4 modi per proteggere il tuo accesso a WordPress

Gli hacker non devono essere subdoli o sofisticati per ottenere ciò che vogliono. Spesso entrano semplicemente dalla porta principale. L'utilizzo degli strumenti giusti può essere d'aiuto, ma c'è di più che puoi fare per proteggere il tuo sito web e rendere sicuro l'accesso a WordPress .

In questo rapporto di Nathan Finch di Aussie Hosting , hanno esaminato e confrontato diverse società di hosting in base alle loro prestazioni. Hanno scoperto che le aziende con più tempi di inattività avevano anche server con scarsa manutenzione che aumentavano il rischio di problemi di sicurezza.

È stato segnalato che Google inserisce nella blacklist circa 70.000 siti Web a settimana per problemi di sicurezza dell'accesso a WordPress come malware e phishing. La tua prima linea di difesa contro le infiltrazioni è proteggere il tuo accesso a WordPress. Questa forma di controllo degli accessi sembra un gioco da ragazzi, ma rimarrai sorpreso dalla frequenza con cui le misure di sicurezza più semplici vengono trascurate o messe nel dimenticatoio.

Indipendentemente dalle funzionalità di sicurezza offerte dal tuo servizio di hosting sul back-end, in qualità di proprietario di un sito Web, la responsabilità si ferma a te.

– Fonte: Wordfence

Cosa rende vulnerabili gli accessi a WordPress?

La popolarità di WordPress è ciò che lo rende un obiettivo facile e attraente. Ma cosa rende la piattaforma vulnerabile ad attacchi ed exploit?

Per prima cosa, gli hacker fanno molte ricognizioni prima di craccare un sistema. Sanno che alcune versioni di WP hanno più vulnerabilità di altre e la piattaforma è in circolazione da abbastanza tempo da consentire ai professionisti di sapere cosa sono. Il numero di versione si trova nelle tue pagine web e nel tuo URL, a meno che tu non lo rimuova.

La visualizzazione della tua directory fornisce anche molte informazioni utili, come il tipo di plugin e temi che hai installato. Poiché funziona con la codifica open source, lasciare plug-in inutilizzati o non supportati nella directory, anche se disabilitati, è un modo semplice per gli hacker di accedere al tuo codice. Una volta all'interno, possono lanciare exploit, modificare la codifica, dirottare sessioni o bloccarti fuori dal tuo sito web.

Gli hacker possono controllare l'indicizzazione della directory sfogliando le posizioni delle cartelle e verificando una risposta "Indice di" come questa:

/wp-content/

/wp-content/plugins/

/wp-content/temi/

/caricamenti/

/immagini/

Possono cercare plugin vulnerabili nella tua directory attraverso una ricerca attiva utilizzando strumenti di scripting o una ricerca passiva con normali richieste HTML. Ciò si ottiene esaminando il codice sorgente HTML e cercando i plug-in installati tramite fogli di stile CSS, commenti e collegamenti JS.

Un altro modo in cui gli hacker accedono ai siti Web di WordPress è attraverso l'enumerazione degli utenti . Questo è un semplice preludio a un attacco di forza bruta che implica la scoperta di nomi utente e l'individuazione delle loro password tramite un attacco con dizionario o il tentativo di accedere tramite meccanismi predefiniti. Ad esempio, gli utenti possono essere scoperti iterando i loro ID e aggiungendoli all'URL in questo modo:

wordpressexample.com/?author=1

wordpressexample.com/?author=2

wordpressexample.com/?author=3

Se funziona, l'ID di accesso verrà rivelato tramite un reindirizzamento 303.

