Skip to content

Wordpress, sicurezza e altri guai

WordPress è senza dubbio la piattaforma più conosciuta e diffusa in tutto il mondo per la costruzione di siti web. Stiamo parlando del 60,8% del mercato dei CMS e del 35% di tutti i siti mondiali.

SHARE:

Condividi su linkedin
Condividi su facebook
Condividi su whatsapp
Condividi su twitter
WordPress, sicurezza e altri guai

NON PIÙ IL CMS DEI PICCOLI

Ogni giorno vengono creati più di 500 siti con WordPress e la directory dei plugin ne conta oltre 56.000.  La soluzione per le vendite online, WooCommerce, alimenta il 28% del primo milione di siti di eCommerce nel mondo e vanta 89.880.559 di downloads. Qualche anno fa si riteneva WordPress uno strumento utile solo alle piccole imprese; oggi però le cose stanno diversamente, perché anche siti web di un certo spessore oggi utilizzano il CMS più diffuso nel web. Giusto per fare due nomi:


Ogni mese ci sono 37 milioni di ricerche globali con il termine “WordPress”, 409 milioni di persone che visualizzano oltre 20 miliardi di pagine, con oltre 70 milioni di nuovi post e 77 milioni di nuovi commenti.

Questo oggi è Wordpress. Dunque, secondo voi, questa popolarità poteva sfuggire agli hacker?

Ormai da molti anni si parla della sicurezza dei CMS e ovviamente, del suo re indiscusso, WordPress. Sono centinaia di migliaia i siti violati, un crescendo che tuttavia non dipende dalla piattaforma (o non solo), ma anche e soprattutto dalla cattiva gestione della piattaforma, a partire dalle fondamenta.

Gli hacker non entrano a causa di falle nell’ultima versione del core di WordPress” – spiega Emanuele Bambini, Web Developer di MACOEV - “La maggior parte dei siti viene violata a causa di problemi assolutamente evitabili. Tra le cause più diffuse si ha sicuramente il mancato aggiornamento della piattaforma WordPress, dei temi e dei plugin che sono installati e attivati sul sito. Non meno importante, e che spesso viene sottovalutato, è l'affidabilità che viene offerta dagli strumenti utilizzati per la realizzazione di un sito in WordPress. E anche se può sembrare assurdo ma anche l’utilizzo di password non sicure, a volte veramente banali, è causa di molte violazioni

Le password

Secondo WP Engine, queste sono le prime 50 password e rappresentano l'1,6% delle password totali del mondo. Un patrimonio di miliardi di accessi, a portata di chiunque

"Password a parte, sono tante le accortezze che dobbiamo avere sia nella realizzazione che nella manutenzione all’interno di un ambiente WordPress. A partire dall’hosting, che deve essere erogato come servizio professionale e deve garantire uno spazio sicuro e aggiornato (l’utilizzo di versioni aggiornate di PHP e MySQL ad esempio). L’hardening del Server è tra le attività primarie per la messa in sicurezza dei progetti: attraverso molteplici livelli di sicurezza, aggiornamenti e il monitoraggio si possono evitare la maggioranza degli attacchi

Le buone practices secondo noi

Dato che sono molte le variabili in gioco, abbiamo provato a stilare una lista di buone practices:

  • hosting sicuro e aggiornato e, possibilmente, ambiente di staging (tornerà utile anche per gli update)
  • aggiornamenti costanti del core, dei plugin e del tema principale
  • eliminare di plugin e temi che non vengono utilizzati (spesso vengono lasciati lì per anni e possono essere facili accessi per gli hacker)
  • scegliere con attenzione sia i temi che i plugin. Oltre all’affidabilità, verificare la periodicità dei rilasci degli aggiornamenti, per non trovarsi in mano bombe a orologeria
  • usare quando possibile SFTP
  • utilizzare password complesse sia per gli accessi WordPress che per hosting e SFTP (e la 2FA, two-factors authentication)
  • utilizzare un certificato TLS (https://) per tenere crittografate le comunicazioni.
  • utilizzare chiavi SSH

