Le basi di sicurezza di Web site di WordPress

Basics of WordPress Site Security

WordPress è la piattaforma di pubblicazione più popolare al mondo. Esso copre oltre il 24% di tutti i siti web in tutto il mondo. WordPress è anche open source. Ciò significa che il codice che viene eseguito WordPress è visibile a tutti. Perché gestisce tanti siti, è diventato un bersaglio per gli hacker che vogliono controllare o infettare i siti web.

Pensare in questo modo: se sei un hacker e vuole infettare il maggior numero di siti web, si può provare a trovare un buco di sicurezza nel software individuo in esecuzione su ciascun sito, o può essere un software di sicurezza buco più utilizzato da siti web e infettare tutti. Se un hacker riesce a trovare un buco di sicurezza in WordPress stesso, o un tema popolare o plugin utilizza WordPress, che permette loro di infettare molto rapidamente un gran numero di siti che utilizzano attacchi automatizzati.

Per questo motivo, trovare un buco di sicurezza “zero day” WordPress è ricercato dai pirati, in quanto ciò potrebbe portare alla capacità di controllare un gran numero di siti web. La vulnerabilità è una vulnerabilità zero-day che il fornitore del software aveva “zero giorni” per riparare perché sanno il problema. Questo è il miglior tipo di buco di sicurezza per un attaccante perché chi gestisce la versione più recente di un particolare software è garantito per avere il difetto nessuna soluzione disponibile.

sito web Attaccanti

In generale, ci sono tre entità che attaccano i siti web WordPress:
(1) Gli esseri umani: una persona seduta a una tastiera di sondaggio e attaccare un sito manualmente.
(2) Un pulsante: Questo è un singolo programma o script che l’hacker utilizzato per attaccare molti siti automatizzati automatizzato.
(3) Botnet: è un gruppo di macchine che eseguono programmi sono coordinate da “comando e controllo” del server centrale (C & C server) che attaccano automaticamente molti siti.

umana in avanti

Avere un individuo umano attaccare il vostro sito manualmente è rara. A tutti noi piace pensare che siamo speciale e che il nostro sito è abbastanza interessante per qualcuno a darci il tipo di individuo attenzione che meritano. La verità è che una piccola percentuale di siti web sono mirati individualmente e ancora meno che un essere umano vivo che sta cercando di rompere.

Tuttavia, se siete affetti da una persona, il livello di sofisticazione di attacco è molto più importante rispetto a quando si rimanda da un robot. Un attaccante umano è in grado di controllare la velocità con cui raccogliere le informazioni sul tuo sito, al fine di evitare di innescare qualsiasi rilevamento delle intrusioni. Allora si può provare alcuni attacchi facendo attenzione a non mettere in guardia e sistemi che proteggono il vostro sito. Vedono i risultati di ogni individuo intento e possono prendere decisioni su come procedere in base a questi risultati.

La maggior parte degli attacchi coinvolgono molto importanti che vivono siti bersaglio umani, tra cui appaltatori della difesa, i siti che contengono dati personali sensibili e quelli che sono economicamente redditizi per attaccare.

bot e botnet

I robot sono programmi scritti da parte di hacker che attaccano un gran numero di siti web per le vulnerabilità del software conosciuto come WordPress. E ‘relativamente facile scrivere un programma di visitare centinaia di migliaia di siti web controllare velocemente se si esegue una versione di WordPress con un noto la sicurezza buco e, una volta trovato, per introdursi nel sito sfruttando questa falla di sicurezza .

I robot possono essere un singolo programma in esecuzione su una singola macchina o di un gran numero di macchine che eseguono diverse versioni del programma, durante il tentativo di tagliare un gran numero di siti in parallelo – chiamato anche “botnet”.

La stragrande maggioranza degli attacchi su siti web WordPress sono fatto da robot. La buona notizia è che questi attacchi non sono così sofisticati come gli attacchi umani sono anche più aggressivi. Questo li rende più facili da individuare. La cattiva notizia è che se una vulnerabilità zero-day emerge WordPress o il tema o di un integratore noto, può essere azionato in modo estremamente rapido attraverso questi tipi di attacchi automatizzati che portano a un gran numero di siti web che sono in pericolo.

