WordPress Hacked – Come proteggere il tuo sito web dagli hacker nel 2022

Condividi questo articolo:

Sito WordPress hackerato!

Il tuo sito WordPress è stato violato in passato? Il tuo WordPress è sicuro? WordPress hacking è in aumento ed è diventato molto importante per rafforzare la sicurezza del tuo sito WordPress. In questo articolo, imparerete di più su come proteggere WordPress dagli hacker difendere contro gli exploit. Iniziamo e rendere sicuro il vostro WordPress dall’ essere violato nel 2022

Prima di iniziare, assicuratevi di avere alcuni WordPress Vulnerability Scanner & WordPress Security Plugin a portata di mano.

Normalmente, più un sito web è popolare, più attacchi riceve di tutti i tipi, quindi dobbiamo essere preparati ad evitare problemi in questi casi.

Avere un sito web sicuro è vitale per la presenza online di qualcuno tanto quanto avere un host del sito web. Se un sito web viene violato e inserito nella lista nera, per esempio, perde fino al 98% del suo traffico. Non avere un sito web sicuro può essere brutto come non avere un sito web, o peggio. Per esempio, la violazione dei dati dei clienti può portare a cause legali, multe salate e una reputazione rovinata.

Come proprietario di un sito web, non c’è niente di più terrificante che vedere tutto il tuo lavoro alterato o completamente distrutto da un famigerato hacker?

Abbiamo sentito parlare di violazioni di dati e hacking nel 2020. Rendiamo la vita difficile agli hacker nel 2022. In questo articolo parleremo di varie misure di sicurezza che possiamo prendere per proteggere il sito wordpress dagli hacker nel 2022.

Come hackerare un sito Web WordPress usando WPScan e Metasploit con Kali Linux

 

WordPress Hacked : i numeri

Ci sono circa 380 milioni di siti web negli Stati Uniti. Circa 30.000 siti web vengono infettati con qualche tipo di malware ogni giorno.
Nel 2017, il 39,3% dei siti WordPress hackerati ha registrato installazioni obsolete. Nel 2018, questo era sceso leggermente. Ma nel 2019-20, i numeri sono aumentati di nuovo. Nel 2020, è destinato ad aumentare di molte volte, a causa dell’avvento di nuove tecnologie e vulnerabilità. Recentemente, un picco negli attacchi ransomware di WordPress è stato notato anche nel 2019-20.

Cryptography + Malware = Ransomware

Ora, si potrebbe pensare, perché qualcuno dovrebbe venire dopo il mio sito web di una piccola impresa? Ma gli attacchi non accadono solo ai grandi marchi. Un rapporto ha scoperto che le piccole imprese sono state le vittime del 43% di tutte le violazioni dei dati. Puoi leggere di più su questo nel nostro post sulla sicurezza del sito web per le piccole imprese.

Ne abbiamo parlato di recente: se possiedi un sito web, non prendere certe misure può esporti al rischio di hacking. Il buon funzionamento del tuo sito, così come la tua reputazione, potrebbero risentirne. Questo è particolarmente vero per i siti di e-commerce (📒WordPress Woocommerce Hack), specializzati nella vendita, dove le transazioni bancarie sono comuni.

Al giorno d’oggi, la minaccia degli hacker sta crescendo. I tentativi di hacking stanno diventando sempre più automatizzati e, pertanto, aumenteranno nel 2020.

Il più delle volte, l’hacking non è direttamente visibile. Sta accadendo silenziosamente. Il tuo sito diventa un covo di hacker, sfrutta le sue risorse e le usa per perpetuare i suoi crimini, compresa la contaminazione di altri siti web.

Conseguenze dell’hacking di WordPress

Umanamente parlando, i vostri visitatori alla fine si lamenteranno dei malfunzionamenti sul vostro sito, o della velocità troppo lenta, e si allontaneranno dalla vostra azienda. In termini di SEO, Google vi metterà nella lista nera, e mostrerà messaggi di avviso per il vostro sito web come il messaggio “This Site May Be Hacked” in Google. Seguite la nostra guida approfondita per rimuovere i messaggi di avviso della blacklist di Google.

