Come proteggere un sito WordPress dagli hacker, gratis

Per quanto piccolo o poco frequentato, qualsiasi sito è oggetto di attacchi da parte di hacker. In questo articolo provo a darti qualche elemento per permetterti di proteggere un sito WordPress o, quantomeno, per sensibilizzarti sul tema.

Gli hacker

Spesso quando sentiamo parlare di hacker, l’immaginazione va a stanze buie, piene di computer, con i quali uno o più ragazzi attaccano le grandi potenze o multinazionali (se abbiamo una visione romantica di questo ruolo) o cercano di truffare i cittadini digitali.

Designed by vectorpouch / Freepik

Qualsiasi visione, sia così estrema che una qualunque sfumatura tra le due immagini che ti ho dato, può essere vera. Ci sono due punti però che vorrei che ti fissassi bene in mente:

  1. Un hacker non è solo una persona in carne ed ossa. Ormai e sempre più spesso, si utilizzano dei cosiddetti “bot” cioè dei software che automatizzano gli attacchi
  2. I server delle grandi multinazionali possono certamente essere interessanti per gli hacker, così come possono esserlo i computer degli utenti. Ma, come ti sto per spiegare, anche i server di piccole aziende (di qualsiasi dimensione) sono altrettanto interessanti

Il mio sito è sempre sotto attacco!

Il mio sito, sì, omarventuri.it, quello sul quale ti trovi ora, è sempre sotto attacco. Non sono nemmeno un’azienda, ma un freelance con un sito web che gira su un server da qualche parte nella rete. Eppure… eppure anche il mio sito è interessante per gli hacker.

Come lo so?

Beh, guarda qui, questi sono solo alcuni dei tentativi di attacco (falliti per mia fortuna), che ho registrato nel mese di Gennaio 2020.

Si tratta di 9 tentativi di accedere al mio sito. Non si tratta nemmeno di attacchi di tipo “bruteforce”, quel tipo di attacco nel quale si provano diverse password per accedere.

Degli attacchi bruteforce te ne ho già parlato in questo video: “Sito in sicurezza contro gli attacchi bruteforce con loginizer“. Questi sono semplici tentativi di accesso utilizzando lo username predefinito “admin”.

Ecco perchè, una prima semplice protezione, consiste nel modificare il nome dell’utente admin, che è il nome predefinito.

Come proteggere il sito?

Nel video che ti ho già segnalato ti parlavo di Loginizer, un plugin di Wordpess (se non sai cos’è un plugin te lo spiego qui) molto semplice e immediato, che permette appunto di proteggersi dagli attacchi bruteforce.

Qui ti presento un secondo plugin: Wordfence.

Wordfence è un plugin freemium, disponibile cioè con una versione gratuita ed una – più completa – a pagamento, che puoi installare in alternativa a Loginizer.

Wordfence infatti, è in grado di proteggere il tuo sito dagli attacchi Bruteforce, ma anche da tante altre tipologie.

Già nella versione gratuita (che puoi scaricare da qui) questo plugin di WordPress ti offre un firewall ed uno scanner.

Il firewall è il componente che controlla il traffico in entrata e in uscita dal tuo sito, accertandosi che non ci siano comportamenti anomali.

Lo scanner è il componente che analizza tutti i file che sono presenti sul tuo server alla ricerca di virus o altri file “malevoli”. Ma non solo, controlla anche le versioni di tutti i plugin che hai installato (nonché dello stesso WordPress) e ti avvisa quando è disponibile una versione più aggiornata.

Utilissimo, poichè il mancato aggiornamento di un plugin (e quindi la potenziale mancata correzione di un bug noto), lascia aperta una porta ad un possibile attacco.

Ed è lo stesso Wordfence che ci segnala il numero di attacchi, a livello globale, che ha registrato… a dimostrazione che gli hacker sono sempre operativi.

Perchè anche i siti più piccoli?

Potresti chiederti, ma perchè attaccare siti piccoli?

I motivi sono diversi, ma fondamentalmente, volendo semplificare la risposta, si tratta di acquisire potenza di calcolo.

Un singolo sito web, in esecuzione probabilmente su un piccolo server, magari condiviso con decine di altri siti, non è certo un bottino che può sembrare interessante.

Ma pensa in grande.

Migliaia… milioni di piccoli siti web, controllati da un solo hacker, possono fare molto.

