WordPress Cybersecurity: WordPress è la piattaforma per blog più famosa, persino Blogger di Google arriva secondo. Da solo, WordPress prende il 24% del mercato dei siti a livello mondiale.

WordPress è il sistema di gestione dei contenuti (CMS) preferito da milioni di webmaster esperti e meno esperti. Una piattaforma che permette di creare rapidamente un sito Web completamente funzionale senza complicarsi con codici HTML e CSS da utilizzare.

Come altre piattaforme CMS, tuttavia, WordPress non è immune agli attacchi informatici. Gli aspetti di WordPress CyberSecurity devono necessariamente essere presi in considerazione. Non è solo una questione di garantire la business continuity ma anche un aspetto legislativo relativamente alla nuova disposizione del Garante sulla protezione dei dati, la famigerata GDPR, la legge europea sulla privacy.

Se un Criminal Hacker ottiene l’accesso amministrativo al sito, può rubare e sottrarre e modificare i tuoi dati. Un malintenzionato potrebbe reindirizzare gli utenti a un altro sito Web o offrire malware ai visitatori.

Proprio perché è una piattaforma open source, il suo codice è visibile a tutti, il che la rende una vittima perfetta per gli hacker. Ma non è solo questo. Trattandosi di una così larga porzione di Internet, è praticamente impossibile per WordPress rendersi invulnerabile. A quel punto la responsabilità cade sulle spalle degli admin degli specifici siti web.

Per proteggere un sito WordPress da minacce di cybersecurity è necessario affrontare e prestare attenzione anche agli aspetti specifici che fanno riferimento alla WordPress Cybersecurity attraverso alcune semplici best practise.

Per poter predisporre un piano di WordPress Cybersecurity efficace è necessario analizzare:

I vettori di attacco

Gli Obiettivi e Scopi degli attacchi

Come avviene l’attacco

Le minacce e vulnerabilità

Le soluzioni di wordpress security

Gli strumenti di wordpress security

WordPress Cybersecurity: Vettori di attacco

I vettori di attacco che mettono a rischio la security di un sito wordpress possono essere:

Umano

è un attacco diretto al sito effettuato manualmente da un malintenzionato. Il livello di competenza del Criminal hacker è generalmente elevato e l’attacco è generalmente effettuato con un livello alto in termini tecnici. Normalmente gli attacchi effettuati manualmente hanno come target siti wordpress di tipo governativo e finanziario. In generale sono siti che contengono dati sensibili o riservati.

Bot e Botnet

La differenza tra i vettori di attacco tramite Bot e Botnet è la seguente:

Bot : è un attacco effettuato dal Criminal Hacker con strumenti automatizzati (Exploit kit o specifici exploit) indirizzato a diversi siti web.

: è un attacco effettuato dal Criminal Hacker con strumenti automatizzati (Exploit kit o specifici exploit) indirizzato a diversi siti web. Botnet : è un attacco effettuato da una Botnet (un insieme di macchine infette) attraverso strumenti automatizzati (Exploit kit o specifici exploit) coordinati dal seve C&C. L’attacco è rivolto a diversi siti web

In entrambi i casi, l’attacco viene svolto attraverso programmi automatizzati. La maggior parte di questi attacchi sfrutta e utilizza programmi già pronti come Exploit Kit (pacchetti confezionati con diversi exploit) o specifici exploit relativi a vulnerabilità note. Si premette che non è complicato costruire un codice che possa scansionare diversi target per verificare la presenza di una specifica vulnerabilità o solo per identificare la presenza di una versione specifica WordPress che risulta avere una vulnerabilità nota.

WordPress Cybersecurity: Obiettivo dell’attacco

Non esiste un unico obiettivo. Ogni cyberattack può avere uno scopo differente.

L’unico elemento che rimane invariato è quello di prendere il possesso e controllo della piattaforma. La conquista del sistema ovviamente implica la violazione dei dati del database in termini di:

Confidenzialità

Integrità

Disponibilità

In ogni caso siamo in presenza di un Data Breach. Scopriamo i possibili obiettivi e motivi:

Spam

Sfruttano il database per inviare e-mail di spam e/o phishing agli utenti del tuo database. L’attacco viene condotto eseguendo script automatizzati.

Contenuti Illegali

Bypassando le misure di WordPress Cybersecurity, il target viene usato come storage per contenuti illegali come pornografia, spam, vendita di beni illegali o malware. L’impatto per il reale proprietario è la cattiva reputazione del sito in ottica Seo oltre alle ripercussioni possibili e probabili a livello legale.

Furto Dati

L’obiettivo è tra i più tradizionali: sottrarre i dati degli utenti come email e dati personali. Le informazioni possono essere usate per svariate attività di cybercrime.

