Hai creato la pagina web della tua azienda e implementato tutti gli strumenti necessari per avere successo, ma non dimenticare di coprire un altro aspetto fondamentale: la sicurezza del tuo sito web.
La maggior parte dei siti web da noi sviluppati si basano sulla piattaforma CMS (Content Management System) WordPress.
È la piattaforma più utilizzata al mondo ed alimenta quasi il 40% di tutti i siti su internet, ne abbiamo parlato nel nostro precedente articolo: 8 Vantaggi di un sito web in WordPress.
Eppure è anche la piattaforma con la fama di essere la più soggetta a vulnerabilità; secondo una statistica di Wp White Security il 70% dei siti WordPress è vulnerabile ad un attacco hacker.
WordPress è sicuro?
La domanda sorge spontanea a questo punto, la risposta è:
Sì, ma siccome WordPress è una piattaforma gratuita dove chiunque può creare un sito web, la maggior parte dell’utenza non tiene conto della sicurezza del proprio sito.
Come rendere sicuro il tuo sito web:
Nessun sistema sarà mai sicuro al 100%.
Quello che possiamo fare non è eliminare il rischio, bensì adoperare tutti i controlli necessari, entro limiti ragionevoli, per ridurre le possibilità di divenire bersaglio di un attacco.
Partiamo con l’analizzare i principali attacchi hacker che sfruttano le vulnerabilità di WordPress (e non solo):
Tentativi di accesso Brute Force
Utilizzano script automatici in grado di provare milioni di combinazioni di accesso attingendo ad una lista di username e password comuni.
Come rendere sicuro il tuo sito web:
- Utilizzo di nome utente e password complessi
È semplice, eppure questo è uno dei modi migliori per aumentare la sicurezza del sito. Le password vengono criptate da WordPress (framework di hashing delle password phpass e otto passaggi di hashing MD5), ma la maggior parte degli utenti utilizza come password “12345”. Sorprendente ma vero. - Password a due fattori
Con l’integrazione di un sistema di password a due fattori, si riceve un sms con un codice da inserire al momento dell’accesso. È molto difficile che qualcuno sia in possesso di password e cellullare nello stesso momento. - Limitazione dei tentativi d’accesso
Limitando i tentativi di accesso, dopo un numero stabilito di tentativi falliti, il login si blocca per quell’indirizzo IP. - Certificato di sicurezza SSL – HTTPS
Senza un certificato SSL ogni qual volta un utente esegue l’accesso sul sito web i dati vengono inviati come testo al browser, senza essere criptati, aumentando il rischio che qualcuno possa appropriarsene. Noi abbiamo scelto di utilizzare il certificato SSL su tutti i siti web, non solo gli e-commerce, per garantire una connessione sicura a chi lo amministra ed anche agli utenti.
Backdoor
La backdoor consente, attraverso l’utilizzo di file abilmente camuffati, l’accesso all’interno del tuo sito web sfruttando vulnerabilità di WordPress e dei suoi componenti.
Per fortuna, la prevenzione è abbastanza semplice:
- Manutenzione ed Aggiornamento
WordPress rilascia costantemente aggiornamenti che contengono miglioramenti della sicurezza e correzioni di bug.
Per i nostri clienti effettuiamo una manutenzione periodica aggiornando non solo WordPress ma anche i plugin, il tema e la versione php.
Potete scansionare il vostro sito in ogni momento, con strumenti come SiteCheck - Firewall ed Antimalware
Oltre alla protezione dai malware, già fornita dai migliori servizi di hosting, consigliamo l’utilizzo di una protezione aggiuntiva come WordFence.
Dotato di un firewall che identifica e blocca il traffico dannoso e di una scansione continua. Controlla file core, temi e plug-in per rilevare malware, URL dannosi, backdoor, spam SEO, reindirizzamenti dannosi ed iniezioni di codice. - Modifica del percorso di login
Il pannello per effettuare l’accesso al sito si trova sempre nello stesso percorso per tutti i siti WordPress e tutti lo sanno. Cambiare questo percorso significa renderlo meno visibile a bot in circolazione.
Bisogna inoltre mettere in sicurezza tutti i file che compongono il “cuore” di WordPress rendendoli invisibili o inaccessibili, e nascondere le informazioni sulla versione attuale di WordPress.
Denial of Service (DoS)
L’attacco Denial of Service (DoS) è tra gli attacchi più pericolosi, che sfruttano errori nel codice per sovraccaricare la memoria, rendendo quindi inaccessibili le pagine web.
È da ricordare la data del 21 ottobre 2016, giorno in cui diversi siti internet subirono un attacco su larga scala, siti del calibro di Amazon, eBay, Twitter, Netflix, PayPal, GitHub e Spotify non funzionarono per diverse ore.
È molto raro che un sito web di una piccola azienda venga colpito da un attacco così mirato e di alto profilo. Tuttavia, per prevenire questo tipo di attacco è possibile rivolgersi a servizi di terze parti affidabili come Sucuri o Cloudflare che forniscono una protezione DDoS avanzata adatta agli attacchi di tutte le dimensioni.
Verifica la sicurezza del tuo sito web
Se vuoi eseguire una scansione gratuita del tuo sito web puoi utilizzare questo strumento SiteCheck
Se pensi che il tuo sito sia sotto attacco e preferisci ricevere una scansione approfondita e una consulenza da parte dei nostri tecnici, non esitare contattaci.