Perché i siti WordPress vengono violati?

  • Hosting web insicuro
  • Utilizzo di password deboli o duplicate
  • Accesso non protetto a WordPress Admin (wp-admin & wp-content Directory)
  • Permessi di file WP non corretti
  • Installazione di WordPress obsoleta
  • Plugin o temi WordPress obsoleti
  • Utilizzo di un semplice FTP invece di SFTP/SSH
  • Usare Admin come nome utente di WordPress – 📒 Come cambiare il tuo nome utente di WordPress
  • Usare temi e plugin nulli (📒 Leggi anche:Rilevare il malware nei temi di WordPress, Sicurezza dei temi di WordPress)
  • Non proteggere il file wp-config.php di configurazione di WordPress
  • Non cambiare il prefisso della tabella di WordPress
  • Chiavi Salt obsolete (Leggi di più su – WordPress Salts – Chiavi di sicurezza)
  • Tabelle WP corrotte (📒 Riparare il database di WordPress – Correggere le tabelle corrotte)

 

Ci sono diversi modi per prevenire questo scenario disastroso.

Vulnerabilità di WordPress che portano all’hacking

Come mandare in down il 100% dei siti WordPress con un attacco DOS (CVE-2018-6389)

Ecco le più comuni vulnerabilità e minacce alla sicurezza di wordpress:

SQL injection

Gli attacchi SQL injection sono effettuati iniettando codice maligno in una richiesta SQL vulnerabile. Si basano su un attaccante che aggiunge una richiesta appositamente elaborata nel messaggio inviato dal sito web al database.

Un attacco riuscito modificherà la query del database in modo che restituisca le informazioni desiderate dall’attaccante, invece di quelle attese dal sito web. Le iniezioni SQL possono anche modificare o aggiungere informazioni dannose al database. Un esempio di iniezione di codice dannoso è discusso qui.

Cross-site Scripting (XSS)

Gli script cross-site scripting o XSS sono un tipo di vulnerabilità dei siti web che permette agli aggressori di inserire script dannosi su siti e applicazioni affidabili che, a loro volta, installano il malware nei browser web degli utenti. Utilizzando gli script cross-site, gli hacker non attaccano direttamente gli utenti o li indirizzano in modo ingannevole verso altri siti, ma distribuiscono liberamente il loro malware a migliaia di persone.

XSS permette agli intrusi che intendono attaccare un sito, di iniettare script lato client nelle pagine web visualizzate da altri utenti. Una vulnerabilità di cross-site scripting può essere utilizzata dagli aggressori per aggirare i controlli di accesso come la politica della stessa origine.

Attacchi di forza bruta alle credenziali

L’attacco brute force è un metodo di hacking che utilizza tecniche di prova ed errore per entrare in un sito web, una rete o un sistema informatico. Gli hacker utilizzano un software automatizzato per inviare un gran numero di richieste al sistema di destinazione. Con ogni richiesta, questo software tenta di indovinare le informazioni necessarie per ottenere l’accesso, come password o codici PIN. Questi strumenti possono anche essere mascherati utilizzando diversi indirizzi IP e luoghi, rendendo difficile per il sistema di destinazione identificare e bloccare queste attività sospette.

Un attacco di forza bruta riuscito può dare agli hacker l’accesso al vostro sito web dell’area amministrativa. Possono installare backdoor, malware, rubare le informazioni degli utenti e cancellare tutto sul tuo sito. Anche gli attacchi di forza bruta non riusciti possono creare scompiglio inviando troppe richieste che rallentano i vostri server di hosting WordPress e addirittura li bloccano.

