La quasi totalità dei siti WordPress è oggetto di un continuo bombardamento da parte di hacker più o meno improvvisati che cercano di sfruttare le risorse del sito o dello spazio web su cui si trova.
Come fare per vedere se il proprio sito è sotto attacco e soprattutto per proteggersi? Andiamo per ordine…

Leggendo questo tutorial imparerai:

• Come vedere se il tuo sito è sotto attacco
• Come proteggerlo in modo semplice ma efficace
• Come aumentare la protezione

Come capire se il sito è sotto attacco

Normalmente un sito WordPress non dà segnali facilmente interpretabili se non quando è compromesso. E’ possibile analizzare i log del server web, ma non è un sistema molto comodo. Anche solo per sapere se il sito è sotto attacco consigliamo di utilizzare un plug-in tra quelli sotto elencati. Se non si fa nulla, molto probabilmente scoprirai che il tuo sito ha problemi quando ormai l’intrusione è già avvenuta.

Segnali che il sito è stato compromesso

• Una o più pagine del sito redirezionano su siti terzi sconosciuti
• Il sito non funziona più come dovrebbe
• La google search console riporta nella sezione Pagine un numero di pagine non coerente con il sito

Se succede quanto sopra, è probabilmente ormai troppo tardi per prevenire l’intrusione.

Come proteggersi

Il minimo che si può fare è proteggere almeno l’accesso al sito contro gli attacchi di brute-force (tentativo di entrare con tutte le password trovate in rete). Seguendo le indicazioni qui sotto si avrà anche una misura di quanto il sito viene attaccato.

Un plugin che mette al riparo da attacchi di forza bruta Limit Login Attempts reloaded. Lo si trova facilmente cercandolo dal backoffice di WordPress sotto Plugin->Aggiungi nuovo.

Appena installato e attivato, meglio mettere mano alla configurazione (Impostazioni->Limit Login Attempts) per renderla come in figura(Inserite ovviamente il vostro email nel campo apposito):

Le impostazioni che consigliamo prevedono che si possa sbagliare password solo due volte, dopodiché si ha una pausa di 10 minuti in cui il sito è bloccato, poi ancora altri due tentativi dopodiché si viene bloccati per un bel pò (9999 ore). Normalmente il plugin consente 3 lockout da 3 tentativi e quindi gli hacker finiranno più facilmente bloccati usando le nostre impostazioni.

Inserendo il vostro email riceverete ogni settimana un report di tutti i blocchi eseguiti (ovvero di tutti i tentativi di intrusione falliti). Quando riceverete la prima email di questo tipo avrete la conferma che anche il vostro sito è sotto attacco.

Ricordate infine che se dimenticate la password e rimanete bloccati dal plugin, potete sempre accedere via FTP e rinominare la cartella limit-login-attempts-reloaded sotto wp-content/plugins per riguadagnare l’accesso.

Dopo una settimana avrete ricevuto l’email che elenca quanto blocchi sono stati eseguiti. Avete capito che il vostro sito è sotto attacco? Forse è il momento di aumentare la protezione, perché questo plug-in non protegge dai tentativi di sfruttare le vulnerabilità dei plug-in e dei temi che il tuo sito utilizza.

 

Proteggere da intrusioni su plug-in e temi vulnerabili

Sappiamo che il codice principale di WordPress è ormai piuttosto sicuro. Tuttavia per aggiungere funzioni utili si usano una crescente varietà di plug-in e si temi sviluppati da terzi, e questi sono in generale molto meno sicuri. Le vulnerabilità che vengono scoperte sono spesso risolte con gli aggiornamenti, ma anche nella migliore delle ipotesi, dal momento in cui la vulnerabilità viene scoperta a quando il difetto viene risolto passa del tempo e in quel lasso di tempo il sito rimane vulnerabile se non viene protetto.

Per fornire una protezione efficace contro i tentativi di intrusione è utile il plugin WP Cerber. Anche questo lo si trova facilmente dal backoffice cercando sotto Plugin–>Aggiungi Nuovo, ma se così non fosse puoi trovarlo sul suo sito wpcerber.com.

WP Cerber può anche proteggere contro attacchi brute force e può (se opportunamente configurato) fornire una protezione molto sofisticata con la funzione Firewall.

