Sicurezza WordPress: la Guida Completa (2017)

Sicurezza WordPress Guida

La sicurezza del tuo sito WordPress è importante.

Anche se questo argomento spaventa, poiché per la maggior parte di noi è ignoto, ci sono molti aspetti che puoi curare per migliorare la sicurezza di WordPress ed alzare il livello di protezione al massimo possibile.

Nel nostro corso di WordPress abbiamo dedicato un’intera sezione all’argomento sicurezza, dove ti spieghiamo nel dettaglio ogni aspetto su questo argomento. Se sei hai già l’accesso al corso, puoi tranquillamente seguire le video lezioni senza procedere oltre in questo articolo.

È inutile ora parlare di statistiche sul numero di attacchi che vengono fatti ogni giorno a siti web di tutto il mondo. I sistemi automatici giornalmente scandagliano la rete in cerca di “prede deboli” per trarne vantaggio.

Attacchi informatici nel mondo

Comunque, se stai leggendo questo articolo, è per affrontare l’argomento con la dovuta attenzione.

Quello che andremo a vedere non sarà solo una lista di plugin da installare meccanicamente perché, per aumentare le possibilità di non essere attaccati, gli argomenti da affrontare (e capire) sono diversi.

Arriveremo comunque a darti una soluzione chiavi in mano per proteggere il tuo sito WordPress.

Segui però tutto il contenuto con attenzione, perché aumenterà la tua conoscenza su questo nuovo e fondamentale argomento.

I punti che affronteremo in queste lezioni

  • Il motivo per cui si viene attaccati e le conseguenze a cui andiamo incontro.
  • Quando si parla di sicurezza non bisogna pensare solo a WordPress, ma a tutto l’ambiente che lo circonda.
  • Analizzeremo le 4 attività da fare per rendere il tuo sito più sicuro.
  • Scenderemo nel dettaglio del tuo sito WordPress vedendo configurazioni, plugin e servizi da utilizzare.
  • Chiuderemo con le attività da fare nel caso il tuo sito venga compresso.

Perché i siti vengono attaccati?

Partiamo subito con il capire i diversi motivi per cui tutti i siti web sono a rischio di attacco.

Conoscere le cause ti porterà a un livello di maggiore consapevolezza.

Se il tuo progetto online è appena partito, potrebbe venirti in mente di non essere a rischio, in quanto non avendo competitor o nemici a cui dare fastidio, sei solo un pesciolino nell’oceano.

Ma fai attenzione, perché i tipi di attacco hanno diverse finalità.

Essere scelti come target ben preciso è molto difficile, in quanto dovrebbe esserci qualcuno che ha degli interessi a danneggiare la nostra attività. Questo è solo l’1% circa degli attacchi che si rivelano nella rete.

Le motivazioni che portano qualcuno a voler danneggiare un’attività potrebbero essere di tipo economico, personale, politico… ma solo tu puoi sapere (o immaginare), se sei in pericolo per un attacco mirato.

Il resto dei tentativi di manomissione dei siti web, ovvero il 99% dei casi, non ha target ben precisi, poiché quello che interessa è trovare dei punti deboli nella rete per prendere il possesso del server o utilizzare il nostro sito per fare attività criminali. Si, insomma per essere usati.

Immagina se volessi fare dello spam via email, cosa faresti?

Utilizzeresti il tuo sito, il tuo server, o cercheresti di mandare le email utilizzando il server di qualcun altro? Ecco, giusto per rendere l’idea.

Le motivazioni più diffuse, che spingono a questo tipo di attività, sono quelle con finalità economiche, perseguite grazie all’aggiunta di spam al nostro sito o tramite la distribuzione di malware (virus o tipologie simili).

L’aggiunta di spam consiste nel riuscire ad inserire testi e backlink all’interno delle nostre pagine che, a volte, non sono visibili durante la navigazione, ma sono presenti nel codice.

Se invece sono riusciti ad infettare il nostro sito con un malware, allora verremo utilizzati per contagiare più computer possibili, tra cui anche quelli dei nostri visitatori. Lo scopo è quello di ricavare informazioni sensibili come quelle dell’online banking o simili.

