Nel nostro precedente articolo abbiamo iniziato a scrivere la nostra guida alla sicurezza WooCommerce e nello specifico siamo partiti dalla vulnerabilità del plugin WPS Hide Login WordPress che ha pubblicato la pagina di login nascosta, annullando lo scopo del plugin e mettendo a rischio milioni di siti web.
Per capire come rendere sicuro WoooCommerce è importante capire quali tipi di fattori minacciano la nostra sicurezza WordPress, ecco un elenco di minacce:
· Backdoors
· Attacchi Denial of Service (DoS)
· Cross-site Scripting (XSS)
· Malicious Redirects
· Tentativi di Brute-force Login
· Pharma Hack
· Phishing
Leggi anche: Guida aggiornata alla sicurezza di Woocommerce
Backdoors:
Questi sono i punti vulnerabili non convenzionali che gli hacker cercano sempre, può essere attraverso uno dei file vulnerabili all’interno del tuo core pack di WordPress, file di temi o plugin, accesso FTP da un computer non protetto fatto in passato, ecc. È una delle fonti principali degli attacchi di hacking. I malicious files assomigliano a uno dei file legittimi di WordPress.
Si possono utilizzare i file Backdoors per sfruttare in più modi, tra cui la creazione di utenti Wp o utilizzare il WP illegittimamente per rubare i dati degli utenti.
Uno dei modi per evitare questi attacchi è quello di mantenere i file aggiornati e la scansione regolarmente utilizzando plugin come WordFence, SiteCheck o Sucuri.
Denial of Service:
È importante utilizzare temi e plugin di sviluppatori certificati in modo che il loro codice non abbia bug vulnerabili. In questo tipo di attacco, gli hacker utilizzano questi punti deboli nel codice per aumentare l’utilizzo della RAM del server facendo richieste ricorrenti, il che fa sì che il sito web smetta di rispondere agli altri visitatori. Si utilizzano più sistemi per occupare una singola risorsa che fa sì che il sito web smetta di rispondere.
Questo può portare a enormi perdite di business, in quanto il sito web potrebbe non essere disponibile per l’accesso ai visitatori effettivamente destinati e ai potenziali clienti.
Cross-site Scripting (XSS):
Utilizzando queste tecniche gli hacker entrano nei browser dei visitatori del sito web e rubano i loro dati, che possono includere importanti password. Questo viene fatto attraverso l’iniezione di file vulnerabili nella installazione di WordPress. Si trova prevalentemente nei plugin sviluppati da sviluppatori nuovi o non certificati.
Gli attacchi XSS sono comunemente eseguiti attraverso JavaScript e CSS. Utilizzando gli attacchi XSS gli hacker possono danneggiare i visitatori del sito web che includono il furto di cookie, l’inserimento di trojan, il keylogging, il phishing e il furto di identità, senza che essi si rendano conto della perdita.
Malicious Redirect:
Gli hacker possono reindirizzare i visitatori del tuo sito web ad altri siti, iniettando un codice di reindirizzamento in uno dei tuoi file, più comunemente il file .htaccess.
Quando i visitatori cercano di accedere al tuo sito web o a qualsiasi pagina particolare sul tuo sito web, saranno reindirizzati a un sito web dannoso. Questo porterà a perdere la fiducia nel tuo business.
Tentativi di Brute-force Login:
Gli hacker utilizzano script automatizzati per identificare le password deboli e accedere alla dashboard di WooCommerce.
Gli hacker possono utilizzare l’attacco brute-force per acquisire l’accesso al backend di un sito web, e rubare dati personali e aziendali vitali, possono cancellare i file del sito web e metterlo fuori uso. La brute-force è un approccio che richiede tempo per gli hacker. Può essere facilmente evitato attraverso il potenziamento del login di WooCommerce utilizzando metodi come il limitare i tentativi di login, utilizzando Captcha sulle schermate di login e login con autenticazione a due fattori.
Questo è importante per la sicurezza WooCommerce del tuo sito web ma delle Best Practices nel parleremo nel prossimo articolo.
Pharma Hacks:
È importante mantenere i file del core di WordPress, i file del tema e i file dei plugin aggiornati alle ultime versioni disponibili. Gli hacker possono identificare i file obsoleti e iniettare codici per visualizzare annunci farmaceutici ai vostri visitatori, in modo più predominante sul Viagra o altri farmaci illegittimi.
