Una porta su retro

Recentemente Abbiamo notato una recrudescenza di attacchi a siti web basati su wordpress

Proseguendo nella stesura degli articoli su questo argomento, abbiamo reputato urgente parlare delle modalità, usate da questi strani personaggi, per raggiungere i loro obiettivi a nostro discapito.

Esattamente come i ladri da appartamento, riescono a “forzare” le nostre porte e introdursi in “casa nostra“, nel caso di un sito web, spesso non vi accorgerete nemmeno che qualcuno è entrato perchè, il loro obiettivo principale non è rubare i contenuti del vostro sito ma utilizzarlo il più a lungo possibile come “testa di ponte” per perpetrare furti ben più remunerativi o, più semplicemente, utilizzare gli accessi al vostro sito per reindirizzare utenti e motori di ricerca su siti si loro proprietà, ottenendo così dei vantaggi in termini di traffico e indicizzazione sfruttando i vostri utenti in modo truffaldino.

Parleremo in questo articolo proprio di queste modalità di attacco, come avvengono, come possiamo scoprirle e soprattutto prevenirle.

I proprietari di un sito web non sono necessariamente degli esperti informatici. Spesso si occupano di tutt’altro e quindi si rivolgono a soggetti terzi per avere consulenza e per la creazione e l’hosting del loro sito.

Spesso quindi, non sono al corrente dei rischi che una non corretta (o addirittura inesistente) manutenzione del nostro sito può portare. Altre volte, invece, si rivolgono al “cugino smanettone” con l’illusione di risparmiare qualche soldo ritrovandosi, presto o tardi, a dover risolvere i guai causati da un attacco che ci costringerà a lunghi tempi di inattività del sito e a tariffe altissime per la risoluzione “in emergenza” che vanificano totalmente il presunto risparmio iniziale.

Un saggio afferma: “Non si può avere idea di quanto si può risparmiare rivolgendoci a un professionista se non quando, invece, ci rivolgiamo ad un dilettante“.

Un professionista è al corrente delle procedure per creare e mantenere un sito perchè si è impegnato per anni, ha dalla sua decine se non centinaia di casistiche e conosce a memoria quali sono le procedure, minime e periodiche, che vanno effettuate per avere sempre un sito efficiente e il più possibile sicuro. E’ per questo che inserirà nella sua tariffa il costo di queste procedure che, a lungo termine si riveleranno un risparmio, di tempo e di soldi.

Torniamo a parlare di come questi “artisti della truffa informatica” riescono a penetrare nei nostri siti, prenderne il controllo e comprometterli. Come sappiamo, WordPress è uno dei framework più diffusi quindi, scoperta una vulnerabilità su un plugin o su parti del codice questa può essere sfruttata su migliaia di siti che la contengono.

Una volta trovata la vulnerabilità la sfruttano per introdursi e installare software che gli permetta, anche se poi la “falla” viene corretta da un aggiornamento, di accedere comodamente dalla cosiddetta “Backdoor“. Un po’ come se un ladro introdottosi nella nostra casa costruisca una “porticina nascosta sul retro” che gli permetta di tornare anche se abbiamo cambiato la porta blindata.

Questo non significa che WordPress non sia sicuro, grazie alla sua diffusione ci sono migliaia di sviluppatori e professionisti che lavorano costantemente per sistemare le falle che via via vengono alla luce. Per questo è indispensabile, come prima cosa, mantenere sempre aggiornati plugin e temi, oltre che il “core” di WordPress. Eliminare plugin e temi inutilizzati (che fanno solo peggiorare le performance) e installare un software di monitoraggio degli accessi.

Un’altra operazione importante, che a volte viene sottovalutata, è quella di cambiare regolarmente le password di accesso utilizzando password “forti” e concedere l’accesso solo a collaboratori fidati, calibrando i loro permessi sulle sole operazioni che devono poter svolgere.

Per questa settimana ci fermiamo quì.

Proseguiremo nelle prossime fornendo tutti i dettagli che, speriamo, vi aiutino a capire quanto importante sia essere affiancati da un vero professionista quando in ballo ci sono gli interessi del nostro business e del nostro Brand sui quali tanto ci siamo prodigati.

Hai bisogno di una consulenza sul tuo sito web? contattaci