Attacchi malware a WordPress

Utilizzando alcuni dei precedenti problemi di sicurezza come mezzo per ottenere l’accesso non autorizzato a un sito web, gli attaccanti possono poi:

  • Eseguire exploit sul server per aumentare il livello di accesso.
  • Usare i computer dei visitatori per estrarre criptovalute -📒 WordPress ransomware
  • Lanciare attacchi contro altri siti
  • Memorizzare script di comando e controllo di botnet
  • Mostrare annunci indesiderati, reindirizzare i visitatori a siti truffa -📒 WordPress malware redirect
  • Ospitare download dannosi
  • Creare una backdoor per mantenere l’accesso -📒 WordPress Backdoor
  • Raccogliere le informazioni dei visitatori o i dati delle carte di credito (ad esempio 📒 Branco de oro hack)

Attacchi DDoS

Un attacco Distributed Denial of Service (DDoS) su siti wordpress, chiamato anche attacco DDoS WordPress, è un attacco a un computer o a un sistema di rete che causa l’inaccessibilità di un servizio o di una risorsa agli utenti legittimi. Normalmente provoca la perdita di connettività di rete a causa del consumo del trasferimento di informazioni (larghezza di banda) della rete della vittima.

Si genera saturando le porte con il flusso di informazioni, causando il sovraccarico del server (s) e incapace di continuare a fornire servizi, quindi si chiama “denial” perché fa sì che il server non fornisca il numero di richieste. Questa tecnica è utilizzata dai cosiddetti hacker per mettere fuori uso i server bersaglio.

Ma prima di procedere oltre, sorge una domanda importante:

Come controllare se il vostro sito WordPress è sicuro o no?

Un sito sicuro deve avere tutti i web application firewall attivati per prevenire qualsiasi tipo di hack WordPress. Deve anche seguire le best practice di sicurezza di WordPress per le vulnerabilità note o più comuni di WordPress. Potete utilizzare il nostro scanner di sicurezza WordPress qui sotto per vedere se un sito web ha un firewall, eventuali anomalie di sicurezza, malware, o se è nella lista nera.

Come proteggere il tuo sito WordPress dagli hacker nel 2022?

Suggerimenti per proteggere il tuo sito WordPress e tenere a bada gli hacker.

Molte altre azioni possono rafforzare la vostra protezione web. Ma questi elementi di per sé sono già ignorati da molti amministratori di siti. Relativamente semplice da implementare, si può provare questi metodi può solo essere vantaggioso per voi e i vostri utenti.

Mantenete il vostro WordPress aggiornato

Questo può sembrare abbastanza ovvio, ma è uno dei passi più basilari e importanti. È importante fare gli aggiornamenti il più presto possibile al rilascio di una nuova versione di WordPress, in particolare gli script o i plugin. Molti di loro sono open-source, il che significa che tutti possono analizzare il loro codice sorgente e scoprire le falle. Queste falle di sicurezza sono uno dei modi più comuni per gli hacker di accedere al tuo sito web.

Per proteggere il tuo sito web da questi attacchi, è fortemente raccomandato di aggiornare il tuo plugin, gli script e le versioni di WordPress.

Evitare i temi WP gratuiti

Su molti CMS i temi sono legione, sia a pagamento che gratuiti. Essi permettono di aggiungere delle funzionalità a un sito, di automatizzare delle azioni, di semplificare l’amministrazione e di rendere il tutto più attraente per gli internauti.

È quindi allettante usarli, soprattutto quando sono gratuiti.

Ma bisogna sapere che i temi gratuiti non sono senza rischi. Se sono completamente finalizzati e approvati dalla comunità in un dato momento (spesso testando e commentando le novità, per permettere loro di migliorare se necessario), questo non garantisce che saranno ancora rilevanti.