Sono in grado ad esempio di mandare in tilt i server più grandi. Che ne so, voglio attaccare Amazon? Faccio partire decine di richieste al secondo, da milioni di computer sparsi per il mondo, tutte nello stesso momento e… Amazon smette di funzionare.

Oppure potrei utilizzare tutti questi server, semplicemente per far effettuare loro dei calcoli, per generare crypto monete (tipo BitCoin per intenderci). In questo caso tu potresti quasi non accorgerti di quello che accade, mentre l’hacker potrebbe guadagnare senza il costo dell’energia elettrica.

Sono solo due esempi del perchè anche un singolo, piccolo, insignificante sito (rispetto ovviamente a siti molto più grandi e complessi, appartenenti a grosse aziende) possa interessare agli hacker.

E ricorda, quando ricevi un attacco, nel 99,9% dei casi (ok, questa è una di quelle percentuali “farlocche” che servono solo a farti capire il concetto, chiaro?), il tuo server non è l’obiettivo specifico. Non è un attacco mirato. Non c’è una persona dall’altra parte del mondo che sta cercando di entrare sul tuo specifico sito.

Si tratta più che altro di provare contemporaneamente su diversi siti per trovarne qualcuno senza un aggiornamento, con una falla nota da sfruttare per poter “entrare”. Si tratta di programmare dei “bot” ad andare alla ricerca di queste falle; in automatico.

Ed uno dei primi attacchi che vengono effettuati è quello del login. Mi collego alla pagina wp-admin del tuo sito e provo con le credenziali username=”admin” e password=”password”.

E se sono quelle giuste, vittoria. Il sito diventa dell’hacker.

La protezione a due fattori

A proposito di password e di tentativi di accesso, un modo per rendere più sicuro il tuo sito anche nel caso in cui dovessero rubarti le credenziali di accesso è quello di attivare la protezione a due fattori.

Si tratta sostanzialmente di aggiungere un secondo livello di protezione: il primo consiste nell’inserimento di username e password. Se queste vengono riconosciute dal sistema, allora si passa al secondo livello dove viene richiesto di inserire un codice che si aggiorna frequentemente secondo un algoritmo sicuro.

Funziona come gli accessi ai portali dell’home banking, quando le banche ti davano (te le danno ancora?) quelle chiavette che cambiavano codice dopo 15 secondi circa.

Ecco, la chiavetta non serve più. Basta scaricare un software OTP (One Time Password), come ad esempio Google Authenticator, LastPass Authenticator o Microsoft Authenticator.

L’app di Google Authenticator

Attivando l’opzione su Wordfence, a video compare un QRCode. Dopo aver avviato il software OTP sul proprio smartphone, basta inquadrare il QRCode di Wordfence e il gioco è fatto.

Dopo aver inserito le credenziali corrette, il tuo sito ti chiederà anche di inserire il codice – valido per pochi secondi – che compare sul tuo smartphone. Naturalmente, dopo averlo inserito, puoi anche stabilire che il dispositivo che stai usando (ad esempio il tuo computer) è un dispositivo sicuro e pertanto per un po’ il codice temporaneo non verrà più richiesto.

Così facendo, se anche qualcuno dovesse entrare in possesso delle tue credenziali, non potrebbe comunque entrare perché non avrebbe il secondo codice.

Conclusioni

Spero ti sia chiaro ora che qualunque sito, server e computer può interessare ad un hacker. Nessuno è esente.

Fortunatamente, poiché non rappresentiamo un obiettivo speciale, poiché non c’è un interesse specifico ad entrare sul nostro server, è relativamente facile anche proteggersi.

Non essendo nella “lista dei desideri” degli hacker, se un primo (e magari un secondo) attacco va male, non conviene proseguire e si passa ad un altro obiettivo.

Ecco alcune semplici azioni che puoi fare per proteggere il tuo sito wordpress:

  1. Utilizza password complesse: password o pa$$w0rd NON sono combinazione complesse… questa può essere considerata una password complessa “G-?DJrR+e$g+42mE” (ecco un generatore di password)
  2. Cambia il nome predefinito dell’utente amministratore. Admin non è una buona scelta
  3. Installa gli aggiornamenti di WordPress e dei plugin
  4. Proteggi il tuo sito con uno strumento come Wordfence
  5. Abilita la protezione a due fattori

Inviami eventuali domande, condividi l’articolo con qualcuno a cui pensi possa interessare e linkalo nel tuo blog se ne hai uno.