Capisci allora come, rispetto all’attacco di un target ben preciso, questo tipo di attività tende ad attaccare più vittime possibili, “sparare nel mucchio” come si suol dire, utilizzando sistemi automatici che scandagliano la rete in cerca di prede facili.

Per esempio, se per un plugin viene scoperto un bug di sicurezza, allora sono molte le probabilità che la rete venga scansita per trovare siti con quel determinato plugin installato.

SiteGround Miglior Hosting

Conseguenze di un sito compromesso

Quando un sito viene compromesso le conseguenze possono essere diverse, a seconda del tipo di danno che è stato arrecato.

Inutile citare la possibile perdita economica a cui si potrebbe andare incontro.

Sia che il nostro sito sia un eCommerce, piuttosto che monetizzi tramite affiliazioni o pubblicità, avere anche per pochi giorni il sito fuori uso significa perdere il fatturato di questo periodo.

Grave è anche il danno all’immagine della nostra attività.

Agli occhi degli utenti vedere il sito compromesso fa sicuramente scendere il livello di valutazione e fiducia che con sforzo eravamo riusciti ad ottenere.

Ma forse, più di tutto, il danno maggiore è quello che riguarda il posizionamento in Google, la SEO e le nostre pagine nella SERP.
Sito Compromesso Google

Google infatti ha un algoritmo in costante lavoro per la rilevazione di problemi di sicurezza della rete.

Nel momento in cui Google trova un sito infetto, oltre a comunicare l’accaduto direttamente al proprietario, prende immediati provvedimenti per difendere gli altri utenti e il web in generale.

Il campo d’azione della Sicurezza

Voglio subito prendere l’attenzione rivolta al titolo di questo articolo, ovvero “Sicurezza WordPress” e portarla a uno step precedente, più grande.

Parliamo quindi di “Sicurezza” dell’intera struttura in cui WordPress è solo uno dei giocatori in campo.

Quando si tratta questo argomento non si parla esclusivamente di tecnologie e programmazione, ma di persone e dei processi che fanno interagire tutte queste parti.

Abbiamo diversi gruppi da analizzare:

  • Ambiente
  • Persone
  • Applicazione
  • Infrastruttura

Ambiente della Sicurezza

Ambiente

Per ambiente intendiamo le varie parti che ti permettono di entrare in contatto con il tuo sito WordPress.

Pensa al computer o ai diversi device. Se il PC con cui ti colleghi e lavori è pieno di malware, trojan o quant’altro, buone sono le possibilità di dare libero accesso al tuo mondo online, poiché questi sono studiati proprio per recuperare tali informazioni: password FTP, account, dati social, email e altri dati sono tutti a rischio.

Attenzione quindi alla manutenzione del computer di lavoro e se qualcun altro oltre a te lo utilizza – figli, fidanzati, moglie, marito ecc… – prendi le dovute precauzioni. Infatti se anche tu dovessi essere super attento, non dare per scontato che gli altri lo siano altrettanto.

Ora, invece, pensa ai posti da dove ti connetti.

Di questo ne abbiamo già parlato nella lezione sul protocollo sicuro HTTPS e del motivo per cui tutti gli hosting lo stanno implementando, anche gratuitamente.

Alla fine ci connettiamo da ovunque! Dal pub, dal parrucchiere, in aeroporto, praticamente dove c’è una rete wifi disponibile siamo pronti a connetterci.

Ricorda che puoi avere il sito WordPress e il server più avanzati e protetti sul mercato, ma non sono gli unici aspetti che devi curare.

È anche per questo che molte volte, per chi cerca di penetrare un sistema, è più facile cercare le chiavi di accesso dove la nostra attenzione viene meno.

Persone

Se pensi che il mondo hacker sia fatto solo di codici informatici scritti alla velocità della luce dentro a un terminale nero, allora ti sbagli.

L’aspetto umano è fondamentale ed è anche quello più debole.

