Come funziona un attacco informatico ad un sito web? Ma, soprattutto, come fare a difendersi? Se vuoi stare più al sicuro, ecco 2 plugin WordPress per difendere il tuo sito, trovare e curare le infezioni di virus e malware, evitare gli accessi indesiderati all’amministrazione.
Tempi duri per i siti WordPress: un attacco informatico ha sfruttato una falla di un famoso produttore di temi e plugin di nome AccessPress.
L’attacco ha sfruttato una backdoor per sferrare un attacco di tipo supply-chain e azionare una shell… No vabbè, te la faccio facile: un gruppo di pirati informatici ha trovato un errore nel codice di tutti i prodotti di quel team di sviluppatori. Grazie a questo “buco”, sono stati in grado di prendere il controllo del server, cioè dello spazio su cui i siti dei malcapitati sono ospitati.
Ora, non so se hai mai subito un attacco su un sito web. Qualche hacker buontempone si limita a sostituirti la home page con immagini spinte, oppure teschi/serpenti/coltelli/maschere di Guy Fawkes. Qualcun altro un po’ più materialista prende tutte le mail e i numeri salvati nel tuo database e li rivende ad aziende che fanno spam. Quelli più infami ti inseriscono nel sito delle pagine di phishing o dei virus.
Questi hacker qui hanno avuto una visione più ampia: hanno usato le mail dei siti attaccati per mandare spam a raffica. In pratica dalla mail @ilsitodeltuoamico.it potrebbe esserti arrivata una mail per venderti pillole blu della felicità, oppure per presentarti le foto private di Svetlana, o ancora per invitarti a rivelare la password del tuo home banking.
Se questo scenario già ti sembra catastrofico, non hai ancora sentito la parte più grave della notizia: il “buco”, rivelato non più di 3 giorni fa, esiste da più di un anno!
Senti a me… se hai un sito fatto con WordPress controlla bene i tuoi file, in particolare apri il file vars.php nella cartella wp-includes (puoi aprirlo anche con Blocco note) e cerca questa stringa di testo: wp_is_mobile_fix. Se la trovi… anche tu hai il “buco”!
Ma come fare a mantenere sicuro il tuo sito WordPress ed evitare il più possibile di rimanere vittima di uno di questi attacchi?
Prima di tutto, leggiti questo articolo qui:
Ci sono i primi basilari accorgimenti per rendere il tuo sito più sicuro che puoi applicare velocemente e facilmente.
Vuoi scegliere il plugin giusto? Vuoi scoprire le tecniche per tirare fuori il meglio dal tuo sito WordPress e renderlo davvero uno strumento per potenziare il tuo business?
Iscriviti alla newsletter ed accedi subito al corso “Il tuo business online con WordPress”
Tranquillo, niente spam, ti avviserò solo quando verranno pubblicati i prossimi articoli.
Se vuoi stare in una botte di ferro, invece, puoi installare un plugin specifico per la sicurezza. Eccone 2 tra i più famosi e affidabili:
Sucuri Security – Auditing, Malware Scanner and Security Hardening
Sucuri è praticamente sinonimo di sicurezza sul web, non a caso è stata questa ditta a beccare l’attacco ad AccessPress. Il suo plugin controlla l’integrità dei file del tuo sito, il tuo server, tutto il traffico in entrata e la roba in scadenza nel tuo frigo. Magari la roba nel frigo non proprio, però le funzioni per la sicurezza sono davvero utili. Nel caso il tuo sito fosse già infetto al momento dell’installazione, ha anche un tool per la rimozione dei malware.
Il plugin con i servizi base è gratuito, il firewall e i servizi Sucuri partono da $ 9,99 al mese.
Scaricalo qui: https://it.wordpress.org/plugins/sucuri-scanner
Wordfence Security – Firewall & Malware Scan
Wordfence è il più famoso dei plugin per la sicurezza su WordPress: le funzioni sono simili a quelle di Sucuri, rimuove i malware, ti avvisa se hai subito un attacco, limita i tentativi di login al sito e ripara i file infetti. In più ha il firewall anche nella versione gratuita, il che non è male. Nella versione a pagamento ti avvisa anche se l’IP del tuo server è stato inserito in una blacklist: in pratica sai subito se il tuo server è stato bucato e usato per attacchi spam, phishing o altre attività illegali.
Anche in questo caso il plugin base è gratis, la versione premium costa $ 99,00 l’anno.
Scaricalo qui: https://it.wordpress.org/plugins/wordfence/
Sei più sereno ora? Bene, voglio farti spaventare di nuovo: anche con tutti questi accorgimenti, puoi comunque subire un attacco! Gli hacker cattivi sono sempre in agguato e non c’è un modo di evitare attacchi al 100%.
Insomma, la vita del gestore di un sito può essere veramente dura… l’unica cosa che possiamo fare è difenderci il più possibile e cercare di evitarli al 99,9% 😉
Hai subito anche tu un attacco hacker? Raccontami nei commenti come hanno fatto a “bucarti”!