I plugin per la messa in sicurezza

Vi consigliamo inoltre l’installazione di un plugin a scelta tra Sucuri e Wordfence Security , entrambi estremamente diffusi con diversi milioni di download all’attivo. Oltre ad avere molte funzionalità per monitorare lo stato di sicurezza del sito, hanno molteplici funzioni di filtraggio e crittografia, seppur a discapito delle prestazioni.Le caratteristiche principali:

  • firewall endpoint (WAF) e scanner malware
  • login 2FA e limitazione dei tentativi di login
  • Live Traffic e regole di blocco avanzato.
  • scansioni lato server per una crittografia completa end-to-end
  • scansioni dell’ambiente WordPress con configurazione di alert per la segnalazione di criticità del sistema a più livelli

Vuoi sapere se il tuo Wordpress sta bene?
Contattaci per approfondire!

SHARE:

Condividi su linkedin
Condividi su facebook
Condividi su whatsapp
Condividi su twitter

Resta aggiornato, iscriviti alla newsletter di MACOEV

Il metodo MACOEV

Anche gli astronauti si fermano a guardare le stelle. Ma quando partono per una missione fanno ricorso alle loro competenze e conoscenze scientifiche per raggiungere il loro obiettivo. Noi di Macoev facciamo la stessa cosa: ci piace spingerci oltre quello che esiste e farci guidare da una visione del futuro che andiamo costruendo. Ma affrontiamo ogni progetto con un metodo efficace e sperimentato sul campo, per dominare la tecnologia e creare innovazione. ​

esplorazione

Esplorazione

Ogni nostro progetto inizia da un assessment tecnologico, organizzativo e culturale, per conoscere meglio la situazione di partenza del nostro cliente. Non solo: in questa prima fase contribuiamo alla corretta definizione di criticità, obiettivi e strategia – passaggio fondamentale per la buona riuscita della nostra missione.

design

Design e sviluppo

Progettiamo il prodotto o servizio migliore per produrre valore per i nostri clienti e mantenerlo nel tempo. Seguiamo la metodologia Agile, focalizzata sul timing di consegna e su una delivery di qualità, con iterazioni, checkpoint regolari e release incrementali.

monitoraggio

Implementazione e monitoraggio

3, 2, 1... Decollo! Realizziamo soluzioni dal proof of concept all’implementazione più completa, monitorando costantemente i risultati con indicatori tangibili e misurabili, a supporto del ROI. Anche dopo il lancio, monitoriamo le performance per correggere la traiettoria se necessario – adattando o scalando la nostra soluzione su contesti più ampi.

evoluzione

Evoluzione e maintenance

Offriamo assessment e training per assicurare che le persone traggano il meglio dalla nuova missione, evitare dispersione di conoscenze e ottimizzare l’effort. Il monitoraggio e il presidio costante garantiscono che le nostre soluzioni si evolvano in linea con un contesto in continuo cambiamento.

esplorazione-mobile

Esplorazione

Ogni nostro progetto inizia da un assessment tecnologico, organizzativo e culturale, per conoscere meglio la situazione di partenza del nostro cliente. Non solo: in questa prima fase contribuiamo alla corretta definizione di criticità, obiettivi e strategia – passaggio fondamentale per la buona riuscita della nostra missione.

design-mobile

Design e sviluppo

Progettiamo il prodotto o servizio migliore per produrre valore per i nostri clienti e mantenerlo nel tempo. Seguiamo la metodologia Agile, focalizzata sul timing di consegna e su una delivery di qualità, con iterazioni, checkpoint regolari e release incrementali.

monitoraggio-mobile

Implementazione e monitoraggio

3, 2, 1... Decollo! Realizziamo soluzioni dal proof of concept all’implementazione più completa, monitorando costantemente i risultati con indicatori tangibili e misurabili, a supporto del ROI. Anche dopo il lancio, monitoriamo le performance per correggere la traiettoria se necessario – adattando o scalando la nostra soluzione su contesti più ampi.

evoluzione-mobile

Evoluzione e maintenance

Offriamo assessment e training per assicurare che le persone traggano il meglio dalla nuova missione, evitare dispersione di conoscenze e ottimizzare l’effort. Il monitoraggio e il presidio costante garantiscono che le nostre soluzioni si evolvano in linea con un contesto in continuo cambiamento.