WordPress è il CMS (Content Management System) più famoso – e diffuso – al mondo. Arriva a ricoprire quasi un quarto del mercato da solo. Vuol dire che un sito su quattro, nel mondo, utilizza WordPress come sistema per la gestione dei contenuti. Tutti gli altri player non riescono a fronteggiare la potenza di WordPress in termini di quota di mercato e i motivi sono molteplici. WordPress, tra le altre, permette di gestire il proprio sito internet in maniera molto semplice ed intuitiva evitando l’uso di codici che possono risultare più spinosi. Questo, unitamente al continuo aggiornamento della piattaforma stessa, ha reso WordPress la prima scelta tra i webmaster del mondo.

Nel seguente articolo andremo ad analizzare i rischi relativi alla sicurezza di WordPress, i vettori attraverso cui questi rischi si concretizzano e i metodi per limitare ed affrontare le problematiche.

I rischi di WordPress security

WordPress, ad ogni modo e come tutte le piattaforme, non può pretendere di essere invulnerabile agli attacchi informatici. Specialmente in epoca moderna, dove qualsiasi cosa è hackerabile, bisogna preoccuparsi di costituire un framework di WordPress security efficace. Ci sono molti motivi per cui è necessario preoccuparsi della sicurezza del proprio sito internet, tra questi possiamo riassumere:

Business continuity : non poter procedere con le normali attività aziendali in caso di data breach, ovviamente, arrecherebbe un danno economico (e non solo) non indifferente;

: non poter procedere con le normali attività aziendali in caso di data breach, ovviamente, arrecherebbe un danno economico (e non solo) non indifferente; Brand : in caso di data breach i danni per l’azienda non si limiterebbero alla sfera economica. Basta provare a pensare: voi concedereste i propri dati ad un’azienda che ha appena subito un furto di dati? Probabilmente non tutti sarebbero disposti a correre questo tipo di rischio;

: in caso di data breach i danni per l’azienda non si limiterebbero alla sfera economica. Basta provare a pensare: voi concedereste i propri dati ad un’azienda che ha appena subito un furto di dati? Probabilmente non tutti sarebbero disposti a correre questo tipo di rischio; Legale: la nuova disposizione legislativa in termini di data protection (GDPR) prevede che ogni azienda effettui delle analisi del rischio tecnologico. Diventa quindi un obbligo di compliance essere a conoscenza delle vulnerabilità presenti nella propria infrastruttura tecnologica (sito internet compreso).

Come abbiamo visto, i rischi possono ricoprire uno spettro molto ampio. Le responsabilità per le garanzie di sicurezza dei siti ricadono sugli admin dei siti stessi e sono proprio loro a doversi attivare in merito alla protezione. WordPress ha un codice open source, completamente disponibile ed in chiaro: questa è la situazione ideale per i criminal hacker intenzionati ad effettuare un data breach.

Come si concretizzano i rischi di WordPress CyberSecurity?

I rischi che abbiamo elencato nel paragrafo precedente si possono manifestare attraverso vettori d’attacco differenti. Tra questi possiamo analizzare nel dettaglio:

Il fattore umano : per condurre un attacco al sito manualmente è necessaria un alto livello di competenza tecnica. Il fatto che una persona fisica si occupi personalmente di condurre questi attacchi denota grande preparazione. Di conseguenza, lo sforzo richiesto per una tipologia di attacco del genere è altrettanto alto. Proprio per questo motivo il target tipo di questi attacchi è un sito che contiene un’enorme quantità di dati ed informazioni. Bisogna sempre considerare il modo di ragionare di un criminal hacker: egli – come un normale imprenditore – effettuerà un’analisi costi benefici per individuare il proprio target obiettivo. Dove riesco ad ottenere il maggior profitto (in termini di quantità di informazioni al minor costo? La risposta a questa domanda, testimoniata poi dai fatti, solitamente è: strutture sanitarie, istituzioni governative, aziende finance, …

: per condurre un attacco al sito manualmente è necessaria un alto livello di competenza tecnica. Il fatto che una persona fisica si occupi personalmente di condurre questi attacchi denota grande preparazione. Di conseguenza, lo sforzo richiesto per una tipologia di attacco del genere è altrettanto alto. Proprio per questo motivo il target tipo di questi attacchi è un sito che contiene un’enorme quantità di dati ed informazioni. Bisogna sempre considerare il modo di ragionare di un criminal hacker: egli – come un normale imprenditore – effettuerà un’analisi costi benefici per individuare il proprio target obiettivo. Dove riesco ad ottenere il maggior profitto (in termini di quantità di informazioni al minor costo? La risposta a questa domanda, testimoniata poi dai fatti, solitamente è: strutture sanitarie, istituzioni governative, aziende finance, … Bot e Botnet : gli attacchi condotti attraverso questi vettori, solitamente, presuppongono una competenza minore da parte del criminal hacker rispetto a coloro che li effettuano manualmente ed in prima persona. Tuttavia, in questo caso torna utile fare un’ulteriore sottodivisione tra i due elementi. Bot : l’hacker conduce l’attacco informatico attraverso degli strumenti automatizzati. Botnet : l’attacco in questo caso attacca il target attraverso una rete di dispositivi automatizzati compromessi – ossia infetti ed in completo controllo dell’hacker.

: gli attacchi condotti attraverso questi vettori, solitamente, presuppongono una competenza minore da parte del criminal hacker rispetto a coloro che li effettuano manualmente ed in prima persona. Tuttavia, in questo caso torna utile fare un’ulteriore sottodivisione tra i due elementi.

Come abbiamo visto, sia per quanto riguarda i bot che le botnet, il cyber criminale si avvale di strumenti totalmente automatizzati. Perché abbiamo detto che solitamente gli hacker che conducono questi attacchi hanno un livello di competenza minore? Perché gli exploit kit sono disponibili liberamente online a un prezzo molto basso. Questi kit sono dei pacchetti già pronti che permettono di sfruttare vulnerabilità note presenti nei sistemi. Eseguire scansioni su potenziali siti target finché non vengono individuati quelli con le vulnerabilità note di cui io già posseggo gli exploit per sfruttarle, è un’operazione molto semplice che non richiede alcun tipo di competenza specifica.

Come difendersi dagli attacchi di WordPress CyberSecurity

Abbiamo visto in precedenza l’importanza fondamentale di impostare un WordPress CyberSecurity framework che garantisca la sicurezza del proprio sito internet. Quali sono le azioni da includere in questo framework? E’ fondamentale, per ogni azienda, svolgere attività periodiche di vulnerability assessment che permettono di identificare a livello ciclico le vulnerabilità note presenti nella propria struttura. Illustrando le tipologie di attacco automatizzato attraverso bot e botnet si capisce immediatamente l’importanza di venire a conoscenza dei propri punti deboli (vulnerabilità note) prima di un eventuale criminal hacker. Questo, oltre a fare in modo che l’azienda sia compliant in termini legislativi, permette di proteggere efficacemente i propri sistemi.