Per quanto riguarda la mia esperienza, la maggior parte delle volte che ci siamo trovati di fronte a siti compromessi, ne abbiamo trovato le cause proprio da errori umani, in primis password deboli.

Devi anche sapere che, estrapolare informazioni dalle persone, è un’attività che fa proprio parte del mondo hacker. Si chiama social hacking.

Quindi non ti fidare di nessuno, soprattutto se ti vengono richieste le chiavi di accesso o dati personali e cerca sempre di sapere con esattezza con chi ti stai interfacciando.

Applicazione

Nel livello “applicazione” abbiamo il nostro WordPress e tutti i suoi componenti, come i temi e i plugin.

Ricordiamo che gran parte dei siti mondiali sono realizzati con WordPress. Essendo così diffuso, è per forza di cose uno fra i target preferiti.

Più utilizzatori di un prodotto ci sono e più sarà facile, trovata una vulnerabilità, prendere controllo della macchina o installare script malevoli per un elevato numero di utenti.

Non scordiamoci però che la comunità di WordPress è un colosso, con una grande mano d’opera pronta ad intervenire in caso vengano individuati soprattutto problemi di sicurezza.

Quindi è buona norma avere WordPress, temi e plugin sempre aggiornati.

Infrastruttura

L’ultimo gruppo riguarda l’infrastruttura che ospita il tuo sito, fra cui il server.

Qui non puoi farci molto, se non scegliere l’hosting giusto.

Fra i tanti motivi per cui consigliamo SiteGround c’è anche quello della sicurezza.

Ora che abbiamo visto l’ambiente in cui dovremo muoverci, possiamo passare alle attività di cui ti dovrai occupare per poterti difendere al meglio.

Le 4 attività necessarie per difendersi

Se facciamo una ricerca nella repository di WordPress con la parola chiave “Security”, ci vengono restituite circa 300 pagine di possibili plugin.

Direi che abbiamo l’imbarazzo della scelta.

Attenzione però, perché prima di decidere a quale affidarti, devi capire di cosa hai bisogno, in quanto non tutti i plugin fanno le stesse cose.

Perché? Semplicemente perché il “difendersi” non è composto da una sola attività. Gli aspetti da tenere in considerazione sono molteplici e dipendono soprattutto del tipo di sito che hai, cosa fa, quali funzioni sono installate, cosa permette agli utenti, ecc…

Vediamo quindi il ciclo completo necessario per salvaguardare il tuo sito web, composto da:

  • Prevenzione
  • Rilevazione
  • Controllo
  • Risposta / Azione

Sicurezza Come Difendersi

Prevenzione

Questa attività, come dice la parola stessa, consiste nel prevenire gli attacchi.

Il giocatore principale è il Firewall del tuo sito web. Di cui sicuramente hai già sentito parlare.

Il firewall si interpone come filtro fra il tuo sito e il mondo esterno, facendo arrivare solo le richieste che non reputa pericolose.

Questo servizio può prevenire tante forme di attacco differenti, ma le più famose sono il DDoS (Distributed Denial-of-Service) e il Brute Force.

L’attacco DDoS serve per rendere il tuo sito inutilizzabile.

Come? Vengono fatte così tante richieste nello stesso momento, che il server non è in più in grado di gestirle poiché l’attacco consuma tutte le sue risorse.

L’altro attacco famoso è il Brute Force, che punta a trovare la password del tuo sito. Un sistema automatico comincia a provare tutte le combinazioni possibili fino a trovare quella esatta.

Queste sono solo due tipologie di attacco, ma in verità ce ne sono molte di più.

Diversi tipi di Firewall

Ora, di firewall, ce ne sono di diverso tipo. Possono essere esterni o interni al tuo sito web.

Se il firewall è un sistema esterno è sicuramente meglio, in quanto il tuo sito / server non viene nemmeno toccato.

Le richieste pericolose non lo raggiungono, poiché vengono fermate dalla tua guardia del corpo, il firewall, mentre il server può continuare la sua normale attività servendo gli utenti legittimi.