Appena installato e attivato è meglio rivedere le impostazioni, andiamo quindi in WP Cerber (icona nella sidebar del backoffice)->Dashboard->Main Settings, e poi in Hardening.

Anche qui, la logica è permettere pochi lockout in un tempo ristretto, e quando si sfora bloccare l’accesso al computer che ha provato ad accedere e a tutta la sua sottorete.

Ricordiamoci di andare nella scheda Notifications e su Weekly Reports attivare il reporting, così sapremo ogni settimana quante attività di intrusione sono state rilevate e bloccate.

Se usi la funzione di protezione per il login (Main Settings – Login Security) ricordati di disattivare Login Attempts Reloaded che fa la stessa cosa.

WP Cerber, nella scheda Activity, mostrerà nel tempo tutte le attività sospette.

Sotto Site Integrity / Security scanner trovi uno strumento di scansione in grado di cercare nel sito file compromessi, backdoor lasciate da eventuali intrusi  segnalarti possibili anomalie. Clicca i pulsanti Start Quick Scan o Full Scan per iniziare la scansione e rivedi i risultati. Attenzione, questa funzione trova spesso falsi positivi e un principiante, nel tentativo di “ripulire” un sito potrebbe anche fare danni togliendo parti essenziali.

Tieni presente che il plugin WP Cerber non può fare miracoli, e in particolare non sembra essere risolutivo in questi due casi:

a) Se il sito è già stato compromesso e se sono presenti file malware che permettono agli hacker di accedere, e

b) Se il sito contiene già dei plugin vecchi le cui debolezze possono essere sfruttate da malintenzionati, e se il malintenzionato li trova “al primo colpo”, senza fare prima altri tentativi a vuoto che gli causerebbero il blocco. Gli aggiornamenti dei plug-in e temi sono quindi comunque importanti.

E’ comunque utile averlo perché normamente i software usati per bucare un sito effettuano una serie di test/sondaggi, e durante questi tentativi WP Cerber li può identificare e bloccare.

 

WordFence

Un altro plugin-in che gestisce la sicurezza del sito e fornisce protezione al log-in, protezione in tempo reale e scansione per rilevare minacce eventualmente presenti è Wordfence. L’azienda produttrice è molto attiva finanziando la ricerca delle vulnerabilità dei plug-in e infatti questa soluzione sembra essere una delle migliori.

Installa Wordfence direttamente dalla sezione Plugin con Aggiungi Nuovo e cercando wordfence nella casella di ricerca, poi attivalo. Se usi Login Attempts Reloaded o WP Cerber ricorda di disattivarli prima di attivare Wordfence per evitare conflitti.

Per utilizzare Wordfence è necessario registrarsi al loro sito e ottenere una licenza d’uso che può essere quella gratuita, oppure una a pagamento che dà accesso alle strategie di difesa aggiornate in tempo reale.

Anche questo plugin offre la scansione contro le minacce presenti nel sito, per cui vale la stessa raccomandazione fatta prima: vengono trovati spesso dei falsi positivi per cui mettendo tutto in quarantena o cancellando senza capire bene cosa stai facendo comprometterai qualche funzionalità del sito. Fai fare questa operazione a un esperto!

Anche per Wordfence è possibile ricevere report via e-mail che aiutano a capire quale sia il volume degli attacchi. In più, è possibile essere avvisati via email quando un amministratore si collega oppure quando Wordfence stesso viene disattivato.

Conclusioni

Abbiamo capito che la maggior parte dei siti WordPress è soggetta a un costante bombardamento operato da hacker che da molte regioni del mondo tentano di guadagnare l’accesso per poi sfruttare le risorse del nostro sito (inserire link e redirect, rubare traffico, chi più ne ha più ne metta).

Abbiamo visto i plugin che permettono di prevenire il fenomeno e di tenerlo sotto controllo.

L’impegno profuso dalle aziende produttrici di plug-in di sicurezza a scovare le vulnerabilità attraverso i vari Bug Bounty program è ammirevole. Abbiamo il sospetto che anche gli hacker tengano d’occhio i risultati di questi “vulnerability report” per avere una comoda dritta sul prossimo plug-in da bucare, ma almeno ce la giochiamo alla pari, perché li leggiamo anche noi!

 

Se ti è stato utile questo articolo, condividilo e dai una valutazione con le stelline qui sotto.

Se hai dubbi o domande, scrivi un commento.