La maggior parte degli attacchi sono fatto da robot o macchine automatiche. Perché i robot sono veloce ed efficiente di attaccare un gran numero di siti, è molto importante chiudere buchi di sicurezza noti nel vostro sito WordPress più rapidamente possibile.

Perché stanno attaccando il mio sito WordPress?

L’obiettivo di un utente malintenzionato di assumere il controllo del livello amministrativo sito WordPress. Questo significa che possono leggere tutti i file e dati nel database in atto. Significa, inoltre, è possibile modificare i file, apportare modifiche al database e cambiare il modo in cui le opere del sito web e dei contenuti che serve. Vogliono fare per uno dei seguenti motivi:

(1) Al fine di inviare spam: per inviare spam dal tuo sito web. Gli hacker possono eseguire script nel vostro sito che inviano i loro obiettivi ancora una volta a controllare il vostro sito.

(2) Per ospitare contenuti malevoli e di evitare i filtri: gli hacker pirata possono usare il loro sito web per ospitare contenuti come la pornografia, la vendita illegale di farmaci o altri contenuti di spam. contenuto nocivo ospitare una zona che ha una cattiva reputazione non aiuta a prevenire lo spam e altri filtri on-line.

(3) Per rubare i dati dal tuo sito web per accedere e raccogliere dati sul suo sito web: compresi i nomi e gli indirizzi dei propri clienti e degli utenti. Rubare migliaia di indirizzi e-mail per i membri del tuo sito web offre nuovi obiettivi per gli hacker per inviare messaggi indesiderati e dannosi. Si può anche avere altre informazioni importanti, come ad esempio il personale delle informazioni personali che possono essere utili nel furto di identità e altre attività dannose.

(4) Spamvertize: Per utilizzare il sito Web per reindirizzare il traffico a un altro sito maligno o spam. Compreso il proprio sito web elenca queste email di spam nella cartella di posta indesiderata se il sito è conosciuto come dannoso. Per includere il tuo indirizzo web nella spamming invece email di evitare i filtri antispam. Poi, quando un utente fa clic sul link di spam al tuo sito, vengono reindirizzati a un sito web malevolo. ‘Spamvertizing si chiama.

(5) Al fine di attaccare altri siti: Una volta che il sito è stato compromesso, un hacker può utilizzare il sito web per eseguire script che si impadroniscono attacco bot altrove. Il tuo sito web può essere parte di un gruppo di macchine chiamata “botnet”, un folto gruppo di macchine utilizzate per attività dannose sciolti.

Una volta che il sito è stato compromesso, è molto probabile che sia utilizzata per attività dannose. Questo ha un’alta probabilità di rovinare la reputazione del vostro sito. Sarà penalizzato nella classifica dei motori di ricerca e può essere bloccato dal browser Chrome e filtri elenco Navigazione sicura di Google. Per questo motivo, è importante rilevare la pirateria presto e risolvere il problema rapidamente.

Quali caratteristiche che li rendono vulnerabili siti WordPress?

Attualmente, WordPress gestisce circa il 17 per cento di tutti i siti. La sua popolarità lo rende un obiettivo primario per il malware perché il suo campo di applicazione è la possibilità di avere un impatto significativo una volta che la vulnerabilità è identificato. Web di malware è aumentato di circa il 140 per cento negli ultimi due anni, ed è improbabile che scompaiono rapidamente. gli utenti di WordPress possono prendere molteplici e semplici misure per aumentare la sicurezza del sito durante la configurazione iniziale.