A causa della loro gratuità, questi temi non sono necessariamente seguiti dal loro sviluppatore a lungo termine. Quindi, non vengono aggiornati. Ciò che si riferisce al punto precedente: una mancanza di aggiornamento comporta difetti di sopravvivenza e, in ultima analisi, una possibile incompatibilità tra i temi gratuiti e il resto del sito che è stato aggiornato.

Installare plugin di sicurezza

WordPress (WP) è la piattaforma web più utilizzata. Oltre ad aggiornare tutti i software, è fondamentale per un sito WordPress utilizzare plugin di sicurezza e garantire la massima sicurezza. Ci sono molti plugin di sicurezza wordpress gratuiti e a pagamento per mantenere il tuo sito sicuro.

Questi plugin offrono funzioni aggiuntive per rendere il vostro sito WordPress sicuro e ridurre il rischio di hacking.

Queste opzioni affrontano le vulnerabilità di sicurezza che sono inerenti ad ogni piattaforma, sventando ulteriori tipi di tentativi di hacking che potrebbero minacciare il tuo sito web.

Utilizzare HTTPS

Oltre ad usare i plugin di sicurezza, dovresti anche considerare l’aggiornamento a HTTPS “secure hypertext transfer protocol” per migliorare ulteriormente la sicurezza del tuo sito. I siti web che utilizzano il protocollo standard per il trasferimento dei dati tra il server e il browser del cliente, HTTP o protocollo di trasferimento ipertestuale, sono suscettibili di intercettare i dati e usarli in modo malevolo. HTTPS rende lo scambio di informazioni attraverso il tuo sito web più sicuro e impenetrabile.

L’uso di HTTPS è fortemente raccomandato per un sito di e-commerce, o un sito che tratta informazioni riservate e private sui clienti.

Scegliere il giusto host web

Puoi, naturalmente, scegliere il tuo alloggio sulla base di offerte molto economiche. Tuttavia, potresti essere esposto ad attacchi informatici. Per questo motivo, è ragionevole trovare un web hosting provider rispettabile che offra caratteristiche come un server SSL sicuro (richiesto per HTTPS), SSH Secure Shell Access, supporto email sicuro, un database sicuro, backup regolari, ecc. Se hai dei dubbi sulla sicurezza dell’hosting dei dati, cerca di ottenere una raccomandazione da un fornitore. Host e proteggere ha fatto qualche ricerca e confrontato diversi fornitori di web hosting e poi selezionato i migliori nella loro guida wordpress hosting.

Usare query parametrizzate

Le iniezioni SQL non sono solo subdole, ma possono anche essere molto pericolose se un hacker riesce a iniettare nel vostro sito. Di solito, queste iniezioni avvengono attraverso i moduli web che utilizzate per raccogliere informazioni dai visitatori del vostro sito.

Se non si presentano i vincoli necessari a tutti i campi di un modulo web, gli hacker saranno in grado di inserire del codice che, a sua volta, permette loro di violare il vostro database e rubare tutte le informazioni riservate disponibili.

Per proteggere il vostro sito web da queste iniezioni, tutto quello che dovete fare è utilizzare permanentemente query parametrizzate. Il tuo sito web avrà parametri specifici per impedire agli hacker di accedere ai tuoi dati e inserire il loro codice maligno.

Utilizzare CSP – I potenti attacchi XSS

Questi attacchi sono simili alle iniezioni SQL perché gli hacker usano i campi dei moduli web dei codici HTML per accedervi. Tuttavia, sono molto più pericolosi delle iniezioni SQL. Gli attacchi Cross-site scripting ( XSS) si riferiscono all’inserimento di tag script e JavaScript malevoli nel tuo sito web, che possono diffondersi negli account di tutti i visitatori che visualizzano la pagina su cui sono stati serviti. inseriti.

Per prevenire gli attacchi XSS, assicuratevi che i visitatori non abbiano i privilegi (o l’opportunità) di inserire JavaScript o script tag in qualsiasi punto del vostro sito.

