Nel nostro articolo precedente, abbiamo cominciato a delineare una guida alla sicurezza per WooCommerce. In particolare, abbiamo esaminato la vulnerabilità del plugin WPS Hide Login per WordPress che ha rivelato la pagina di login nascosta, compromettendo la funzione del plugin e mettendo a rischio milioni di siti web.
Per comprendere come proteggere efficacemente WooCommerce, è fondamentale capire quali sono i fattori che possono minacciare la nostra sicurezza su WordPress. Di seguito, troverai un elenco di potenziali minacce:
- Backdoors
- Attacchi Denial of Service (DoS)
- Cross-site Scripting (XSS)
- Malicious Redirects
- Tentativi di Brute-force Login
- Pharma Hack
- Phishing
Leggi anche: Guida aggiornata alla sicurezza di Woocommerce
Backdoors:
Questi sono i punti vulnerabili non convenzionali che gli hacker cercano sempre, può essere attraverso uno dei file vulnerabili all’interno del tuo core pack di WordPress, file di temi o plugin, accesso FTP da un computer non protetto fatto in passato, ecc. È una delle fonti principali degli attacchi di hacking. I malicious files assomigliano a uno dei file legittimi di WordPress.
Si possono utilizzare i file Backdoors per sfruttare in più modi, tra cui la creazione di utenti Wp o utilizzare il WP illegittimamente per rubare i dati degli utenti.
Uno dei modi per evitare questi attacchi è quello di mantenere i file aggiornati e la scansione regolarmente utilizzando plugin come WordFence, SiteCheck o Sucuri.
Denial of Service:
ni disponibili. Gli hacker possono identificare i file obsoleti e iniettare codici per visualizzare annunci farmaceutici ai vostri visitatori, in modo più predominante sul Viagra o altri farmaci illegittimi.
Quando i visitatori visitano il tuo sito web o qualsiasi pagina particolare sul tuo sito web, verranno mostrate pubblicità farmaceutiche all’interno della pagina o come pop-up. Questo porterà il tuo sito web e il tuo business a perdere la fiducia dei visitatori.
Phishing:
È uno degli attacchi più conosciuti perché è tra i metodi più comuni adottati dagli hacker per rubare le password dei visitatori. Questo viene fatto di solito attraverso un’e-mail, che sembra provenire da una fonte affidabile, ma ovviamente non lo è. Include un link, cliccandolo si espongono gli utenti agli hacker.
Gli hacker possono usare il tuo server e WP Installation per inviare email malevole alla lista di email delle loro vittime. È difficile identificare se il tuo sito web è infettato da script di phishing. Anche se può essere evitato con scansioni regolari.
Linkware è la SEO agency specializzata nella sicurezza di siti web e ecommerce realizzati con WooCommerce
I clienti di Linkware sparsi in tutta Italia hanno scelto la nostra web agency con sede a Torino perché sanno che siamo particolarmente attenti alla sicurezza informatica e cerchiamo di rendere i siti web ed ecommerce creati con WooCommerce i più sicuri possibili ed è per questo che in questo nostro secondo articolo abbiamo deciso di fare chiarezza su quali siano le maggiori vulnerabilità di WordPress.
Ora vi sveliamo la nostra strategia e il nostro modus operandi che attuiamo quando vogliamo mettere in sicurezza WooCommerce.
Trovare un hosting WordPress sicuro, affidabile e fidato
La basa dalla quale partire è sempre la stessa: scegliere un fornitore di hosting che sia molto attento alla sicurezza, e segua un alto standard di misure di sicurezza e abbia un buon sistema di supporto ma che soprattutto:
- Tiene d’occhio le attività sospette degli hacker e ha dei punti di controllo per proteggersi da qualsiasi tipo di attacco.
- Utilizza strumenti all’avanguardia per identificare i piccoli come i grandi attacchi, attraverso il monitoraggio continuo del server.
- Ha tutti gli script (comprese le ultime versioni di PHP), il software e l’hardware utilizzati basati sulle ultime tecnologie e frequentemente aggiornati.
- Usa firewall e sistemi di rilevamento delle intrusioni.
- Mantiene backup regolari e fornisce opzioni di backup e ripristino facili e automatiche.
- Scansiona tutti i file contro malware, ransomware e altri virus.
- Fornisce supporto HTTPS.
- Offre piani di hosting WordPress gestiti, appositamente realizzati per le esigenze di WooCommerce.
- Scansioni giornaliere di malware
- Configurazione del server con firewall
- Protezione DDOS
- Sicurezza del server ottimizzata e prestazioni per WordPress e WooCommerce
- Impostazioni dei permessi dei file con un solo clic.
- HTTPS/SSL gratuito per ogni sito web
- Aggiornamento di temi e file direttamente dalla dashboard
Mantenere l’ultima versione di PHP sul server
Tutti i tuoi file WordPress sono sviluppati utilizzando codici PHP, ed è il fondamento del tuo sito web WooCommerce, quindi è ovvio mantenere le tue fondamenta forti. Quindi è importante utilizzare solo l’ultima versione di PHP.
Le versioni PHP sono supportate fino a 2 anni contro i problemi di sicurezza. Durante questo periodo di tempo, tutte le patch di sicurezza necessarie sono fornite dagli sviluppatori. Dopo di che diventa obsoleto. La versione più attuale di PHP è la 8.1.0 (25 novembre 2021) che è ottimizzata per una migliore velocità e molto più sicura delle versioni precedenti.
Effettuare frequenti backup
È sempre consigliabile fare frequenti backup dei file del tuo sito WooCommerce e del database.
Mantenere i backup fuori dal server è un approccio migliore in quanto i file sono al sicuro in caso di qualsiasi incidente spiacevole sul server.
Negli anni abbiamo testato WP Time Capsule, un plugin di backup intelligente, che esegue il backup solo quando ci sono cambiamenti nel file o nel database, i così detti backup incrementali. Questo fa risparmiare tempo, spazio e risorse.
Cosa aspetti! Contattaci subito se vuoi una consulenza sulla sicurezza del tuo ecommerce WooCommerce o se hai bisogno di metterlo in sicurezza.
