e-mail sospette dal WordPress Securiry Team: attenzione. Come riportato nell’articolo https://it.wordpress.org/news/2023/12/attenzione-email-truffa-in-cui-tentano-di-impersonare-il-wordpress-security-team/, “il team di sicurezza di WordPress è a conoscenza di numerose truffe di phishing in corso che tentano di identificarsi come il “WordPress team” o il “WordPress Security Team“ al fine di convincere chi amministra il sito a installare un plugin che in realtà contiene un malware”.
Il team di sicurezza di WordPress non vi invierà mai un’email con la richiesta di installare un plugin o un tema sul vostro sito e non vi chiederà mai il nome utente e la password di amministrazione.
Fate sempre attenzione a mittente, testo e verificate sui motori di ricerca se qualcuno ha già ricevuto comunicazioni sospette.
Il malware Balada è tornato. Un pericolo silenzioso e insidioso si è abbattuto su migliaia di siti web WordPress, causando gravi danni e mettendo a rischio la sicurezza dei dati online. Il malware noto come “Balada” è tornato, colpendo siti che utilizzano due dei temi più popolari su WordPress: Newspaper e Newsmag. Questi temi, ampiamente diffusi tra chi si occupa di notizie e piccoli business, sono sfruttati dal malware attraverso una vulnerabilità tracciata come CVE-2023-3169.
Il bug riguarda il plugin tagDiv Composer, utilizzato all’interno di questi due temi, permettendo ai cybercriminali di eseguire attacchi di Stored Cross-Site Scripting (XSS). Attualmente, più di 135.000 utenti si affidano a questi temi e al relativo plugin, mettendosi a rischio di attacchi informatici.
Malware Balada: come funziona
La vulnerabilità nasce da un’autorizzazione mancante nella route REST del plugin e da una scorretta validazione dei parametri in output. Questo concede ad utenti non autenticati la possibilità di sferrare attacchi XSS, iniettando script malevoli che reindirizzano gli utenti verso domini di phishing e truffe online.
Il ricercatore di sicurezza Denis Sinegubko, di Sucuri, ha individuato ben sei modalità attraverso cui il malware Balada si diffonde nei siti WordPress, sospettando ce ne siano molte altre. Queste modalità condividono la presenza di uno script dannoso, con alcune variazioni, all’interno del tag <style id=”tdw-css-placeholder”>.
Il mese di settembre ha visto un’escalation senza precedenti degli attacchi: Sucuri ha rilevato l’injector Balada in più di 17.000 siti, il doppio rispetto al mese di agosto. Il malware si evolve velocemente, adottando nuove tecniche per infiltrarsi e agire inosservato. “Abbiamo individuato injection randomiche e diverse modalità di offuscamento, uso simultaneo di numerosi domini e sottodomini, abuso di CloudFlare e molteplici approcci per attaccare gli amministratori dei siti WordPress infetti”, ha spiegato Sinegubko.
Malware: per la sicurezza dei siti web meglio agire per tempo
La buona notizia è che la vulnerabilità è stata risolta nella versione 4.2 di tagDiv Composer. Tuttavia, considerando l’ampia diffusione del malware, è cruciale agire tempestivamente e aggiornare immediatamente il componente per proteggere il proprio sito.Per garantire la sicurezza del tuo sito web e dei tuoi dati online, è essenziale verificare periodicamente la presenza di vulnerabilità e adottare le misure necessarie. Se necessiti di ulteriori informazioni o supporto professionale, contatta la web agency Glocal Consulting, esperta in sicurezza informatica e pronta ad assisterti nella protezione del tuo prezioso sito web. La tua sicurezza è la nostra priorità.
Proteggi il tuo sito web ora! Contatta Glocal Consulting per consulenza e supporto sulla sicurezza online. La tua sicurezza è la chiave del successo online! Scrivi a info@glocalconsutling.it per avere subito più informazioni o chiama lo 06.56569014.
Seguici sui Social e non perderti tutte le novità più interessanti del mondo digital 👇
Come rendere sicuro WordPress nel 2022: domanda non semplice. La soluzione finale forse c’è, o almeno una serie di best practices da eseguire per evitare attacchi o malfunzionamenti.