Firewall Esterno

Se come firewall, però, decidi di utilizzare un plugin, rifletti sul fatto che il plugin è installato nel tuo sito WordPress, sul tuo server. Pertanto il lavoro di filtraggio viene fatto lo stesso, ma le richieste arrivano sul tuo server con il relativo consumo delle sue risorse.

Anche il livello di protezione, utilizzando un firewall tramite plugin, il livello di protezione è inferiore.

Firewall interno

Backup

Nelle attività di prevenzione inseriamo assolutamente anche il backup.

Questo non ti rende immune da attacchi, certo, ma potrebbe salvare la tua attività nel caso ne fossi  vittima.

Pensa se l’attacco è distruttivo e ti cancella tutto il database. Non avere un backup significherebbe perdere tutto il tuo progetto online.

Come si dice “Il backup è quella cosa che andava fatta prima!”.

Scherzi a parte, come tante volte ripetuto sia nelle lezioni che negli articoli, avere un sistema di backup è fondamentale.

Nel corso di WordPress ti abbiamo mostrato diversi modi per effettuare un backup, ma senza ombra di dubbio il backup schedulato e gestito direttamente dal tuo hosting provider risulta essere la soluzione migliore e più sicura.

Rilevazione

Avere un buon firewall riduce il numero di attacchi diretti al server in maniera spaventosa. Molti di questi attacchi sono ben noti ai firewall.

Questo però non esclude al 100% che un abile attacco non riesca comunque a passare questo primo livello di protezione.

La rilevazione è la stessa attività che fa l’antivirus nel tuo sistema operativo.

Vedremo successivamente i diversi tipi di servizio disponibili, i quali possono essere anche loro sia interni (con plugin) che applicazioni esterne.

Controllo

Avere un sito web è un lavoro. Si esatto, tante soddisfazioni, ottimo rendiconto, ma è un lavoro.

Di conseguenza non puoi pensare di metterlo online e poi scordarti di lui. Ci vuole un controllo costante, accertarsi che tutto fili liscio e che non siano presenti anomalie.

L’attività di controllo è particolarmente importante se il tuo sito permette la creazione di account da parte degli utenti, con il relativo range di azioni che questi possono avere.

Bisogna studiare bene in fase di sviluppo i privilegi che concediamo agli utenti e successivamente controllare che vengano rispettati.

Cerca quindi di capire quali sono gli aspetti del tuo progetto che necessitano di maggiori attenzioni e dagli sempre un occhio nell’arco del tempo.

Uno strumento che ci viene in aiuto per il controllo del nostro sito è il Google Search Console, che ha proprio la sezione “Problemi di Sicurezza”.

Eh si, perché come abbiamo già detto, Google non vuole includere nel proprio motore di ricerca un sito compromesso, pertanto se dovesse malauguratamente succedere (e Google ti segnala come tale), dovrai: prima risolvere i problemi e poi chiedere a Google di essere “riconsiderato”!

Risposta / Azione

Questa è l’attività in cui ci auguriamo di non trovarci mai, perché significa che il nostro sito è stato compromesso.

La notifica della rilevazione potrebbe giungere in diversi modi.

Google stesso ci invia un’email e ci mostra all’interno del Search Console l’avviso con il problema riscontrato.

Visitando una pagina del nostro sito ritroviamo avvisi come questi:

Avvisi di sito compromesso

Nella pagina della SERP veniamo mostrati come siti pericolosi che potrebbero danneggiare il computer degli utenti.

La notifica potrebbe anche arrivare da plugin o servizi di scansione che abbiamo abilitato.

Attenzione però, se l’avviso proviene da Google, è molto difficile che si siano sbagliati.

Se invece proviene da un plugin, allora ci sono possibilità che l’avviso sia un falso positivo.

Analizzate queste possibilità bisogna subito adoperarsi per affrontare il problema.

Come rendere il tuo sito WordPress più sicuro

Rendere il proprio sito WordPress più sicuro è possibile, vediamo come.

Riprendiamo i concetti appena visti e procediamo concretamente analizzando ogni punto della lista:

Accessi

Parlando di accessi intendiamo tutti i vari punti di accesso per la parti di gestione del sito.

