Come vengono hackerati i siti Web?

Come proprietario di un sito Web WordPress, sai già che la sicurezza gioca un ruolo importante nel proteggere le tue operazioni da hack e attacchi dannosi. Ma come vengono hackerati i siti Web esattamente? Qual è il processo mediante il quale gli hacker tentano, e spesso riescono, di abbattere i siti WordPress con i loro attacchi?

Anche se il Web è cresciuto a passi da gigante negli ultimi decenni, non è cambiato molto nel modo in cui i siti Web vengono hackerati da cattivi attori. E la cosa più importante che dovresti fare per mantenere il tuo sito e i visitatori al sicuro è comprendere appieno quali sono questi trust immutabili in modo da poter essere un passo avanti a loro.

In questa guida completa, ti mostreremo esattamente come vengono violati i siti Web, quali sono i segni che il tuo sito è stato violato e molto altro ancora. Diamo un'occhiata.

L'enorme scala dei siti Web compromessi

Ben oltre 1,2 miliardi di siti Web (con una B) ora comprendono la versione odierna del World Wide Web. E se assumi un tempo medio di caricamento del sito Web di 3 secondi, ci vorrebbero più di 160 anni per visitare ogni sito esistente, senza prenderti un secondo di riposo.

Questa è una rete follemente enorme che è completamente impossibile da vegliare in sicurezza per qualsiasi entità individuale. Sebbene servizi come Navigazione sicura di Google cerchino di avvisare i propri utenti di siti che potrebbero non essere sicuri. Attualmente, fornisce oltre 3 milioni di questi avvisi agli utenti ogni singolo giorno.

E questa è più o meno la dimensione delle popolazioni di Los Angeles e New York messe insieme.

In parole povere, i siti Web saranno sempre enormi bersagli per le persone con cattive intenzioni. E l'impatto complessivo di qualsiasi hack sarà devastante per la tua attività.

Ma ci sono buone notizie.

Sebbene esista una grande minaccia dannosa e persistente, la nostra consapevolezza nei nostri confronti, unita all'uso degli strumenti giusti, farà molto per garantire che i nostri siti rimangano al sicuro dagli attacchi.

Come vengono hackerati i siti Web? I 3 modi primari

Durante gli ultimi tre decenni di Internet, vediamo che gli hack arrivano quasi sempre in tre diverse categorie:

1. Controllo di accesso
2. Vulnerabilità del software
3. Integrazioni di terze parti

La realtà è che non importa se gestisci un sito per un Fortune 500 o il tuo negozio di scarpe locale, il modo in cui gli hacker si avvicinano al loro mestiere sembrerà quasi identico.

Ma ciò che cambia è in primo luogo il modo in cui ogni azienda si lascia sfruttare individualmente.

• Le grandi organizzazioni usano spesso la scusa di dire: "Pensavamo che qualcun altro si stesse occupando della sicurezza". Questo tipo di nebbia e di comunicazione errata è comune nelle organizzazioni grandi e complesse.
• Le piccole imprese spesso credono di essere troppo piccole per essere prese di mira da qualsiasi hacker. Spesso hanno il falso presupposto che gli hacker non li toccheranno. Questo rende facile perdere di vista quante informazioni private possono essere effettivamente prese anche dal più piccolo sito web.

In entrambi i casi, gli hacker hanno gli incentivi e gli strumenti per raggiungere i loro obiettivi in ​​aree in cui non c'è molta vigilanza sulla sicurezza.

Gli ambienti del sito Web hanno molte attività

Prima di approfondire le specifiche di ogni tipo di hack, stabiliamo innanzitutto una base incredibilmente importante per come funziona effettivamente il web.

Ogni sito web si basa su una serie di sistemi che sono interconnessi e lavorano insieme. Esistono componenti come DNS (Domain Name Servers), il server Web e l'infrastruttura che ospita i vari server e li connette a Internet.

Anche se sembra relativamente semplice, l'ecosistema sottostante è piuttosto complesso.

Molti dei singoli componenti sono forniti da fornitori di servizi specializzati. Anche se stai ricevendo una serie di servizi diversi da un unico fornitore di servizi, ci sono ancora innumerevoli parti uniche dell'equazione che funzionano da sole.

Pensa al tuo sito web come a un moderno veicolo di consumo. All'esterno sembra solido e snello, ma sotto ha innumerevoli parti mobili che fanno funzionare tutto.

Ai fini di questa guida, non è importante che tu comprenda tutti i dettagli su come funziona il tuo sito. Ma è importante sapere che ognuno di questi singoli componenti avrà un impatto sulla sicurezza generale del tuo sito WordPress.

E ognuno di loro ha il potenziale per contribuire al modo in cui il tuo sito viene hackerato.

1. Controllo degli accessi

Ciò riguarda specificamente il processo di autorizzazione e autenticazione. In parole povere, il controllo degli accessi è il modo in cui accedi al tuo sito Web WordPress.

E questo va oltre il modo in cui accedi al pannello di amministrazione del tuo sito web. Come abbiamo già stabilito, ci sono molti accessi interconnessi diversi che funzionano insieme dietro le quinte del tuo sito.

Quando si pensa al controllo degli accessi, ci sono sei aree specifiche da considerare.

Come:

• Accedi al tuo pannello host?
• Accedere al server (SSH, SFTP, FTP)?
• Accedi al tuo sito web?
• Accedi al tuo personal computer?
• Accedi alle piattaforme di social media?
• Memorizzare le credenziali di nome utente e password per ciascuna di queste variabili?

È fin troppo facile trascurare il controllo degli accessi. Tuttavia, ogni singolo punto di accesso può offrire agli hacker l'accesso all'intero ecosistema.

Un hacker utilizzerà anche una serie di tattiche diverse per ottenere l'accesso a un unico punto di accesso non sicuro. Pensalo come un ladro di casa che controlla ogni potenziale ingresso, quindi si intrufola (o ti inganna) copie dei codici di accesso o delle chiavi della tua casa.

• Gli attacchi di forza bruta sono i più facili da realizzare e possono essere il modo più efficace. Con un attacco di forza bruta, l'hacker cerca di indovinare le potenziali combinazioni di nome utente e password nel tentativo di accedere come utente credibile del sito.
• Gli attacchi di ingegneria sociale stanno diventando sempre più popolari. Un hacker crea pagine di phishing progettate per indurre un utente a inserire volontariamente la combinazione di ID e password.
• Gli attacchi Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF) comportano l'intercettazione delle credenziali di accesso di un utente tramite il browser dell'utente.
• Vengono utilizzati anche attacchi Man in the Middle (MITM) . In questo modo, il nome utente e la password di un utente vengono facilmente intercettati quando un utente lavora su reti che non sono completamente sicure.
• I keylogger e il malware aggiuntivo che monitora gli utenti terranno traccia degli input, quindi li segnaleranno all'hacker che ha infettato l'utente.

Ma indipendentemente dal tipo di attacco perpetrato, l'obiettivo dell'hacker è sempre lo stesso: ottenere l'accesso diretto al tuo sito tramite accessi credibili.

Indipendentemente dallo stile di attacco, l'obiettivo è lo stesso: ottenere l'accesso diretto tramite login.

Il plug-in iThemes Security aggiunge maggiore protezione per la sicurezza del tuo utente. La sicurezza del tuo sito dipende dal fatto che i tuoi utenti dispongano di accessi sicuri con password complesse. Ecco perché iThemes Security offre più livelli di sicurezza per gli utenti, tra cui autenticazione a due fattori, dispositivi affidabili con protezione dal dirottamento della sessione, accessi senza password per verificare l'identità di un utente e protezione con password violata. Puoi anche eseguire controlli di sicurezza dell'utente per controllare e modificare rapidamente gli elementi più critici della sicurezza dell'utente.

Il livello successivo di sicurezza che iThemes Security aggiunge è la protezione per la parte più attaccata del tuo sito web, la schermata di accesso di WordPress. iThemes Security offre due tipi di protezione dalla forza bruta per controllare i tentativi di accesso non validi effettuati al tuo sito web. Una volta che un utente o un bot ha effettuato troppi tentativi di accesso non validi consecutivi, verrà bloccato e gli verrà impedito di effettuare altri tentativi per un determinato periodo di tempo.