Molti utenti di WordPress hanno l’idea sbagliata che la parte più difficile della costruzione di un sito web completamente funzionale è quello di trovare buoni sviluppatori, e non è richiesta nessuna ulteriore azione. Per la maggior parte, avrebbe potuto essere vero quando la piattaforma ha acquisito notorietà nel 2007. Oggi, gli utenti dovrebbero prendere provvedimenti contro il malware. Ad essere sinceri, non c’è quasi niente di peggio per il branding e PR che la scoperta improvvisato un sito web WordPress invia annunci per le parti del corpo in espansione.

siti WordPress non sono intrinsecamente vulnerabili. Tuttavia, la popolarità associati con i plugin obsoleti e temi può aumentare la vulnerabilità, spesso dal momento in cui viene creato un sito.

versioni obsolete di WordPress

Uno dei maggiori problemi è la versione non aggiornata di WordPress. aggiornamenti WordPress sono stati progettati per affrontare varie vulnerabilità in CMS. Tuttavia, le vulnerabilità di base sono raramente un problema. Gli utenti possono facilmente installare le patch di sicurezza aggiornando siti WordPress piuttosto che ignorare il messaggio dicendo. Dopo tutto, WordPress non ha alcun incentivo per incoraggiare gli utenti ad aggiornare i siti web per i calci. Gli utenti con una conoscenza limitata del web design e la manutenzione non sono gli unici che ignorano i messaggi. In realtà, un alta corte ha recentemente riportato sul sito Reuters, che è stato in esecuzione una vecchia versione di WordPress.

Temi e widget obsoleti o dannosi

WordPress ha recentemente trovato circa l’80 per cento dei temi gratuiti codifica Base64, che può essere utilizzato per scopi dannosi. I temi e widget offerti da WordPress sono il più sicuro possibile. Dopo tutto, WordPress non mette in pericolo la sicurezza e l’integrità dei siti ospitati su CMS. Inoltre, WordPress ha ora più di 20.000 i plugin di varia qualità. Alcuni sono obsoleti, e altri hanno vulnerabilità specifiche crittografati. Altri siti WordPress temi e plugin sono generalmente rischioso.

e un facile accesso per popolarità

Circa 700 milioni di siti web utilizzando WordPress maggio 2014. Una volta che un hacker può trovare una vulnerabilità in un sito WordPress, è possibile eseguire la scansione di altri siti per una vulnerabilità simile. L’opportunità di lanciare un attacco su larga scala con il minimo sforzo è attraente. Gli attacchi contro siti WordPress possono essere sorprendentemente rudimentale. Nei primi mesi del 2013, molti attacchi brute force hanno utilizzato il nome utente “admin” e una combinazione di alcuni dei server più popolari al fine di accedere alle password, e gli hacker sono stati sorprendentemente efficace accesso a molti siti.

In breve, una varietà di fattori semplici li rendono vulnerabili siti WordPress. E ‘praticamente impossibile ridurre la popolarità di CMS. Tuttavia, gli utenti finali possono fare molti passi per creare siti WordPress sicuri.

Learn how to secure your WordPress Website

Cinque semplici modi per rafforzare la sicurezza del sito web WordPress

E ‘importante iniziare con le migliori pratiche di base. Assumere uno sviluppatore di una società rispettabile piuttosto che uno sviluppatore indipendente di basso costo, e di essere a conoscenza delle piccole cose che gli utenti finali hanno in genere circa.

1. Trovare un fornitore di web hosting affidabile

le vulnerabilità di alloggio rappresentano una percentuale significativa di siti WordPress pirata. Selezionare un web hosting provider con una buona reputazione e una buona storia. Pagare un po ‘di più per una soluzione di hosting affidabile invece di selezionare subito l’opzione più economica e più conveniente. Ecco un paio di società di web hosting che suggeriamo. Questi offrono servizi di hosting di qualità con un ottimo tempo di operatività e sono affidabili e sicuri. Questi includono Bluehost, iPage e Dreamhost. Fare riferimento alle seguenti pagine di coupon per questi host web prima di acquistare l’hosting da parte loro – Bluehost Discount Code 2017 e iPage Discount Code.