Non solo la user e la password del pannello di amministrazione di WordPress, ma anche quelli dei vari utenti FTP, del pannello del servizio di hosting e del cPanel.

Il consiglio è quello di avere user e password diverse per ognuno di loro.

Questo perché, nel malaugurato caso che qualcuno entri in possesso dell’accesso di uno di questi, si eviterebbe di fornirgli da subito il controllo di tutta la nostra struttura.

La scelta della password è molto importante.

Come ti sarai accorto quasi tutti i sistemi di autenticazione, al momento dell’iscrizione, offrono un suggeritore di password e anche la valutazione a seconda che questa sia “facile, media o sicura”.

Segui i suggerimenti e punta ad averla più sicura possibile.

Utilizza diversi caratteri, numerielementi di punteggiatura, caratteri speciali ed una lunghezza di almeno 12 caratteri, per rendere più difficile possibile la vita agli attacchi brute force.

Gli elementi da evitare assolutamente sono:

  • Qualsiasi riferimento all’attività stessa – se il sito si chiama fiorirossi.it, allora non usare ne fiori, ne rossi o riferimenti vari. Lo so, forse è un suggerimento sotto inteso, ma essendomi capitati più casi simili è meglio specificare.
  • Nomi di persona, città o animale – ricercare nei profili social informazioni circa parenti, amici o passioni è assai semplice, pertanto non legare la tua password a nessuno di questi elementi.
  • Date e numeri – non utilizzare date di nascita, ricorrenze, anniversari ecc…

Come avrai capito la presenza di elementi casuali è la cosa migliore.

Non ci scordiamo che, di pari passo con la password, c’è anche il nome utente del tuo amministratore. Non usare mai “admin” e, anche in questo caso, usare nomi di “fantasia” viene in aiuto.

Meno riferimenti dai e meglio è.

Buona norma è avere l’account di amministratore che utilizzi solo quando esegui operazioni che richiedono questo livello di sicurezza.

Non utilizzare questo utente per la normale gestione del sito, come la scrittura dei contenuti, articoli, rispondere ai commenti ecc… Questo perché, nella maggior parte dei temi, esporrebbe il nome utente dell’admin direttamente sul sito.

Quindi per normale scrittura e gestione dei contenuti, crea uno o più utenti e impostali come Editori (o anche ruoli minori). Starai anche più tranquillo perché sai che, utilizzando questi account, avrai meno possibilità di fare errori di distrazione.

Per quanto riguarda gli accessi, se il tuo sito raccoglie degli iscritti, assicurati bene dei permessi e delle azioni che i tuoi utenti possono compiere.

Un plugin per poter accedere ed usufruire del sito come un tuo utente è User Switching.

Una volta che lo hai installato, se vai nel profilo di un tuo iscritto, trovi il link “Cambia in“. Se lo premi sarai autenticato come questo utente.

Per ritornare amministratore, trovi in fondo alla pagina un link “Ritorna a…”.

Aggiornamenti

La prima regola per avere un sito WordPress meno a rischio è quella di mantenerlo sempre aggiornato.

Alla fine, concettualmente, WordPress non differisce dal tuo sistema operativo. Quante volte ti vengono richiesti gli aggiornamenti di Windows piuttosto che di OSX se usi il Mac?

Ricorda che, nel momento in cui viene trovata una nuova modalità per penetrare un sito, vengono lasciati a briglia sciolta i robot che fanno la scansione della rete in cerca di vittime.

Lo stesso concetto, oltre che per il core di WordPress, vale per i plugin e temi.

Plugin per la sicurezza di WordPress

Sucuri vs Wordfence

Plugin che si occupano di sicurezza ce ne sono molti. Le loro funzionalità sono in parte gratuite ed altre a pagamento.

Trovarne uno che faccia proprio tutto e anche gratuitamente non è possibile.

È per quello che ti indicheremo due strade differenti.

Partiamo con la prima, quella consigliata soprattuto se il tuo sito rappresenta un valore, economico o emotivo.