Spamvertize

In questo caso, il traffico diretto verso il sito wordpress viene inoltrato sul sito gestito dal Criminal Hacker. Nel caso specifico, il sito di atterraggio sarà dannoso e di spam. Questa modalità è denominata spamvertising.

Botnet

La compromissione del sito web può avere l’obiettivo di “reclutare” il target per la botnet del Criminal Hacker. In questo modo il sito wordpress viene utilizzato per attaccare a sua volta altri siti che hanno un Worpress Cybersecurity framework debole o assente. Come indicato precedentemente i dispositivi di una botnet operano tramite bot, script automatizzati per effettuare attacchi informatici di massa.

WordPress Cybersecurity: Come avviene l’attacco informatico

La sicurezza informatica del tuo sito WordPress deve essere sempre una priorità. Solo in questo modo è possibile costruire e gestire correttamente la Worpress Cybersecurity del tuo sito ed essere reattivi e protetti in caso di un attacco informatico.

Normalmente, per semplificare, possiamo dividere in due fasi un cyberattack. Una fase di Information Gathering e una fase di Exploit.

La prima fase, quella dell’Information Gathering ha l’obiettivo di raccogliere informazioni sulla piattaforma. Quelle prioritarie sono:

Versione software

Software in uso

Le ragioni sono estremamente semplici. Queste informazioni permettono al Criminal Hacker di verificare a quali criticità sono vulnerabili. La ricerca può essere effettuata sfruttando semplicemente una ricerca su Google o in maniera più professionale attraverso i Data Base di Vulnerabilità internazionali CVE e CWE.

Per esempio la versione del WordPress fino alla 4.9.6 risulta vulnerabile ad una criticità che consente ad un utente registrato di cancellare file al di fuori della directory di upload.

A queste informazioni è bene anche evidenziare i rischi relativi allo storage del backup in una sottodirectory oppure sapere se gli altri software presenti. Per esempio PhpMyAdmin che gestisce l’amministrazione dei database. Sapere la versione in uso è estremamente importante per verificare quali vulnerabilità note corrispondono.

WordPress Cybersecurity: Le minacce e Vulnerabilità

La web security sta assumendo sempre di più rilevanza. Il Cybercrime ha di fatto vita facile considerando i dati della ricerca di Positive Tecnologies che ha rilevato che almento il 70% delle applicazioni web e dei portali web ha una vulnerabilità con criticità elevata e il 100% hanno una vulnerabilità.

L’attenzione è che queste vulnerabilità sono tutte note e che i relativi exploit sono spesso disponibili in rete. In questo scenario, la WordPress Cybersecurity Framework diventa una priorità.

Quando un sito WordPress viene attaccato, ci sono diversi punti di ingresso principali

Pagina di Login

La pagina di login di wordpress è sicuramente il primo punto di ingresso per un attacco informatico. La tecnica di attacco più utilizzata è l’attacco di forza bruta attraverso script automatizzati (i bot). In questo modo bypassano i livelli di WordPress Security impostati. L’attività del Criminal Hacker viene agevolata se il link della pagina di accesso è quella di default e se l’account admin di installazione preconfigurato è attivo.

Vulnerabilità PHP

L’attacco informatico è mirato al codice PHP che rappresenta il cuore pulsante di WordPress, plugin, temi e qualsiasi altro software in uso.

Privilege Escalation

E’ un attacco verso target di wordpress che permettono la registrazione degli utenti. Gli attacchi di Privilege Esclation permettono ad un utente di “scalare” fino ad ottenere i privilegi di amministratore.

Ci sono due modalità:

Verticale : i target sono gli utenti admin.

: i target sono gli utenti admin. Orizzontale: i target sono utenti con gli stessi privilegi del Criminal Hacker.

Questo attacco è classificato come Vulnerabilità Logica. Di fatto il malintenzionato sfrutta informazioni disponibili a livello di url. Informazioni che le best practise di WordPress Security fortemente consigliano di rendere invisibili.

Modalità:

WordPress Cybersecurity: url dinamici e parametri

La modalità è operare a livello di barra degli indirizzi. Individuare i parametri di riferimento e modificarli in base alla necessità. Per esempio: Una risorsa è disponibile solo agli utenti admin. Se cliccando su quella risorsa l’url mi fornisce un parametro admin=false, posso provare a modificare la variabile in true a livello di url. e non mi permette di poter accedere alla risorsa indicata

WordPress Cybersecurity: File statici

Sono di fatto i repository con documentazione e/o informazioni accessibili solo a specifici utenti ma prive di qualsiasi controllo di wordpress security. In questo caso l’accesso è solo identificare l’url corretto.

