Joomla e WordPress sono fantastici CMS ma sono spesso l'obiettivo di malware ed infezioni, con questo articolo voglio indicarti 5 procedure di sicurezza essenziali per proteggere il tuo sito web.
La sicurezza di un sito web è un argomento estremamente importante e spesso sotto valutato, ogni giorno almeno 30000 siti vengono infettati creando problemi più o meno gravi sia a proprietari che agli utenti.
Immagina solo per un attimo cosa potrebbe succedere se un malintenzionato riuscisse ad infiltrarsi nel tuo sito, potrebbe mettere a rischio i vostri dati personali o peggio quelli sensibili, potrebbe danneggiare la reputazione del tuo brand e ancor peggio, potrebbe creare danno ai tuoi clienti rubando dati di carte di credito o sistemi di pagamento.
Non è una situazione desiderabile, giusto?
CMS come WordPress, Joomla o altri sono il bersaglio preferito dei web hacker e potrebbero subire diversi tipi di attacchi.
Ecco alcuni esempi comuni di tentativi di infezione di un sito web:
-
Attacchi Brute Force: gli aggressori tentano di indovinare la password dell'amministratore attraverso la prova di numerose combinazioni fino a trovare quella corretta.
-
SQL Injection: vengono sfruttate le vulnerabilità presenti nel sistema di gestione del database per inserire comandi dannosi nel sito web, compromettendo così i dati o consentendo l'accesso non autorizzato.
-
Cross-Site Scripting (XSS): Questo attacco consiste nell'inserire codice malievolo all'interno di pagine web visualizzate da altri utenti, al fine di rubare informazioni sensibili o assumere il controllo del sito.
-
Cross-Site Request Forgery (CSRF): gli aggressori inducono gli utenti a compiere azioni non desiderate senza il loro consenso, ad esempio, potrebbero convincere gli utenti a fare clic su un link che compie un'azione dannosa nel loro account.
-
Infiltrazioni di file: tramite le vulnerabilità nelle estensioni o nei file del CMS, vengono caricati file dannosi sul server, consentendo loro di eseguire codice malevolo o compromettere il sito.
-
Defacement: In un attacco di defacement, gli aggressori modificano l'aspetto del sito web, sostituendo il contenuto con messaggi o immagini indesiderate.
-
DDoS (Distributed Denial of Service): gli aggressori cercano di sovraccaricare il server del sito web inviando un'enorme quantità di richieste, rendendo il sito inaccessibile agli utenti.
Le motivazioni per cui vengono effettuate queste violazioni sono:
- Rubare dati personali o sensibili
- Distribuzione di malware, compromettendo un sito potrebbero distribuire virus, spyware o latri tipi di malware agli utenti del sito.
- Spam e pishing, i siti compromessi possono essere sfruttati per inviare spam o creare pagine di phishing, tramite queste tattiche possono ingannare gli utenti e ottenere informazioni personali o finanziarie, come password, numeri di carta di credito o dettagli di accesso a servizi online.
- Guadagno finanziario: viene sfruttare il sito web compromesso per scopi inserire annunci pubblicitari non autorizzati o dirottare il traffico del sito verso altre pagine al fine di generare entrate pubblicitarie illegittime.
Tutti i CMS sono suscettibili ad attacchi, chi più chi meno in base alla diffusione, alla bontà della programmazione sia del core del CMS che dei plugin, template ed in generale delle estensioni utilizzate.
Wordpress è il CMS più diffuso ma anche più attaccato, generalmente vengono prese di mira falle nei plugin, ad esempio a fine Aprile 2023 Advanced Custom Fields, un plugin molto popolare ed utilizzato ha messo a rischio circa 2 milioni di siti per una vulnerabilità presente per versioni inferiori sino alla 6.1.6.
Gli sviluppatore di ACF hanno prontamente rilasciato una nuova versione per correggere la vulnerabilità, ma molti siti non sono stati aggiornati e probabilmente sono vulnerabili ancora oggi.