La Content Security Policy (CSP) è un meccanismo delle applicazioni Web che viene implementato a monte della richiesta HTTP, che limita l’interpretazione dello script e del framework annidato (iframe) direttamente. nel browser client. Una difesa in profondità che consiste in una semplice politica dichiarativa del server, tramite l’intestazione HTTP, per indicare al browser le fonti da cui l’applicazione prevede di caricare le risorse.

Ma attenzione che il CSP è molto efficace, migliorando la vostra sicurezza, è in balia del browser. Poiché solo la versione “Edge” del browser Internet Explorer è compatibile, la questione non si pone nemmeno.

Assicurati che le tue password siano sicure

È meglio utilizzare password sempre più complesse, mescolando lettere minuscole, lettere maiuscole, numeri e caratteri speciali per tutti i tuoi account e soprattutto per l’account di amministratore del tuo sito. Non usare mai password semplici. Non usate password come il nome o il compleanno di vostro figlio, perché gli hacker di solito possono accedere facilmente a queste informazioni.

Inoltre, assicurati che chiunque abbia accesso al tuo sito web usi una password sicura e impossibile da indovinare. l’uso di una password debole da parte di un utente potrebbe mettere in pericolo il tuo intero sito web e tutti gli account dei visitatori.

Blocca la tua directory e i permessi dei file

La navigazione nelle directory di WordPress permette a qualsiasi visitatore del tuo sito di vedere e sfogliare il contenuto delle cartelle del tuo sito WordPress. Tutti possono visitare una directory del vostro sito, vedere i file e aprirli a piacimento. Per impostazione predefinita, la maggior parte degli host hanno scelto di bloccare l’accesso alle directory, per ovvi motivi di sicurezza, tuttavia, ci sono ancora molti host che non disabilitano l’accesso alla directory dei siti ospitati.

Per essere chiari, se la navigazione nelle directory è abilitata e non avete un file vuoto index.html o index.php in una data directory, un visitatore sarà in grado di visualizzare il contenuto della directory nel suo browser, ottenendo lo stesso accesso alla directory madre, e la possibilità di tracciare tutte le directory presenti, rivelando il funzionamento del vostro sito WordPress.

Questa visualizzazione può incoraggiare gli hacker a cercare di distruggere il vostro sito, o almeno facilitare il loro lavoro di rottura. Gli hacker possono facilmente cercare su Google per trovare i siti per i quali l’accesso alle directory è consentito, quindi scegliere le loro prossime vittime in base ai risultati. Oltre a contenere tutti gli script e i dati necessari per il corretto funzionamento del tuo sito web, a ciascuno di questi file e cartelle viene assegnato un insieme di permessi per controllare chi può leggere, scrivere ed eseguire un file o una cartella, a seconda dell’utente il gruppo a cui appartengono.

Sul sistema operativo Linux, i permessi sono visibili come un codice a tre cifre, con ogni cifra che rappresenta un numero intero tra 0 e 7. La prima cifra rappresenta i permessi per il proprietario del file, la seconda è per chiunque sia assegnato al gruppo proprietario e la terza per tutti. Le assegnazioni funzionano come segue:

  • 4 è uguale a Read
  • 2 è uguale a Write
  • 1 è uguale a Esegui
  • 0 equivale a nessun permesso per quell’utente

Come esempio, usate il codice di autorizzazione “644”. In questo caso, un “6” (o “4+2”) nella prima posizione dà al proprietario del file la possibilità di leggere e scrivere il file.

Il “4” nella seconda e terza posizione significa che gli utenti del gruppo e gli utenti Internet, in generale, possono solo leggere il file, il che lo protegge da manipolazioni impreviste.

Quindi, un file con permessi “777” (o 4+2+1 / 4+2+1 / 4+2+1) è leggibile, scrivibile ed eseguibile dall’utente, dal gruppo e da chiunque altro nel mondo.

Come previsto, un file a cui è stato assegnato un codice di autorizzazione, che dà a qualsiasi utente sul web la possibilità di scriverlo ed eseguirlo, è molto meno sicuro di un file bloccato per riservare tutti i diritti al proprietario. Naturalmente, ci sono ragioni valide per aprire l’accesso ad altri gruppi di utenti (download FTP anonimo, per esempio), ma questi casi devono essere attentamente considerati per evitare di creare un rischio per la sicurezza del sito web.

Per questo motivo, la regola d’oro è quella di impostare i permessi dei file e delle cartelle di wordpress come segue:

Cartelle e directory = 755
Singoli file = 644

Per impostare i permessi dei file, accedi al File Manager del tuo cPanel o collegati al tuo server via FTP. Una volta lì, vedrai tutti i permessi dei file esistenti (come nel seguente esempio generato usando il programma FTP Filezilla):

La colonna finale in questo esempio mostra i permessi di file e cartelle in wordpress attualmente assegnati al contenuto del sito web.

Per cambiare questi permessi in Filezilla, clicca semplicemente con il tasto destro del mouse sulla cartella o sul file in questione e

selezionare l’opzione “File permissions”. Questo lancerà una schermata che ti permetterà di assegnare diversi permessi usando una serie di caselle di controllo:

Anche se il backend di ogni host web o programma FTP potrebbe mostrare opzioni leggermente diverse, il processo di base per cambiare i permessi rimane lo stesso. Nel nostro prossimo articolo, parleremo più in dettaglio di come modificare i permessi dei file wordpress.

messaggi di errore dettagliati e utili

I messaggi di errore dettagliati possono essere utili all’interno per aiutarvi a identificare ciò che è sbagliato e sapere come risolverlo. Ma quando questi messaggi di errore vengono visualizzati ai visitatori esterni, una gestione impropria degli errori può rivelare informazioni sensibili a un potenziale hacker sulle vulnerabilità del tuo sito web.

Fate attenzione alle informazioni che fornite in un messaggio di errore, per essere sicuri di non fornire informazioni che aiuterebbero un hacker. Mantenete i vostri messaggi di errore semplici e non rivelate mai troppo. Ma evitate anche le ambiguità, in modo che i vostri visitatori possano sempre apprendere abbastanza informazioni attraverso il messaggio di errore per sapere cosa fare dopo.

Investire in backup automatici

Anche se fai tutto il resto su questa lista, ci sono ancora alcune possibilità di affrontare qualche hacker. Lo scenario peggiore di un hacking di un sito web è quello di perdere tutto, tutti i dati perché hai dimenticato di fare il backup del tuo sito web. Il modo migliore per proteggersi da tale perdita di dati è quello di avere sempre un backup recente.

Utilizzare un protocollo SSL

Ne abbiamo parlato ultimamente: un protocollo SSL è uno strumento che cripta i tuoi dati. Può essere paragonato a una serratura su una porta: quando i tuoi dati vengono trasferiti dal tuo server a uno dei tuoi utenti, il processo è protetto da un certificato SSL e nessuno può interferire.

Inoltre, i browser web Chrome e Firefox stanno iniziando a rendere chiaro quali siti stanno usando SSL e quali no. Questo può incoraggiare gli utenti a preferire un sito protetto al suo concorrente senza protocollo SSL.

Ultimo ma non meno importante, un certificato SSL aiuterà il tuo SEO e migliorerà la tua sicurezza e la fiducia dei tuoi utenti.

Nel caso di una violazione dei dati, non c’è bisogno di farsi prendere dal panico, quando si dispone di un backup attuale. Puoi prendere l’abitudine di fare il backup manuale del tuo sito web ogni giorno o ogni settimana. Ma se c’è anche la minima possibilità che vi dimentichiate, investite in backup automatici. È un modo economico per comprare la pace della mente e recuperare è molto più facile.