2. Utilizzare password complesse e modificarli in base alle esigenze

Circa l’8% dei siti WordPress violati sono stati tagliati in parte a causa di password errate. Fai la tua difficile da indovinare, utilizzare password speciale caratteri. Inoltre, gli utenti finali dovrebbero modificare le password, se necessario. Si raccomanda agli utenti di cambiare le loro password dopo un nuovo sviluppatore lavora sul sito o dopo un lavoratore dipendente con accesso al sito è concluso il suo rapporto con la società che è associato con il sito. fortemente che diverse password vengono utilizzati per un sito WordPress e l’indirizzo email ad esso associato è anche raccomandato. Creazione e gestione delle password può sembrare semplice, ma migliori pratiche sono facilmente trascurato.

3. Utilizzare un nome utente univoco e nasconderlo nella URL dell’autore del contenitore

Utilizzare un nome utente univoco che non è così evidente come “ospite” o “admin”. “Admin” è stato il nome utente standard per WordPress siti web fino alla versione 3.0 è stato rilasciato, e molti utenti hanno mantenuto il nome utente “admin”. Cambiarlo con la creazione di un nuovo account amministratore e quindi eliminare l’account “admin” di origine. Inoltre, per nascondere il nome utente nella barra degli indirizzi. Gli hacker possono vedere i nomi utente nella URL delle pagine di archivio autore a causa di un difetto in WordPress. Modificare la voce nella tabella wp_users user_nicename per nascondere il vero nome dell’utente.

4. tentativi di connessione limite

Rimozione della password è una minaccia reale. In sostanza, un robot, o anche un essere umano può fare diversi tentativi di indovinare le combinazioni di login / password fino a quando il vostro sono corrette. Essi non possono avere successo 10-20 tentativi. Ma se una password viene utilizzata al centro della località, 100 tentativo 000i può avere successo.

limite di connessioni di tentativi di scoraggiare gli attacchi di forza bruta. Questo non è un modo sicuro per prevenire gli attacchi, soprattutto quando gli hacker hanno accesso a migliaia di indirizzi IP. Tuttavia, si tratta di una misura semplice che può potenzialmente aiutare.

5. Disabilitare la modifica dei file dal cruscotto

Proibire la modifica dei file direttamente dal cruscotto. In genere, gli hacker vogliono trovare siti che sono facili bersagli.

Questo metodo non è sicuro ed è fortemente raccomandato che tutti gli utenti di mantenere regolarmente siti record WordPress consigliato. L’importanza di backup e licenziamenti non può essere sottovalutata. Una varietà di accessori per la sicurezza può scoraggiare alcuni tipi di attacchi, ma gli attacchi ancora può accadere. Inoltre, WordPress plugin pianificazione archiviazione automatica e il backup sono disponibili. La fonte principale di vulnerabilità è spesso l’utente finale.

6. Utilizzare un account editore per il contenuto del lavoro

Utilizzando l’account amministratore principale per il montaggio / modifica (o quando si lavora con i contenuti in generale) può essere rischioso. Soprattutto se Wi-Fi viene utilizzato nel caffè o qualcosa del genere.

Invece, creare un account editore di contenuti per qualsiasi lavoro che fate. Anche in questo caso, effettuare la connessione non è evidente.

7. Fissare la propria macchina

Oltre a proteggere il vostro sito, anche si deve prendere cura dei computer utilizzati per accedere al sito. Ci sono tutti i tipi di virus in circolazione. Da keylogger semplici di prestare particolare attenzione alle combinazioni di tasti, e quindi provare a ricreare il nome utente e la password di indirizzare i robot FTP basati sulla ricerca di connessioni aperte FTP e scaricare un inciso direttamente nel file di vostro server.

8. Regolarmente aggiornare WordPress

Aggiornamento WordPress è una di quelle cose che tutti sanno che dovrebbero fare, ma sempre finiscono per dimenticare. Lasciate che vi dica perché è fatto cruciale.

Un resoconto dettagliato delle modifiche è accanto ad ogni nuova versione di WordPress. Questo registro delle modifiche, ogni errore corretto appare. In altre parole, si tratta di un manuale per gli hacker che vogliono colpire le vecchie versioni di WordPress.