La sicurezza e protezione dei siti WordPress è un qualcosa di più articolato ma è una tematica sempre più sentita. WordPress è sicuramente un’ottima piattaforma per il web, usata tra l’altro da brand famosissimi (ed enti) come la Casa Bianca, Sony Music, Mercedes Benz. Essendo un software open-source, WordPress offre vantaggi e svantaggi in fatto di sicurezza. Se da una parte il codice sorgente è controllato costantemente da una comunità di centinaia di sviluppatori attivi nel miglioramento costante del programma, dall’altra bisogna notare che, per natura, lo stesso codice è accessibile a malintenzionati che possono studiarne eventuali debolezze.
WordPress è un CRM e, per i motivi detti sopra (e non solo) è fondamentale curarne al meglio la sicurezza, così da mantenerlo affidabile.
WordPress è sicuro?
Sì, WordPress è effettivamente sicuro. Tuttavia alcuni dati autorevoli sembrano descrivere uno scenario differente. Questi dati di Sucuri affermano che nel 2019 il 94% degli interventi di “pulizia” che hanno svolto riguardavano pagine WordPress. Un tendenza in continua crescita (nel 2018 erano il 90%, nel 2017 l’83%), che coincide con l’aumento della diffusione del CMS.
(fonte Sucuri)
Ma non facciamoci allarmare da tutto questo. In realtà il problema dell’hackeraggio è un qualcosa di comune a tutti i siti web. WordPress, essendo diffuso sul 30% circa dei siti mondiali, è evidentemente a rischio.
Il sistema su cui si basa WordPress (temi grafici e plugin) possono lasciare, se vengono trascurati, porte aperte a chi vuole intrufolarsi malevolmente.
Gli sviluppatori di plugin o temi, infatti, non sono necessariamente esperti di sicurezza e può capitare che siano le vulnerabilità presenti su questo tipo di software a compromettere il sito. In realtà, la maggior parte degli attacchi avviene proprio in questo modo: secondo Patchstack, tra il 95% e il 98% degli attacchi a siti WordPress avviene a causa di vulnerabilità dei plugin.
Proprio per questo consigliamo sempre di mantenere aggiornato il vostro sito WordPress. Non sapete come fare? Beh, potete rivolgervi a noi qui.
I principali pericoli e problematiche su WordPress
Mettere in sicurezza WordPress è un processo che richiede costante applicazione. E’ una “corsa contro il tempo”, che consiste nel sistemare falle, rendere sicuri i siti, mentre i malintenzionati cercano nuove falle.
Fra gli elementi più vulnerabili da tenere a mente quando ci attiviamo per mettere in sicurezza WordPress ricordiamo:
la sessione di autenticazione di WordPress, spesso vittima di attacchi di “forza bruta”;
componenti e plugin realizzati da terze parti;
file temporanei contenenti i dati di accesso al CMS;
script e porzioni di codice PHP vulnerabili, la falla preferita dei malware.
il database SQL, il ‘cuore’ che contiene tutti i dati di WordPress;
archiviazione e gestione dei dati sensibili.
Come mettere in sicurezza WordPress
Come già detto, questa è una risposta articolata. Ci sono soluzioni che riducono di moltissimo però la possibilità che un sito venga attaccato. I backup periodici rappresentano uno dei passaggi importanti per garantirti un sito più sicuro. Qualora il vostro sito subisse un attacco, avete un backup che limiterà tantissimo i danni
Molti servizi di hosting includono servizi di backup per i propri clienti. Al di là di questi, se potete, fatene anche diversi in locale.
Esistono vari plugin, gratis e a pagamento, per automatizzare il processo di backup. Il più utilizzato è Updraft Plus, che può essere programmato per eseguire backup periodici del tuo sito.
Monitora WordPress con un plugin di sicurezza
Consigliamo WordFence, tra l’altro installato in tutti i siti dei nostri clienti. Wordfence rintraccia la presenza di malware attraverso scansioni regolari dei file, bloccare attacchi brute force e rimuovere file infetti nel caso siano presenti.
Aggiorna plugin, temi e componenti di WordPress con regolarità
Molti aggiornamenti non estendono solo funzioni di plugin, ma hanno al proprio interno patch di sicurezza. Attenzione però, prima di aggiornare è sempre utile fare un backup di spazio web e database del sito.