Se hai intenzione di investire del budget, non ci sono dubbi. Il servizio migliore che puoi trovare per proteggere il tuo sito “chiavi in mano” è dato dalla Sucuri.

A questa non si affidano solo privati o piccoli siti, anzi. I loro servizi sono utilizzati anche dalle aziende di hosting.

Si occuperanno i loro tecnici di tutte le attività che abbiamo visto e potrai dormire sonni tranquilli.

Non dovrai installare nulla sul tuo sito WordPress, poiché il lavoro verrà effettuato direttamente sulla loro piattaforma.

Questo logicamente è un vantaggio poiché il tuo server e il tuo sito non essendo appesantiti da ulteriore lavoro, rimarranno performanti e veloci.

Anche il loro firewall, che è il prodotto per cui sono diventati famosi nel mondo, è esterno al sito.

Questo farà da scudo a tutti i tipi di attacco e, respingendo le potenziali richieste dannose, farà arrivare sul tuo server solo quelle genuine.

Inoltre migliorerà ulteriormente la velocità del tuo sito, in quanto il loro firewall è dotato di un sistema di caching.

24h su 24 avrai a disposizione i loro tecnici, che sono pronti a rispondere a qualsiasi domanda o  a risolvere qualsiasi problema.

Inoltre, se ti affiderai alla Sucuri, qualora dovesse succedere qualcosa, non ti dovrai occupare di nulla:  penseranno loro a sistemarti il sito.

Pensando al solo costo orario di un esperto in sicurezza informatica, la cifra che chiedono per prendersi cura di te e avere a disposizione un consulente, per tutto l’anno, è un affare.

È per questo che anche noi di Webipedia abbiamo deciso di “assicurarci” e proteggere il nostro sito tramite i loro servizi.

Se invece preferisci il fai da te allora puoi installare Wordfence, uno dei plugin (in parte gratuito) più utilizzati dagli utenti di WordPress.

Essendo questo articolo molto lungo, abbiamo deciso di suddividere la parte “operativa” dei plugin in due differenti articoli.

Come proteggere il tuo sito tramite Sucuri
Dove ti mostriamo il processo di acquisto, la loro piattaforma, strumenti ecc…

Come proteggere il tuo sito tramite Wordfence
Dove ti mostriamo l’installazione e la configurazione base di questo plugin.

Se hai scelto la via del fai date tramite Wordfence, una volta effettuato il processo descritto nel articolo che trovi qui sopra, procedi pure fino alla fine di questo articolo.

Se invece hai scelto di affidare la sicurezza del tuo sito WordPress alla Sucuri, non devi fare più nulla, poiché se un attacco ti dovesse compromettere il sito, saranno i loro tecnici ad intervenire.

Cosa fare se il tuo sito WordPress è stato hackerato

Il consiglio migliore che possiamo darti, se il tuo sito è fonte di reddito e ti accorgi che la situazione potrebbe essere grave, è quello di affidarti a dei professionisti specializzati in questo settore.

Puoi affidarti sempre alla Sucuri o ad altri professionisti del settore che conosci.

Detto questo la prima cosa da fare è sicuramente “stare calmi”.

I problemi, come abbiamo visto, possono essere diversi:

  • Hai dei link sulle pagine che non hai inserito?
  • Il tuo sito viene etichettato da Google come infetto e non riesci più a visualizzarlo?
  • Il sistema di scansione ha rilevato possibili anomalie, ecc…?

Se è Google ad avvisarti della rilevazione di malware o spam, allora il problema è certo e devi prontamente metterti all’opera.

File compromessi

Se invece ti viene dato un avviso dal plugin di scansione, allora prima di pensare ad un vero attacco, cerca di capire meglio se non sia un falso positivo:

  • Quale file ti è stato segnalato?
  • Lo conosci?
  • Non lo conosci?
  • Fa parte del tema? Di un plugin?
  • Se provi ad aprirlo con un editor di testo vedi del codice strano?
  • Cosa dicono le indicazioni dello scanner riguardo a questo file?