Quanto è grave questa? Beh, l’anno scorso, gli utenti di WordPress ha annunciato che tutte le versioni precedenti alla 3.9.2 sono vulnerabili ai tagli cross-site scripting. Circa l’86% di tutti i siti WordPress erano vulnerabili in questo momento.

E un po ‘più di recente, ragazzi Sucuri rilevato una campagna di malware in corso.

Fortunatamente per noi, la soluzione è molto semplice maggior parte del tempo … per abilitare gli aggiornamenti automatici per il tuo sito WordPress, o sempre eseguire un aggiornamento manuale non appena una notifica.

9. Aggiornare regolarmente plugin

Per quanto riguarda i cambiamenti, non solo per WordPress da aggiornare. E ‘lo stesso per i plugin che si usa. E le conseguenze possono essere molto gravi se trascurata.

aggiornare sempre il plugin dalla comparsa di una notifica. E ‘solo che non so quando una nuova vulnerabilità viene scoperta e poi corretto da un aggiornamento successivo. Se si perde il segno, si potrebbe dare criminali abbastanza tempo per attaccare il sito con successo.

10. Backup regolarmente il vostro sito

Certamente i backup non salveranno il tuo sito venga violato. Tuttavia, essi sono assolutamente obbligatorio avere nel caso le cose si divertono. I backup non hanno prezzo. Se si dispone di un backup recente del vostro sito, è possibile riportarla al suo stato normale, non importa ciò che potrebbe accadere.

Due dei migliori modi per fare questo:

• Attraverso un plugin gratuito – WordPress Backup per Dropbox – ci vogliono i vostri file e database del contenuto e memorizzati nel tuo account Dropbox. Tutto è il pilota automatico una volta al giorno.

• Attraverso VaultPress – una soluzione ricca di funzionalità (a pagamento, a partire da $ 99 all’anno).

11. La scelta del miglior fornitore di web hosting si può permettere

Proprio davanti a me, devo essere onesto con te stesso e ammettere che gli host a buon mercato non sono molto buone. Non risparmiare i soldi del piano server. Sempre andare per il miglior servizio di web hosting che ti puoi permettere.

Alcune linee guida di qualità:
Mediatemple
Go Daddy – Ecco la migliore Promotional Code for Godaddy
HostPapa
SiteGround – Guarda questo ultimo Siteground Hosting Coupon

12. Scarica plugin e temi da fonti note

vulnerabilità accidentali, chiamiamo in questo modo, non sono l’unica cosa che può mordere. Ci sono anche le vulnerabilità intenzionali.

Ad esempio, se un tappo una fonte di ombra, che potrebbe includere un codice sorgente progettato specificamente per dirottare il vostro sito si ottiene. In questo caso, ottenendo il plugin è in realtà incidere il proprio sito.

Lo stesso vale per le questioni. Se creare un blog o creare un sito web con WordPress, noi, abbiamo plugin e problemi familiari.

Come trovare i plugin e problemi di qualità? I primi luoghi da visitare sono la directory tema ufficiale e plugin WordPress.org. Download non contengono codice dannoso intenzionalmente.

Per quanto riguarda i temi e plugin premium, è necessario soddisfare la reputazione del venditore. ThemeForest e CodeCanyon sono generalmente sicuri a causa del processo di revisione approfondita e completa per ogni nuovo argomento e il tema plug-in qui.

13. Rimuovere i plugin che non usate

Non si sa mai cosa ci si aspetta nei loro supplementi. A volte si incontrano le vulnerabilità di sicurezza di base, a volte qualcosa di più serio.

In ogni caso, per salvare qualche problema in più, basta eliminare tutti i plugin inutilizzati. Essa non ridurrà tenere inattiva. Ricordate che la fonte di questi file plugin sono ancora sul server. Quindi, creare una nuova abitudine, piuttosto che semplicemente disabilitare il plugin non utilizzare questo tempo, rimuoverlo completamente.