Anche Joomla e gli altri CMS sono vulnerabili anche se in maniera minore rispetto a Wordpress.
Dopo questa premessa veniamo al "sodo" per cui ecco:
Le 6 best practice di sicurezza per proteggere il tuo sito:
- Mantenere i CMS e le estensioni aggiornate: le nuove versioni spesso contengono correzioni di sicurezza che mitigano le vulnerabilità note, troppi siti hanno versioni estremamente vecchie sia del CMS che delle estensioni, è estremamente importante controllare regolarmente la disponibilità di nuove versioni.
- Utilizzare temi e plugin affidabili: è estremamente importante acquistare o scaricare temi e plugin solo da fonti affidabili come i repository ufficiali o sviluppatori di fiducia, leggendo attentamente le recensioni degli utenti e verificare l'aggiornamento regolare dei temi e dei plugin prima della scelta. Non utilizzare temi e plugin nulled per risparmiare qualche euro.
- Impostare password robuste: utilizza password complesse soprattutto per gli account di amministratore utilizzando una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali. Non utilizzare combo come Admin/admin per nome utente e password.
- Proteggere il pannello di amministrazione: utilizza l'autenticazione a due fattori, se disponibile, in questo modo potrai impedire l'accesso non autorizzato anche se la password viene compromessa.
- Backup Backup Bakcup: esegui regolari backup completi del sito web sia dei file che del database e conservali in un luogo sicuro e offline. Ricorda di eliminare i file di backup dal server dopo averli scaricati.
- Scegli un buon hosting: Il servizio di hosting dovrebbe fornire un ambiente sicuro e ben configurato per ospitare il tuo sito web, dovrebbe avere misure di sicurezza come firewall, protezione contro attacchi DDoS e sistemi di rilevamento delle intrusioni. Dovrebbe inoltre garantire la tempestiva applicazione di aggiornamenti e patch di sicurezza per il sistema operativo e il software di server. Ciò contribuisce a ridurre le vulnerabilità e a proteggere il tuo sito da attacchi noti.
Questi 6 consigli sono le operazioni minime per rendere più difficile la vità a chi vorrebbe "bucare" il tuo sito, ovviamente non sono la soluzione definitiva, altre variabili potrebbero renderlo vulnerabile ad attacchi.
Oppure potresti avere il sito già infettato da parecchio tempo e non te ne sei mai accorto, ma di colpo hai individuato dei problemi.
In questi casi la soluzione è una sola, rivolgersi ad un servizio professionale per la rimozione del problema e la messa in sicurezza del tuo sito.
La "bonifica fai da te" non funziona quasi mai, in alcuni casi anche il ri pristino dei backup potrebbe non bastare.
Se ti trovi nella situazione di dover utilizzare un servizio professionale, ti consiglio caldamente i ragazzi di BimoSoft.
Ho inziato da qualche mese una collaborazione con loro, io stesso li utilizzo in quei casi (rari) in cui la situazione sia talmente difficile da non riuscire da solo a sanarla e devo dire mi trovo molto bene.
Sono dei professionisti che lavorano in ambito della sicurezza informatica da 20 anni, hanno fondato una piccola software house verso metà del 2022 e, fra le altre cose, hanno avviato un servizio dedicato alla rimozione di virus e malware dai siti web.
Ho potuto saggiare con mano la professionalità dei servizi che svolgono dato che mi hanno affidato la realizzazione della landing page dedicata.
Abbiamo passato diverso tempo fianco a fianco, tempo durante il quale ho visto dal vivo come lavorano ed i risultati ottenuti, per cui mi sento di consigliarli ad occhi chiusi.
Se ti affiderai a loro risolveranno sicuramente il problema che affligge il tuo sito.
I CMS cosa sono e a cosa servono
Guida: come effettuare un backup manuale del tuo sito Joomla o WordPress
Guida: Recupero della password di accesso di Joomla
Backup di Wordpress semplice e veloce con Akeeba Backup
Guida: aggiornare Joomla a 3.5 su Aruba
Guida: Resettare la password di accesso di WordPress