2. Vulnerabilità del software

In realtà, la stragrande maggioranza dei proprietari di siti Web WordPress non è in grado di affrontare le vulnerabilità di sicurezza del software odierno senza una patch consigliata dallo sviluppatore del software. Il problema è che molti sviluppatori non tengono conto delle minacce che il codice che scrivono introduce al tuo sito.

Un piccolo bug che non ha un impatto notevole sull'esperienza utente (esperienza utente) prevista può essere sfruttato per fare in modo che il software faccia cose che non era destinato a fare. E gli hacker più esperti considerano questi bug come potenziali vulnerabilità.

Uno dei modi più comuni per farlo è utilizzare un'intestazione POST non corretta o un URL (Uniform Resource Locator) non valido per avviare una serie di attacchi diversi.

Questi includono:

• Remote Code Execution (RCE) che consente l'acquisizione da remoto totale del sito e del sistema di destinazione
• Remote / Local File Inclusion (R/LFI) che utilizza l'input fornito dall'utente nei campi per caricare file dannosi in un sistema
• SQL Injection (SQLi) che manipola i campi di input di testo con codice dannoso che invia sequenze di attacco al server

In modo simile al controllo delle risorse, le vulnerabilità nel software si estendono oltre l'ambito del sito Web. Queste vulnerabilità possono essere trovate e sfruttate all'interno di ogni tecnologia interconnessa su cui si basa un sito web.

E la maggior parte dei siti attuali utilizza una combinazione di estensioni di terze parti, come plugin e temi di WordPress, che sono tutti potenziali punti di intrusione di hacking.

Poiché i plug-in, i temi e le versioni principali di WordPress vulnerabili sono il più grande rischio per la sicurezza del tuo sito Web, iThemes Security si mette al lavoro per eseguire la scansione del tuo sito Web. Con iThemes Security Site Scan, saprai ogni volta che un plug-in, un tema o una versione core di WordPress sul tuo sito è vulnerabile e deve essere aggiornato. E ancora meglio... eseguirà automaticamente gli aggiornamenti per te. Site Scan è alimentato dal database di vulnerabilità più completo disponibile, quindi avrai sempre la protezione più recente. Site Scan si integra anche con Google Navigazione sicura per controllare lo stato della blocklist del tuo sito e per eventuali malware noti o file sospetti.

Ecco come funziona Site Scan di iThemes Security per proteggere il tuo sito:

• Scansiona il tuo sito Web due volte al giorno per rilevare eventuali vulnerabilità: i plug-in, i temi e le versioni principali di WordPress del tuo sito Web vengono confrontati con il database delle vulnerabilità di WPScan per le ultime rilevazioni di vulnerabilità.
• Aggiorna automaticamente se è disponibile una correzione di sicurezza : abbinato a Gestione versione, iThemes Security aggiornerà automaticamente un plug-in, un tema o una versione core di WordPress se presenta una vulnerabilità.
• Invia un'e-mail se la scansione del sito rileva una vulnerabilità : puoi ricevere un rapporto e-mail se il tuo sito esegue versioni vulnerabili di un plug-in, un tema o un core di WordPress. Personalizza gli indirizzi e-mail che ricevono i risultati della scansione.

3. Servizi e integrazioni di terzi

Infine, ci sono gli exploit che si verificano attraverso servizi e integrazioni di terze parti.

Molto spesso, questi assumeranno la forma di annunci pubblicitari attraverso una rete pubblicitaria che porta ad attacchi di malvertising.

Questi hack riguarderanno i servizi che utilizzi con il tuo sito e l'hosting, comprese variabili come la tua CDN (Content Distribution Network).

Integrazioni e servizi di terze parti forniscono un'interconnessione sufficiente tra le diverse parti dell'esperienza di gestione del sito. In effetti, questa è una cosa che le persone amano delle opzioni estensibili del sistema di gestione dei contenuti come WordPress, Drupal e Joomla.

Ma l'interconnessione fornisce anche punti da sfruttare per gli hacker.

Uno dei maggiori problemi è il modo in cui gli hacker sfruttano questi servizi e integrazioni in modi che vanno oltre la capacità del proprietario di un sito Web di controllarli. In qualità di costruttore o gestore di siti, hai riposto molta fiducia in fornitori di terze parti quando scegli di utilizzare una delle loro integrazioni.

