Come un malware entra in un sito WordPress e come evitarlo

Per aumentare la sicurezza della tua presenza online devi sapere anche come un malware entra in un sito WordPress e cosa devi fare per evitare che succeda.

Il problema della sicurezza online è un problema che riguarda tutti, a partire da chi crea siti web sino agli utenti finali dei siti e dei portali che animano la rete.

Questa dovrebbe essere una consapevolezza ormai solida, ma parlare di sicurezza è sempre complesso, perché la sicurezza è complessa.

I vari attori che si muovono online hanno responsabilità diverse e possono, di conseguenza, fare cose diverse, ma che sono tutte di valore.

Quello che vogliamo analizzare oggi è una questione che riguarda chi costruisce e gestisce siti WordPress. Cerchiamo di capire come un malware entra in un sito WordPress, cosa fare nel momento in cui il sito viene compromesso, ma soprattutto come si può evitare che la situazione si ripeta.

Come un malware entra in un sito WordPress?

È chiaro che per capire che cosa fare per evitare di essere bucati da criminali informatici che sguinzagliano malware, occorre rispondere alla domanda su come questi brandelli di codice pericolosissimi entrano all’interno dei siti web.

Come sottolineato da Thomas Raef in un suo post su LinkedIn, avere un plugin che pensa alla sicurezza non è più sufficiente.

Siamo rimasti estremamente colpiti dai numeri che Raef ha diffuso online: oltre 111.000 siti WordPress colpiti da malware, e in ognuno di questi oltre 111.000 siti era presente un plugin per la sicurezza.

La prima verità che quindi possiamo ricavare dall’analisi di Raef è che possedere un sito WordPress e aggiungere uno o più plugin che si occupino della sicurezza non è più sufficiente.

E non è sufficiente non perché i criminali informatici siano diventati improvvisamente tutti grandi geni del male e abbiano messo in campo raffinate tecniche per entrare utilizzando quelle famose vulnerabilità di cui comunque spesso parliamo e che sono a loro volta pericolosissime porte lasciate aperte.

Non è sufficiente perché né i plugin né i gestori dei siti web guardano lì dove invece si dovrebbe: il momento in cui vengono inserite le credenziali di accesso.

Avere quindi un ottimo plugin che controlla e scansiona se all’interno del tuo database vengono inseriti file malevoli può risultare del tutto inutile se, a causa di altre compromissioni, gli hacker riescono a entrare in possesso delle semplici credenziali di accesso che danno loro mano libera nei database.

Sempre nel suo post, Raef fa l’esempio di un pattern che si è ripetuto più volte: gli hacker riuscivano a entrare e poi disabilitavano il plugin.

Questo ovviamente rende inutile anche il migliore dei plugin.

Rispondere quindi alla domanda come un malware entra su un sito WordPress può essere semplice: il malware e gli hacker entrano dalla porta, dalla stessa porta che usi tu per lavorare sul tuo sito web.

Cosa si può fare?

Ora che hai qualcos’altro in più di cui preoccuparti e sai potenzialmente come un malware entra in un sito WordPress, cerchiamo di rispondere all’altra domanda: come si può evitare questo genere di compromissioni?

Abbiamo capito che installare anche il più blasonato dei plugin per la sicurezza potrebbe non essere l’unica soluzione e potrebbe anzi non essere affatto la soluzione.

Questo però non significa che il plugin che hai scelto debba essere buttato via. Non tutti gli attacchi vengono infatti perpetrati entrando con credenziali rubate o compromettendo i cookie.

Un buon plugin può infatti permetterti di essere al sicuro contro una vasta gamma di attacchi.

Quello che devi fare è un passo ulteriore per rendere sicuro anche quel piccolo anello di congiunzione tra te e il tuo sito WordPress che potrebbe essere esposto: il momento del login.

Una soluzione che può aumentare enormemente la sicurezza di qualunque sito WordPress è, per esempio, l’attivazione delle Passkey e quindi della autenticazione a due fattori.

I quattro pilastri della sicurezza

Nel post su LinkedIn, Raef elenca anche quelli che sono i reali pilastri su cui costruire la sicurezza del tuo sito e poter quindi smettere di chiederti ossessivamente come un malware entra in un sito WordPress.

• Gli aggiornamenti. Se esistono degli aggiornamenti importanti di qualunque elemento che compone il tuo sito, devi installare l’aggiornamento. Potrebbe infatti essere il modo in cui il developer chiude eventuali falle che possono essere utilizzate per entrare all’interno del tuo piccolo mondo digitale.

• Un buon plugin per la sicurezza. In questo caso, forse più che in qualunque altra categoria di plugin, è fondamentale scegliere quei plugin che sono testati e apprezzati dal numero maggiore possibile di utenti. Affidati alle recensioni e alle valutazioni ed evita di sperimentare. Ci sono poi tutti quei piccoli dettagli che riguardano la sicurezza e che vanno aggiunti oltre a un buon plugin: per esempio la creazione di una pagina di login che sia più difficile da bucare o da individuare.

• L’autenticazione a due fattori (2FA). È il pilastro di cui abbiamo parlato. Devi evitare i sistemi tradizionali che potrebbero comunque essere compromessi. Scegli sistemi di autenticazione che quindi non facciano semplicemente affidamento su messaggi di SMS oppure su delle e-mail.

• Il monitoraggio. Nel budget di tempo settimanale e mensile che decidi di dedicare alla gestione del tuo sito web, devi necessariamente calcolare il tempo per controllare che non ci siano elementi diversi dal solito, che il database sia in ordine e che non risultino accessi in orari in cui nessuno sarebbe dovuto entrare.