Uno strumento chiamato WPScan utilizzato per i test di vulnerabilità può vagliare centinaia di possibili password in meno di un minuto. È stato in grado di restituire il seguente output da un tema economico in pochi secondi:

 ruby wpscan.rb -u 192.241.xx.x68 --threads 20 --wordlist 500worst.txt --username testadmin

********* SNIP ******************

[+] Avvio della password brute force

Forzatura bruta dell'utente 'testadmin' con 500 password... Completato al 100%.
[+] Finito a Thu Jul 18 03:39:02 2013
[+] Tempo trascorso: 00:01:16

4 modi per proteggere il tuo accesso a WordPress

Fortunatamente, lo sviluppatore WP e la comunità degli utenti sono diligenti quando si tratta di fornire supporto. Per questo motivo, ci sono strumenti disponibili gratuitamente e best practice che puoi apprendere e implementare per mantenere sicuro il tuo sito web.

Ecco quattro tecniche che puoi implementare per migliorare la sicurezza dell'accesso a WordPress.

1. Rimuovere il numero di versione di WP

Poiché gli hacker di solito cercano prima il numero di versione durante il controllo delle vulnerabilità, questa è la prima cosa che dovresti cambiare quando configuri il tuo sito web. Questo dovrebbe essere fatto in modo tale che venga rimosso da pagine, URL e meta tag senza rimuovere l'hook dell'intestazione o altri metodi non validi che vengono propagandati su Internet.

Il modo migliore per rimuovere il numero di versione di WP è aggiungere questo bit di codice al file functions.php :

Per rimuovere dall'intestazione:

 remove_action('wp_head', 'wp_generator');

Per rimuovere dal feed RSS:

 funzione remove_version_info() {
Restituzione '';
}
add_filter('the_generator', 'remove_version_info');

Per rimuovere il numero di versione da script e stili:

 funzione remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
$src = remove_query_arg( 'ver', $src );
restituisce $origine;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js',9999);
add_filter( 'script_loader_src', 'remove_version_from_style_js',9999);

Non importa quando installi WP, dovresti sempre mantenere il tuo WordPress aggiornato all'ultima versione non appena viene rilasciato. Lo stesso vale per plugin e temi.

Per saperne di più: gli aggiornamenti sono fondamentali per la sicurezza di WordPress !

2. Cambia il tuo URL di accesso

L'indirizzo di accesso predefinito per gli amministratori di WP è yourwebsite.com/wp-admin ed è qualcosa che conoscono quasi tutti coloro che hanno familiarità con la piattaforma. Tutto ciò che serve è aggiungere /wp-login.php dopo il nome di dominio e ci sei. Una semplice modifica all'URL è tutto ciò che serve per impedire agli hacker di indovinare la tua pagina di accesso.

Puoi utilizzare un plugin come iThemes Security per farlo in modo efficace.

3. Riduci il numero di tentativi di accesso

Un'altra funzione predefinita di WP imperfetta è consentire tentativi di accesso illimitati. Ciò consente attacchi con dizionario e altre tecniche di indovinare la password. Il plug-in iThemes Security ha una funzione che blocca il tuo sito web dopo un determinato numero di tentativi di accesso non riusciti e ti invia un avviso.

Se desideri solo la funzione di logout di accesso, puoi installare un plugin chiamato Limit Login Attempts Reloaded e andare nelle sue impostazioni per configurare il numero di accessi consentiti.

4. Limitare l'accesso e utilizzare l'autenticazione a due fattori

A questo punto, dovresti sapere di scegliere una password sicura utilizzando un plug-in di autenticazione a due fattori. Il prossimo passo per limitare l'accesso è limitare il numero di persone che hanno accesso al funzionamento interno del tuo sito web. Terzo, usa l'autenticazione a 2 fattori che utilizza una combinazione di password e chiave crittografata per accedere.

Pensieri finali!

Sebbene queste precauzioni di sicurezza e misure preventive spiegate in questo post non proteggeranno il tuo sito al 100%, forniranno un'enorme misura di sicurezza.

È importante ricordare che hacker e terze parti dannose cercano le backdoor più semplici nel tuo sito web. La maggior parte delle volte vengono utilizzate soluzioni automatizzate per trovare queste backdoor.

Proteggere il tuo login WP mantiene quelle porte chiuse e assicura che l'unica persona ad avere accesso al tuo sito sia te stesso.

Disclaimer: questo è un guest post fornito da Nathan Goldfinch di AussieHosting .