Aggiungi il tuo sito a Google Search Console
Google Search Console è una piattaforma gratuita per monitorare come Google vede il tuo sito e ottimizzare la tua presenza sul motore di ricerca. Questa risorsa permette di rilevare tutti i problemi relativi a navigazione o usabilità che impediscono alle pagine di essere indicizzate, ma non solo.
Usa il protocollo sicuro HTTPS per tutte le comunicazioni
Il protocollo HTTPS è fondamentale per garantire un transito dei dati in sicurezza. Tra l’altro dal 2017 Google penalizza i siti che non utilizzano il protocollo HTTPS. Per passare a HTTPS è necessario ottenere un certificato SSL, ossia un documento digitale rilasciato da un’Autorità Certificativa (CA, Certificate Authority). I siti dei nostri clienti sono provvisti di certificato di sicurezza. Non lo avete ancora sul nostro sito? Contattateci per poterne installare uno.
Proteggi la pagina di login WordPress
La maggior parte delle minacce ai siti WordPress arriva dalla pagina di login: per gli hacker, infatti, penetrare nei siti con credenziali poco sicure è un gioco da ragazzi. Quindi è fondamentale eliminare il termine “admin” come nome utente, e scegliere password complesse (come ad esempio qui).
I tentativi che hanno come obiettivo l’accesso alle pagine di ingresso sono chiamati in gergo tecnico “brute force” (attacchi di forza bruta), e consistono in una serie infinita di tentativi di login con combinazioni casuali di nome e password.
Un’altra possibilità è quella di cambiare l’estensione /wp-admin dei siti per entrare nel pannello di controllo del sito. Questo plugin può essere molto utile.
Per informazioni, consulenza o manutenzione del vostro sito potete scriverci a info@glocalconsulting.it o chiamare (o scrivere via whatsapp) il numero 06.56569014.
Se ti è piaciuto questo contenuto potete sempre consultare un altro articolo come questo e il nostro blog qui
Come proteggere un sito WordPress. Tempo fa avevamo parlato dello stesso argomento in questo articolo. Cosa è cambiato oggi rispetto ad allora? Da una parte molte cose, dall’altra no. Spieghiamo meglio. Quello che conta è avere buone abitudini a livello di sicurezza. WordPress (il suo core nello specifico) è semplice, funzionale, sicuro. Il vanto di wordpress sono sicuramente i migliaia di plugin disponibili e l’ampio supporto della community. Questi stessi plugin però ne rappresentano anche il punto debole se sono “scritti” in maniera non troppo corretta o (peggio) non aggiornati. WordPress ha un proprio core, spesso un tema grafico, ed i plugin. Se non manteniamo tutto questo aggiornato, ci esponiamo a possibili attacchi.
Modi pratici su come proteggere un sito WordPress
Molti siti web offrono a pochi euro abbonamenti con plugin che però non si possono aggiornare regolarmente. Questa è solo una soluzione temporanea, perché dopo poco tempo il nostro sito potrebbe nuovamente esser soggetto ad intrusioni. Lo store ufficiale di WordPress (andando nella sezione plugin -> nuovo plugin) è sicuramente sicuro. Lì troverete ciò di cui avete bisogno. Tra l’altro WordPress vi indica costantemente se ci sono plugin (o traduzioni di questi) da aggiornare. Non è necessario comprare plugin premium, ve ne sono di gratuiti molto buoni. Molto buoni (lato sicurezza) sono Wordfence, Cerber, iThemes Security e CleanTalk per citarne alcuni.
Ricordate sempre: la scelta del provider (che dovrebbe andare al primo posto quando si pensa di fare un sito web) è fondamentale. Non affidatevi a provider improvvisati che non possono darvi supporto nei momenti di difficoltà. Dotatevi nel vostro piano anche di backup sistematici lato server, così da garantire copie di sicurezza. Vi sono differenti provider, e (a grandi linee) tutti offrono varie soluzioni. Togliere 20 o 30 euro annui per scegliere un hosting scarso potrebbe essere errore fatale.
Per fornire le migliori esperienze, utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale
Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici.L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