E, naturalmente, molti sono diligenti nel garantire le loro integrazioni.

Ma come con altre cose, c'è un rischio intrinseco. Ed è uno su cui gli hacker hanno sempre d'occhio.

Uno dei modi in cui iThemes Security funziona per proteggere l'accesso di terze parti è con password di app sicure per XML-RPC e API REST. Questo aggiornamento consente di utilizzare l'autenticazione tramite nome utente/password per le richieste dell'API REST in modo da poter bloccare l'API REST (secondo la nostra raccomandazione) consentendo comunque la connessione di strumenti esterni che utilizzano l'API REST.

Proteggere il tuo sito web dall'essere hackerato

La sicurezza del sito Web WordPress è importante. Una parte importante della sicurezza del sito Web WordPress è l'educazione e la consapevolezza. E la semplice lettura di questa guida ti ha messo in una posizione migliore per proteggere il tuo sito.

Andando avanti, ci sono passaggi specifici che devi intraprendere. Ed è il nostro obiettivo aiutarti a raggiungerli. Sfortunatamente, è solo dopo che qualcosa è già andato storto che così tanti proprietari di siti Web finalmente prendono sul serio la sicurezza.

Invece, perché non anticipare il dolore e fare questi passaggi per tenerti fuori:

1. Usa i principi della Difesa in profondità. Ciò comporta la creazione di livelli di sicurezza come una cipolla. Ogni pratica rende più difficile per gli hacker entrare nel tuo ecosistema.
2. Sfrutta la best practice con meno privilegi. Assicurati di limitare ciò che l'accesso di ciascun utente del sito consente loro di fare.
3. Crea l'autenticazione a due fattori e l'autenticazione a più fattori ovunque tu possa. Ciò proteggerà ulteriormente quei punti di accesso utente particolari.
4. Usa un firewall per siti web. Questo farà miracoli nel limitare il modo in cui gli hacker tentano di sfruttare le vulnerabilità nel software.
5. Pianifica regolarmente i backup. Scarica e installa il plug-in di backup BackupBuddy WordPress come soluzione per questo. In questo modo, se il tuo sito dovesse subire un attacco, potrai recuperarlo con pochi clic.
6. Ottieni la prospettiva dei principali motori di ricerca. Bing Webmaster Tools e Google Search Console forniscono entrambi utili rapporti su come vedono la sicurezza del tuo sito.

Il modo migliore per coprire queste basi di sicurezza come proprietario di un sito WordPress è utilizzare il plug-in iThemes Security Pro.

Quindi capisci che non esiste un modo infallibile per rimanere sempre al sicuro al 100%. Gli strumenti che utilizzi all'interno dell'ambiente del tuo sito Web ridurranno significativamente il rischio complessivo. Ma la sicurezza non è una singola azione o evento. È una serie di azioni.

E tutto inizia con un ottimo strumento come iThemes Security Pro che ti aiuterà a capire come proteggere al meglio il tuo sito.

Ora che sai cosa fare e cosa stai cercando, ti imbatterai senza dubbio in uno degli scenari di sicurezza che abbiamo trattato in questa guida. Ma ora saprai meglio cosa fare per rimediare al problema.

Il miglior plugin di sicurezza per WordPress per proteggere e proteggere WordPress

WordPress attualmente alimenta oltre il 40% di tutti i siti Web, quindi è diventato un facile bersaglio per gli hacker con intenzioni dannose. Il plug-in iThemes Security Pro elimina le congetture dalla sicurezza di WordPress per rendere facile proteggere e proteggere il tuo sito Web WordPress. È come avere un esperto di sicurezza a tempo pieno nel personale che monitora e protegge costantemente il tuo sito WordPress per te.

Ottieni iThemes Security Pro

Kristen Wright

Kristen scrive tutorial per aiutare gli utenti di WordPress dal 2011. In qualità di direttore marketing di iThemes, si dedica ad aiutarti a trovare i modi migliori per creare, gestire e mantenere siti Web WordPress efficaci. A Kristen piace anche scrivere nel diario (dai un'occhiata al suo progetto parallelo, The Transformation Year !), fare escursioni e campeggiare, fare aerobica, cucinare e avventure quotidiane con la sua famiglia, sperando di vivere una vita più presente.