Quando i visitatori visitano il tuo sito web o qualsiasi pagina particolare sul tuo sito web, verranno mostrate pubblicità farmaceutiche all’interno della pagina o come pop-up. Questo porterà il tuo sito web e il tuo business a perdere la fiducia dei visitatori.
Phishing:
È uno degli attacchi più conosciuti perché è tra i metodi più comuni adottati dagli hacker per rubare le password dei visitatori. Questo viene fatto di solito attraverso un’e-mail, che sembra provenire da una fonte affidabile, ma ovviamente non lo è. Include un link, cliccandolo si espongono gli utenti agli hacker.
Gli hacker possono usare il tuo server e WP Installation per inviare email malevole alla lista di email delle loro vittime. È difficile identificare se il tuo sito web è infettato da script di phishing. Anche se può essere evitato con scansioni regolari.
Linkware è la SEO agency specializzata nella sicurezza di siti web e ecommerce realizzati con WooCommerce
I clienti di Linkware sparsi in tutta Italia hanno scelto la nostra web agency con sede a Torino perché sanno che siamo particolarmente attenti alla sicurezza informatica e cerchiamo di rendere i siti web ed ecommerce creati con WooCommerce i più sicuri possibili ed è per questo che in questo nostro secondo articolo abbiamo deciso di fare chiarezza su quali siano le maggiori vulnerabilità di WordPress.
Ora vi sveliamo la nostra strategia e il nostro modus operandi che attuiamo quando vogliamo mettere in sicurezza WooCommerce.
Trovare un hosting WordPress sicuro, affidabile e fidato
La basa dalla quale partire è sempre la stessa: scegliere un fornitore di hosting che sia molto attento alla sicurezza, e segua un alto standard di misure di sicurezza e abbia un buon sistema di supporto ma che soprattutto:
- Tiene d’occhio le attività sospette degli hacker e ha dei punti di controllo per proteggersi da qualsiasi tipo di attacco.
- Utilizza strumenti all’avanguardia per identificare i piccoli come i grandi attacchi, attraverso il monitoraggio continuo del server.
- Ha tutti gli script (comprese le ultime versioni di PHP), il software e l’hardware utilizzati basati sulle ultime tecnologie e frequentemente aggiornati.
- Usa firewall e sistemi di rilevamento delle intrusioni.
- Mantiene backup regolari e fornisce opzioni di backup e ripristino facili e automatiche.
- Scansiona tutti i file contro malware, ransomware e altri virus.
- Fornisce supporto HTTPS.
- Offre piani di hosting WordPress gestiti, appositamente realizzati per le esigenze di WooCommerce.
- Scansioni giornaliere di malware
- Configurazione del server con firewall
- Protezione DDOS
- Sicurezza del server ottimizzata e prestazioni per WordPress e WooCommerce
- Impostazioni dei permessi dei file con un solo clic.
- HTTPS/SSL gratuito per ogni sito web
- Aggiornamento di temi e file direttamente dalla dashboard
Mantenere l'ultima versione di PHP sul server
Tutti i tuoi file WordPress sono sviluppati utilizzando codici PHP, ed è il fondamento del tuo sito web WooCommerce, quindi è ovvio mantenere le tue fondamenta forti. Quindi è importante utilizzare solo l’ultima versione di PHP.
Le versioni PHP sono supportate fino a 2 anni contro i problemi di sicurezza. Durante questo periodo di tempo, tutte le patch di sicurezza necessarie sono fornite dagli sviluppatori. Dopo di che diventa obsoleto. La versione più attuale di PHP è la 8.1.0 (25 novembre 2021) che è ottimizzata per una migliore velocità e molto più sicura delle versioni precedenti.
Effettuare frequenti backup
È sempre consigliabile fare frequenti backup dei file del tuo sito WooCommerce e del database.
Mantenere i backup fuori dal server è un approccio migliore in quanto i file sono al sicuro in caso di qualsiasi incidente spiacevole sul server.
Negli anni abbiamo testato WP Time Capsule, un plugin di backup intelligente, che esegue il backup solo quando ci sono cambiamenti nel file o nel database, i così detti backup incrementali. Questo fa risparmiare tempo, spazio e risorse.
Cosa aspetti! Contattaci subito se vuoi una consulenza sulla sicurezza del tuo ecommerce WooCommerce o se hai bisogno di metterlo in sicurezza.