Ricordati che essendo molti di questi attacchi noti, fare delle ricerche in rete provando differenti parole chiave (nome file, plugin, tema posizione o quant’altro), risulta sempre utile.

Inoltre se il file si trova all’interno di un plugin o di un tema, puoi sempre inviare una richiesta di supporto agli sviluppatori. Sono loro i primi a volere che i loro prodotti non siano possibili vittime di attacchi.

Infine puoi provare a rimuovere i file infetti manualmente.

Se i file si trovano all’interno di temi o plugin non attivati (chi non lascia plugin disattivati nel proprio sito), allora procedi alla cancellazione fisica delle cartelle che li contengono.

Meno file inutili sono presenti, meno posti ci sono dove inserire del codice infetto.

Se invece i file sono quelli originali di WordPress, plugin o temi, puoi sostituirli con file nuovi scaricati dalla repository di WordPress o dal sito dove hai fatto l’acquisto.

Fatto questo procedi con una nuova scansione e valutane i risultati.

Accesso al sito compromesso

Se sei nella situazione in cui è stato Google ad avvisarti o gli utenti non possono proprio navigare nel sito ricevendo bollino rosso, allora vai subito nel pannello di amministrazione e verifica di poter eseguira l’accesso.

Se si, allora cambia la password dell’amministratore così come quelle degli altri punti di accesso alla tua attività, quindi FTP, cPanel ecc…

È la prima cosa da fare perché in questo modo cerchiamo di bloccare immediatamente l’accesso senza dare la possibilità di fare ulteriori danni.

Contatta anche l’assistenza della tua azienda di hosting. Quando accade un evento di questo tipo, anche loro vogliono una repentina risoluzione.

Pensare di utilizzare un backup

Se il problema persiste e non riesci a liberarti dagli avvisi, il passo successivo è quello del ripristino del sito tramite backup.

Devi sapere però, che la prima cosa che fanno gli hacker quando ne hanno la possibilità, è quella di caricare sul server una backdoor.

Tramite una backdoor, la prossima volta che devono fare l’accesso alla macchina, non passano dal normale sistema di autenticazione, ma hanno la possibilità di accesso inosservato tramite questa “porta sul retro”.

Cosa significa questo? Significa che se fai il ripristino con un backup utilizzando una copia del sito già infettato, allora il tuo progetto non sarà guarito.

Pertanto se presupponi una data in cui il tuo sito era sicuramente “pulito”, puoi pensare all’utilizzo di questo backup, sapendo che perderai tutti i dati recenti, come articoli, commenti e, nel caso di un eCommerce , anche gli ordini registrati.

Fatto il ripristino, ripeti ancora una volta la scansione del sito per verificare di avere debellato il virus.

Poi entra nuovamente nel admin e comincia a verificarne le diverse funzionalità.

Una delle prime cose è verificare gli amministratori del sito. Accertati che non ce ne siano di nuovi.

Dopo il ripristino del backup, cambia nuovamente tutte le tue password di WordPress e del database perché con il ripristino hai riabilitato quelle vecchie.

Scarica il file wp-config.php e aggiorna la nuova password del database.

Sempre nel wp-config.php aggiorna anche le Chiavi Univoche di Autenticazione.

Il cambiamento di queste chiavi forzerà tutti gli utenti a fare nuovamente il login, così nel caso l’indesiderato fosse ancora autenticato nel tuo sito dalla sessione precedente dovrà fare nuovamente il login (ma tu hai già cambiato la password).

Dopo avere sistemato il tutto, se l’avvertimento ti era arrivato dalla Search Console, allora entra nella sezione inerente alla sicurezza e chiedi di essere riconsiderato.

Ecco la guida ufficiale di Google circa l’argomento.

Conclusioni

Siamo arrivati alla fine di questo articolo sulla sicurezza.

Logicamente il nostro obbiettivo non era quello di renderti un esperto in sicurezza informatica, anche perché è una delle materie più complesse di questo ramo.

Sicuramente però, se di questo argomento non ti eri mai interessato, ora hai della conoscenza per poterti muovere e migliorare il livello di sicurezza del tuo sito WordPress.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *