Nell’ambito dei CMS, da diversi anni WordPress si è affermato come lo strumento più utilizzato al mondo per la creazione di siti web. Nato inizialmente come semplice strumento per la creazione di blog, con il tempo e con un attivissima community, il CMS WordPress è evoluto tanto da alimentare circa il 43% dei siti online
Questo grande utilizzo però fa sì che WordPress venga scelto come bersaglio preferito da parte degli hacker e bot. Secondo il “2023 Hacked Website & Malware Threat Report” di Sucuri infatti, il 95% dei siti che hanno presentato infezioni utilizzavano WordPress come CMS. Benché la percentuale sia schiacciante rispetto ad altri CMS conosciuti come Joomla (1,7%) e Magento (0,6%), dobbiamo ricordarci che WordPress ad oggi permette di creare qualsiasi tipologia di sito web dal semplice blog fino ad e-commerce strutturati.
Cosa sono e quali sono le vulnerabilità WordPress?
Ci sono diverse tipologie di spam ed attacchi malevoli che possono essere effettuati verso i siti WordPress o i siti web in generale. Quando si parla di attacchi spam si intendono tutte quelle azioni che puntano a generare una quantità di contenuti massiva contro un sito web, siano questi commenti visibili sul sito oppure mail che gli amministratori del sito ricevono. Quando invece si parla di attacchi hacker si intendono tutti quegli attacchi che cercano di sfruttare le vulnerabilità di WordPress, temi e plugins per comprometterne il funzionamento.
Una delle attività più svolte dai malintenzionati è chiamata SEO Spam o Spamdexing. Questa pratica di Black Hat SEO prevede che il sito venga hackerato ed al suo interno vengano inseriti centinaia e centinaia di link che puntano ad altri siti, spesso malevoli. Nonostante nel tempo l’algoritmo di Google si sia evoluto riuscendo ad intercettare ed ignorare questi link spam, essi potrebbero rappresentare una minaccia per il sito che li contiene finendo per essere penalizzato. Per questo motivo è sempre consigliato affidarsi ad un Consulenza SEO da parte di un esperto per evitare di perdere posizionamento, traffico e contatti interessati.
Come proteggersi dalle vulnerabilità di WordPress
Nonostante WordPress venga aggiornato costantemente, sono tante le vulnerabilità che gli hacker potrebbero sfruttare per compromettere il sito web. Occorre fare attenzione in particolare ad alcuni aspetti specifici che, nella maggior parte dei casi, aiutano a prevenire la maggior parte delle infezioni. Scopriamo quindi le best practices per rendere sicuro un sito costruito con WordPress.
Password sicure e autenticazione a due fattori su WordPress
Uno dei primi passi fondamentali nella protezione del proprio sito web è quello di utilizzare l’autenticazione a due fattori. Tramite il plugin gratuito Wordfence infatti, tra le varie possibilità, si può chiedere agli admin del sito di abilitare una protezione aggiuntiva che, ad ogni accesso, richiede un codice temporaneo monouso da generare tramite l’applicazione Google Authenticator sullo smartphone.
Utilizzo del protocollo HTTPS
Il protocollo HTTPS oggi rappresenta lo standard delle connessioni sicure. Tutti i siti che infatti utilizzano ancora il protocollo HTTP espongono non soltanto il sito web stesso ma anche il traffico degli eventuali visitatori ed utenti del sito.
Il certificato SSL è oggi incluso gratuitamente in tutti i principali servizi di hosting e la sua mancata attivazione potrebbe essere il sintomo di qualche errore tecnico di configurazione del sito.
Aggiornamenti di WordPress, tema e plugins
I plugins ed i temi sono componenti essenziali di WordPress che permettono di trasformare un semplice sito in qualcosa di più completo e strategico. Il punto di forza più grande però è anche quello di debolezza per quanto riguarda il tema della vulnerabilità.
Secondo uno studio di AIO SEO del 2023 oltre il 90% delle vulnerabilità scoperte riguardava plugins di WordPress, il 6% riguardava i temi e solo il 4% invece riguardava i file core dell’installazione di WordPress.
Nel tempo infatti, gli hackers esaminano i codici delle estensioni più utilizzate come (WooCommerce e Contact Form 7) alla ricerca di vulnerabilità da sfruttare che permetterebbero al malintenzionato di ottenere il pieno controllo del sito o di iniettare codice malevolo.
Non è sufficiente quindi svolgere tutte le dovute attenzioni durante lo sviluppo del sito ma anche eseguire una manutenzione periodica ed un aggiornamento dei vari componenti del sito.
Backup periodici
Con il termine backup si intende una copia dei file e del database del sito. Il backup è molto importante perché permette di tornare ad una versione precedente del sito ripristinando i files quando si verifica un’emergenza o criticità. È importante conservare i file di backup in una località esterna rispetto al sito per evitare che anche i backup vengano infettati da eventuali virus che potrebbero colpire il sito.
WordPress con tutti i suoi plugins non può sicuramente farsi mancare una funzionalità di backup. Tra i tanti sistemi che vengono utilizzati da milioni di siti troviamo sicuramente Updraft Plus e Akeeba backup. Il primo in particolare permette di svolgere una copia del sito in automatico ogni giorno e di salvare i file in località esterne come Google Drive, sistema perfetto per conservare files intatti in caso di infezione.
Licenze nulled di temi e plugins
Le licenze “nulled” sono versioni piratate di temi e plugin a pagamento per WordPress. Questi temi e plugin vengono distribuiti illegalmente senza il consenso degli sviluppatori originali e spesso sono privi di licenze legittime. In molti casi queste versioni sono anche portatrici di file infetti che andranno inevitabilmente a compromettere il sito.
Bisogna quindi diffidare dai rivenditori di plugins e temi a basso costo ed acquistare le licenze soltanto dagli sviluppatori ufficiali.
Plugins anti-brute force
Con il termine bruteforce si intende un tipo di attacco informatico che cerca di forzare l’accesso ad un sito web testando diverse combinazioni di username e password. Il processo viene svolto in maniera automatizzata e tramite alcuni software specifici che possono raggiungere anche migliaia di tentativi al minuto.
Solitamente gli attacchi bruteforce sono eseguiti provando con le password più comuni oppure altre combinazioni di credenziali che vengono prese da siti che sono stati infettati. Per evitare il bruteforce è consigliabile installare plugins come Wordfence o WP Fail2Ban ed assicurarsi di utilizzare una password univoca per ogni sito web in cui ci si registra. Anche l’autenticazione in due fattori consigliata precedentemente aiuta, in caso di attacco bruteforce, ad impedire l’accesso al sito da parte dei malintenzionati.
Come proteggere il sito WordPress dallo Spam
Lo spam sui siti WordPress può assumere diverse forme ma solitamente possiamo classificarne due tipologie principali: lo spam attraverso la funzionalità dei commenti di WordPress e lo spam attraverso la compilazione automatica dei form di contatto.
Proteggere i form di contatto di WordPress dallo spam
I form di contatto del sito web come quelli creati con Contact Form 7, Elementor, Fluid Forms, etc sono bersaglio di spam da parte di bot automatizzati che puntano a riempire la casella di posta di link dannosi o malevoli.
Per proteggersi da questo problema occorre inserire una sorta di verifica dell’essere umano, ovvero un sistema che possa confermare che la compilazione del form sia svolta da un utente e non da un robot automatizzato.
Per fare queste è consigliabile utilizzare un sistema di Captcha come quello di Google chiamato Recaptcha v3 che si integra facilmente in tutti i plugins di form di contatto più utilizzati su WordPress.
Un’alternativa privacy friendly a Recaptcha è invece WP Armour, un plugin gratuito da installare su WordPress che non richiede alcuna configurazione. Tramite un sistema di honeypot, il plugin crea un campo invisibile per gli utenti che soltanto i bot automatizzati andranno a compilare auto-classificandosi come spam. Nonostante il plugin non richieda alcuna configurazione, il campo nascosto prevede un codice che alla lunga alcuni bot potrebbero riconoscere. È consigliato quindi fare un refresh dello stesso nelle impostazioni del plugin quando lo spam inizia a non essere più bloccato.
Proteggere WordPress dai commenti spam
Un’altra categoria molto fastidiosa ed insidiosa è rappresentata dai commenti spam lasciati dai bot automatizzati. La maggior parte degli strumenti già citati come recaptcha, Wordfence e WP Armour permettono la gestione dei commenti ma alcune migliorie aggiuntive possono essere eseguite senza plugins particolari.
Prima di tutto, la maggior parte dei siti web non necessità della funzionalità dei commenti e questi possono quindi essere disattivati nativamente nell’impostazioni di WordPress recandoci su “Impostazioni > Discussione > Permetti l’invio di commenti per i nuovi articoli”. Questa impostazione disabiliterà i commenti solo per i nuovi contenuti e non quelli già pubblicati. Per questi ultimi è necessario entrare nella modifica di ogni singolo articolo e dalla sidebar levare la spunta alla casella “Discussione > Permetti di commentare”.
Nel caso invece i commenti fossero parte integrante della strategia di comunicazione, è possibile limitarli applicando una revisione preventiva dal backend di WordPress “Impostazioni > Discussione > Prima che appaia un commento > Il commento deve essere approvato manualmente”.
Un altro metodo per bloccare categoricamente tutti i commenti è quello di utilizzare un codice php da implementare nel file functions.php. A tal proposito consigliamo di seguire la guida di wpbeginner.com.
Conclusione: cos’altro per rendere un sito invulnerabile?
Tutti gli aspetti che sono stati affrontati in questo articolo sono i principali e più basilari consigli di sicurezza per un sito in WordPress. Il campo della sicurezza informatica tuttavia è molto ampio e prende in considerazione aspetti tecnici difficilmente trattabili in un semplice articolo come i permessi di lettura e scrittura dei files, la versione PHP, un firewall per gestire eventuali attacchi Ddos, attacchi Cross Site Scripting XSS, etc.
Il consiglio principale, per i progetti importanti, è quello di far analizzare e supervisionare l’architettura informatica del sito e del server da professionisti e di scegliere servizi di hosting in linea con le proprie esigenze.
