosting, proxy, CMS e il grado di vulnerabilità, minimal, low security risk e critical.
È inoltre possibile installare un loro plugin per avviare la scansione dalla bacheca (dashboard) di amministrazione di WordPress.
Sucuri offre anche servizi a pagamento di monitoraggio continuo e di protezioni da attacchi DDoS e quant’altro.
Prezzo: gratis e a pagamento con più funzionalità.
5. The markup Blacklight
Inserisco in questa lista un scanner un po’ particolare rispetto all’oggetto del Post.
Blacklight è un servizio ti permette di ispezionare la privacy di un sito al quale facciamo la scansione.
Se vuoi sapere chi ti sbircia sulle spalle mentre lavori, mentre guardi video, impari, esplori e fai acquisti su Internet questo scanner potrebbe esserti utile.
Inserisci l’indirizzo di qualsiasi sito web e Blacklight ti rivelerà le tecnologie specifiche di monitoraggio degli utenti e chi sta raccogliendo i tuoi dati. Potresti essere sorpreso da ciò che vedi.
Può essere utile al webmaster per vedere il grado di invasività nella privacy degli utenti che visitano un determinato sito.
Prezzo: gratis.
6. WordPress Security Scanner
Con questo sito puoi effettuare una scansione ad un sito in WordPress per verificare la sicurezza.
Prezzo: gratis
7. Wpsec.com
“Is your WordPress website protected against attackers?” Letteralmente tradotto “Il tuoi sito WordPress è protetto contro gli attacchi”. Con questo servizio puoi verificare vulnerabilità agli attacchi. Non richiede registrazione,
Prezzo: gratis
8. Wpthemedetector
Non è una web app orientata alla sicurezza ma è informativa. Ti permette di vedere quale tema utilizza un sito WordPress. È possibile vedere anche i plugin installati.
Prezzo: gratis
Conclusione
Uno script open source così diffuso come WordPress, lo pone sempre all’attenzione di attacchi da parte di malintenzionati e cracker. Per questo è necessario provvedere sempre all’aggiornamento del codice con le continue patch pubblicate dai sviluppatori. È importantissimo fare sempre una copia nel PC del sito con appositi plug-in oppure scegliere un hosting con funzioni di backup.
Risorse selezionate dal web
■ Statistiche e Fatti Pazzi e Interessanti su WordPress (2020) (Kinsta.com)
■ The Definitive WordPress Security Guide (Scalahosting.com)
■ 9 WordPress Scanner to Find Security Vulnerabilities (Geekflare.com)