14. Ridurre il numero totale di plugin

Oltre a ottenere i plugin solo da fonti attendibili e rivelando noto, e la rimozione di plugin che non utilizzano, si può anche ridurre il numero totale di plugin installati. E non mi riferisco ad eliminare le cose a caso e perdere una buona funzionalità.

Invece, provare a utilizzare i plugin che sostituiscono altri plugin per la sua funzionalità.

15. Utilizzare un connettore di sicurezza

plugin di sicurezza sono fondamentalmente ciò che suggerisce il loro nome sono … Attraverso vari metodi, aiutare il vostro blog WordPress per mantenere al sicuro. Questo è solitamente fatto attraverso la banca dati immagini, protezione firewall, dei file e il controllo di autorizzazione di un altro valore.

La sicurezza più popolare add-on:
Sucuri Security,
proiettili di sicurezza,
AntiVirus,
WP Acunetix Sicurezza
la sicurezza Wordfence.
Wordfence

La cosa buona di loro è che molto spesso stanno lavorando con il pilota automatico, in modo che non necessariamente capire cosa sta succedendo sotto il cofano.

16. Proteggi il tuo sito web contro gli attacchi di forza bruta

attacchi di forza bruta sono diverse specie di animali. In sostanza, se qualcuno vuole fare un pasticcio sul tuo sito web, hanno due percorsi possibili:

* Attacco chirurgico – accuratamente per una vulnerabilità, quindi esaminare con precisione laser
* L’attacco di forza bruta – stanno cercando di indovinare la password più volte fino ad arrivare, il che significa che spesso milioni di test on-line.

Il modo migliore per proteggere questo è stato un plugin chiamato BruteProtect. Ma da agosto 2014, che è stato integrato in BruteProtect Jetpack.

17. utilizzando CloudFlare

CloudFlare è un molto misterioso per me la soluzione. E questo è misteriosa che non è il fatto che è molto efficace a ciò che fa, ma la maggior parte delle chicche sono disponibili.

In breve, CloudFlare funziona tutto il traffico al tuo sito attraverso un server di rete. Questi server consentono solo le persone genuine che vogliono leggere il contenuto e rovesciare qualsiasi sospetto. Controllare le pagine “caratteristiche” per ottenere una migliore comprensione.

18. minacce Monitor

Malware è un termine generico che si riferisce a varie forme di software intrusivo, tra sequenze di comandi dannosi sul web – cose che possono attaccare il vostro blog WordPress. E ciò che è triste è che non troverete che ha il malware fino a quando è fondamentalmente troppo tardi e il danno è fatto. Oh, e Google ha già lasciato il ranking del mio sito in quel momento.

Il modo migliore per proteggersi da un simile problema è l’uso di una soluzione che analizza il vostro sito web WordPress e costantemente consente di sapere quando qualcosa di strano sta succedendo.

19. Fare un problema di controllo

Quando si sta per cambiare argomento o di avere un tema per un nuovo sito, per prima cosa un soggetto di prova con il plugin. Riceverai una notifica se il problema continua tutti i più recenti standard di WordPress e raccomandazioni pratiche. Questo è un ottimo modo per conoscere se gli sviluppatori sapevano davvero quello che stavano facendo.

20. pingbacks ei riferimenti blocco

La regolazione del valore di pingbacks di distanza, un altro chiodo nella bara è che pingbacks possono essere usati per attacchi DDoS. Considerare la disabilitazione pingbacks sul tuo sito. Questo può essere fatto in Impostazioni> Discussione. Semplicemente deselezionare questa casella:

E ‘allarmante di ignorare le prove evidenti. Investire in sicurezza del sito Web WordPress investendo in una configurazione di sicurezza e la manutenzione ottimale. Spesso vulnerabilità apparentemente piccoli o irrilevanti si combinano per formare un sito web WordPress che presenta notevoli problemi di sicurezza. Prendetevi il tempo per modificare le password, sito di backup dei dati e installare gli aggiornamenti. Quasi certamente sarà più redditizio per la realizzazione di iniziative improvvisate limitare i danni.