Exploit

Indentificata la versione wordpress o dei software in uso è un gioco da ragazzi sceglire l’exploit corretto. E’ quindi necessario effettuare costantemente l’aggiornamento dei vari sistemi unitamente al patching indicato dai vari vendor.

XMLRPC

E’ è il protocollo che permette le chiamate RPC (remote procedure call). Questo servizio è spesso oggetto di attacco di forza bruta. Si segnala che negli anni passati sono state identificate alcune vulnerabilità che permettevano ad un malintenzionato di reindirizzare il visitatore ad altri siti.

File Temporanei

E’ opportuno prestare massima attenzione ai file temporanei. Le best practise di WordPress Cybersecurity consigliano massima attenzione soprattutto quando vengono effettuate modifiche del file “wp-config.php“. Potrebbe creare file temporanei che contengono le credenziali di accesso alle risorse del sistema wordpress.

Codice Sorgente

Un altro punto di attenzione per la WordPress Security practice è di prestare attenzione ai file e directory lasciate inavvertitamente accessibili a chiunque. Nello specifico per il codice sorgente spesso “git” e “Subversion“, strumenti per la gestione del codice sorgente, creano file disponibili pubblicamente. E’ ovvio che questi file contengono informazioni che possono essere di estremo interesse per un criminale informatico. Immaginiamo i rischi e danni se l’intero codice viene reso pubblico.

Hosting

Scegliere piani di hosting condivisi può essere un vantaggio economico immediato ma è sconsigliato in termini di WordPress Security. Praticamente si affida la propria sicurezza alla sicurezza informatica degli altri “ospiti” e allo stesso tempo, gli altri ospiti potrebbero più facilmente avere accesso al tuo sistema sfruttando le criticità elencate fino adesso. Per intenderci tutto il WordPress Cybersecurity Framework verrebbe a decadere.

SQL Injection

Gli attacchi di tipo SQL Injection prevedono l’iniezione di stringhe di codice malevolo che verranno poi eseguite come fossero parte dello script originale, il più delle volte senza che il sistema riesca a percepire la differenza. WordPress è particolarmente esposto alla SQL Injection in quanto utilizza il server-side scripting, ovvero una tecnica che implica l’utilizzo di scripts (linguaggi di programmazione) fatti apposta per offrire una risposta personalizzata, in modo che ciascun utente veda un risultato diverso sul sito. Un attacco SQL Injection può prendere in mano la situazione ed eseguire scripts non autorizzati, permettendo l’accesso al database e dunque a ogni informazione sull’utente.

Web Server e Sistema Operativo

L’ultimo rischio è per il nostro impianto di Worpress Security è relativo alle possibilità vulnerabilità del web server e del sistema operativo. E’ fortemente consigliabile prestare attenzione ai piani di hosting per accertarsi chi è responsabile, il service provider o noi stessi, dell’aggiornamento e patching del web server e del sistema operativo.

WordPress Cybersecurity: Le soluzioni di security

Modifica le impostazioni di default Cancella l’utenza admin iniziale Modifica l’url di accesso alla pagina login ( wp-admin) Imposta l’utilizzo d password forti e complesse per tutti gli account. Valuta l’utilizzo di autenticazione a due fattori Scegli plugin affidabili e sicuri Aggiorna costantemente la versione di WordPress Aggiorna costantemente temi e plug-in Seleziona un hosting affidabile e sicuro Tieni aggiornato il core di WordPress, i temi e i plug-in. Elimina tutte le versioni obsolete e/o di staging delle applicazioni Non salvare i backup in sottodirectory Verifica ed elimina gli eventuali file temporanei Verifica, proteggi e/o rimuovi i file generati da subversion e git Utilizzare un sistema di rilevamento e prevenzione delle intrusioni come Wordfence come ulteriore livello di sicurezza. Effettua costantemente attività di Vulnerability Assessment Effettua costantemente attività di Network Scan Effettua costantemente il backup dei dati Gestisci correttamente gli account con i relativi privilegi Elimina tutte le funzionalità e servizi non necessari che possono interferire con il Database Presta attenzione agli Url Dinamici e/o statici in termini di privilegi di accesso Estendi il controllo accessi alle aree riservate con cookie e/o sessionid e/o al mac adress Effettua periodicamente un GDPR Assessment

WordPress Cybersecurity: Gli Strumenti

Swascan ha studiato e realizzato uno specifico WordPress Cybersecurity Framework per garantire la sicurezza dei siti wordpress. Un framework strutturato in strumenti tecnologici e competenze Un team di professionisti esperti di WordPress Security che garantiranno la definizione dei requisiti di sicurezza informatica e le policy e procedure di gestione

La piattaforma di Cybersecurity Swascan che permetterà di rilevare, analizzare e risolvere le vulnerabilità e criticità di sicurezza attraverso i servizi di: