WordPress è diventato uno degli Open Source CMS (Content Management System) più diffuso nel web, utile sia alla realizzazione di blogs che di siti internet più complessi. Questa popolarità lo rende tuttavia un facile obiettivo di pirati informatici. Stando ad alcune statistiche, recentemente pubblicate su wpwhitesecurity.com, solo nel 2012 più di 170.000 siti web realizzati in WordPress sono stati hackerati e questo numero è di sicuro destinato a salire!
Se osserviamo altre statistiche condotte tra il 12 e il 15 di settembre 2013, solo un giorno dopo il rilascio di WordPress 3.6.1 che correggeva diverse vulnerabilità, il quadro della situazione è a dir poco allarmante! L’analisi compiuta su 42.106 siti web realizzati in WordPress dimostra che:
- 74 diverse versioni di WordPress identificate
- 11 di queste sono verisoni non valide. Ad esempio versione 6.6.6
- 18 siti web usavano una versione di WordPress non esistente o non valida
- 769 pari al (1.82%) dei siti web utilizzavano ancora una verisone di WordPress 2.0.
- Solo 7,814 pari al (18.55%) dei siti web erano stati aggiornati a WordPress 3.6.1.
- 1,785 siti web erano stati aggiornati alla verisone 3.6.1 tra il 12 e il 15 di Settembre
- 13,034 pari al (30.95%) dei siti web utilizzavano ancora la versione vulnerabile 3.6 di WordPress
Da questi dati si evince chiaramente che almeno 30.823 installazioni di WordPress su 42.106 erano vulnerabili, il che significa che il 73.2% dei siti web analizzati era potenzialmente soggetto ad attacchi di tipo infomatico.
Il 41% dei siti web era stato compromesso dal lato server. Questo significa che gli hacker hanno sfuttato delle vulnerabilità causata da una cattiva configurazione del server da parte dell’hosting provider.
Il 29% era stato hakerato sfuttando delle vulnerabiltà dei temi di WordPress che si stavano utilizzando al momento.
Il 22% a causa di vulnerabilità dei pluign installati.
l’8% a causa di password troppo smeplici o non sicure.
Come fanno gli Haker a bucare WordPress
Dopo aver letto e analizzato i dati di sopra, vediamo come fanno i pirati informatici ad ottenre le informazioni necessarie per bucare i siti relaizzati in WordPress. Tramite WPScan è possibile scansionare un sito web relaizzato in WordPress e quindi identificare facilmente gli errori di configurazione, in paricolare è pssibile risalire a:
- Quale versione di WordPress si sta utilizzando
- Quale tema è installato, la sua versione la directory dove questo è archiviato
- Quali plugins sono installati, la loro verisone e la directory dove questi sono archiviati
E’ inoltre possibile andare più in profondità identificando il numero di utenti registrati nel sito rendendo più facile il lancio di un attaco del tipo Password Brute Force Attack. Per capire meglio cosa è possibile fare con WPScan e come trarne vantaggio vi consiglio di guardare il seguente video, tratto dal forum di Antonis Manaras.
Come proteggere WordPress dagli hacker
Qualche giorno fa scrissi un articolo con alcuni consigli su come rendere WordPress più sicuro e presto spero di scriverne degli altri. Da quando detto sopra si evince come sia facile bucare un sito web realizzato in WordPress, tuttavia è altrettanto facile predere dei piccoli accorgimenti per rendere la vita più difficile ai pirati informatici.
- Prima di scegliere o cambiare hosting informatevi ed eseguite delle ricerche sui forum e leggete i commenti di altri utenti.
- Prima di installare un tema o un plugin (vi consiglio di usare meno plugin possibile) di WordPress assicuratevi che lo sviluppatore rilasci continui aggiornamenti e miglioramenti.
- Rimuovi o rinomina l’utente admin di default.
- Utilizza una password complessa. Con questo si intende una password di almeno 8 caratteri, non deve essere una parola presente nel dizionario o il nome del vostro cane, deve contenre lettere maiuscole e nimuscole, numeri e caratteri speciali quali !,&, ?
- Tieni WordPress i plugins e i temi aggiornati utilizzando el ultimissime verisoni ufficiali.
- Monitora l’attività sul tuo sito web.
Il tema delal sicurezza di WordPress è un processo senza fine. Tieniti sempre aggiornato sulle ultime tecniche di sicurezza e cerca gradualmente di implementarle nel tuo blog! Voi che accorgimenti prendete per proteggervi dia pirati informatici? Condividete pure le vostre esperienze.
Lascia un commento