Nascondete e proteggete le vostre pagine di amministrazione

Le pagine di amministrazione sono un obiettivo primario per gli hacker; permettono loro di accedere ai tuoi dati e a quelli dei tuoi clienti. E queste pagine sono particolarmente facili da trovare per avere un nome simile per impostazione predefinita, tra cui WordPress, Drupal, Prestashop e altri CMS equivalenti. Cambiare il nome della directory di amministrazione complicherà il compito degli hacker e può scoraggiarli. Nella stessa idea, usa una password personale, complessa e ricercata.

Migliorare la sicurezza .Htaccess

Se il tuo sito web viene violato, la maggior parte degli aggressori modifica il file .htaccess per reindirizzare il traffico fuori dal tuo sito o per alimentare le pagine con i propri file. Il file .htaccess è un file di testo nascosto utilizzato dal server web Apache per configurare il tuo sito web senza la necessità di creare o modificare le impostazioni globali. Usa i file .htaccess per limitare l’accesso a specifici file o directory che possono contenere informazioni sensibili. Impara come utilizzare efficacemente il file .htaccess per migliorare la sicurezza e le prestazioni del tuo sito. Rendi il tuo sito WordPress sicuro con alcune modifiche htaccess.

Per una maggiore sicurezza, modificate il vostro file .htaccess per:

  • Bloccare i bot cattivi
  • Disabilitare l’esplorazione della directory –
  • Consentire solo i file selezionati da wp-content
  • Limitare tutti gli accessi a wp-includes
  • Consentire solo indirizzi IP selezionati per accedere a wp-admin
  • Proteggere wp-config.php e .htaccess da tutti
  • Negare l’hotlinking delle immagini
  • Abilitare la cache del browser
  • Pagine di errore personalizzate

Attenzione al caricamento di file dannosi

Quando qualcuno ha la possibilità di caricare qualcosa sul tuo sito web, potrebbe abusare del privilegio caricando un file dannoso, sovrascrivendo uno dei file esistenti importanti per il tuo sito web, o caricando un file così grande da far cadere l’intero sito.

Se possibile, semplicemente non accettate alcun caricamento di file attraverso il vostro sito web. Molti siti web di piccole imprese possono andare avanti senza offrire la possibilità di caricare file. Se questo ti descrive, puoi saltare tutto il resto in questo passo.

Ma eliminare l’upload di file non è un’opzione per tutti i siti web. Alcuni tipi di aziende, come i commercialisti o gli operatori sanitari, hanno bisogno di dare ai clienti un modo per fornire documenti in modo sicuro.

Quando qualcuno ha la possibilità di caricare qualsiasi tipo di file sul vostro WordPress, può abusare del privilegio caricando un file dannoso, sovrascrivendo uno dei file importanti esistenti sul sito web o caricando un file così grande da distruggere l’intero sito.

Se possibile, semplicemente non accettate il caricamento di file da chiunque attraverso il vostro sito web. Molti siti web di piccole imprese possono sopravvivere senza offrire l’opzione di caricare file. Se questo vi descrive, potete saltare tutto il resto in questo passo.

Se hai bisogno di permettere l’upload di file sul tuo sito web, segui questi passi per assicurarti la sicurezza di WordPress:

  • Rinominare automaticamente i file al momento del caricamento.
  • Creare una whitelist di estensioni di file consentite.
  • Utilizzare la verifica del tipo di file.
  • Implementare l’autenticazione a due fattori di WordPress (2FA)
  • Tenere la cartella di upload fuori dalla webroot.
    Impostare la dimensione massima del file.
  • Evitate gli attacchi DDoS (distributed denial of service) rifiutando qualsiasi file oltre una certa dimensione.
  • Scansionare tutti i file caricati per il malware.
Condividi questo articolo:

1 Trackback / Pingback

  1. Wordpress: disabilitare most used plugin (DisableMU) - Andrea Piani - Sviluppatore

Lascia un commento

L'indirizzo email non sarà pubblicato.


*