È un colpo di fortuna per i malintenzionati su internet se riescono a trovare un modo per danneggiare i siti web WordPress. Con un solo trucco nella manica, possono colpire quasi il 30% dei siti web su Internet. Questo è il lato negativo di WordPress che è il CMS più popolare. Come proprietari di siti web, da parte nostra, dobbiamo essere proattivi e rivedere/aggiornare regolarmente le misure di sicurezza per essere al sicuro dagli hacker. Un passo importante e facile da implementare nella vostra lista di controllo della sicurezza è quello di scansionare WordPress per le vulnerabilità.
Perché dovreste scansionare WordPress per le vulnerabilità
- Il vostro sito WordPress può essere il deposito di informazioni personali sensibili inviate dagli utenti. Si fidano di te per evitare che queste informazioni cadano in mani indesiderate.
- Altri possono inserire backlink, reindirizzamenti, pubblicità o banner di siti web che vogliono promuovere sul tuo sito.
- Gli utenti con accesso non autorizzato al tuo sito web possono consumare la tua larghezza di banda, anche senza che tu lo sappia.
- Finché non viene rilevato, il malware può annidarsi nel tuo sito e raccogliere informazioni. Può inviare e-mail di spam ad altri infettandoli nel processo. Questo può portare Google e altri servizi di sicurezza come AVG o Norton a mettere il tuo sito nella lista nera. Anche in questo caso, potresti non saperlo.
- Le scansioni regolari possono catturare alcune minacce alla sicurezza in anticipo e impedire che il tuo sito venga violato.
Come scansionare WordPress
Effettuare una scansione di base per le vulnerabilità del tuo sito WordPress non è né difficile né costoso. Ma come molte altre cose nella vita, hai delle opzioni. Quando si tratta di scansionare WordPress per le vulnerabilità ci sono due metodi principali.
Gli scanner remoti sono strumenti che possono fare una scansione preliminare e rivelare una serie di falle di sicurezza. Sono una sorta di controllo rapido nel vostro regime di sicurezza. La maggior parte degli scanner in genere funzionano più o meno nello stesso modo: basta inserire l’URL del vostro sito web nella loro pagina web. Il vostro sito, come visibile nel browser, sarà scansionato in pochi istanti e verrà generato un rapporto. Molte vulnerabilità possono apparire nel rapporto. Alcuni strumenti vi suggeriranno anche delle azioni correttive che potrete effettuare. Alcuni scanner remoti sono progettati specificamente per la scansione di siti WordPress, mentre altri includono una scansione WordPress nella loro lista di caratteristiche.
Al contrario, quando si installa un plugin, accede al server nell’ambiente di hosting che risiede e fa una scansione molto più profonda. Un plugin offre opzioni per impostare regole di scansione, automazioni e scansioni complete che si immergono nel tuo database per garantire la sicurezza.
La differenza importante tra i due è che uno scanner remoto guarda solo la versione finale renderizzata del tuo sito web, come appare sul tuo browser (una sorta di bot dei motori di ricerca). A differenza dei plugin, una scansione remota non può guardare nel vostro server, e quindi qualsiasi elemento dannoso sul vostro server potrebbe rimanere inosservato.
Ci sono molti scanner remoti gratuiti e plugin gratuiti disponibili che possono controllare il vostro sito web per il software rogue – guardiamo alcuni dei migliori.
MalCare
Il primo della nostra lista è MalCare, che offre una scansione gratuita basata su cloud tramite il loro plugin gratuito. Questo scanner di alta tecnologia per siti WordPress esamina tutti i vostri file e il vostro intero database per trovare anche il malware più complesso. E meglio di tutto, perché utilizza i server cloud di MalCare per la scansione delle vulnerabilità, non rallenta il tuo sito.
MalCare offre anche piani premium con ancora più opzioni per il rilevamento precoce, scansione automatica & rimozione di malware, s, blocco IP, consigliare le impostazioni di WordPress (disabilitare l’editor di file, protezione della cartella uploads, chiavi di sicurezza, ecc), plugin non ammessi, più altro. E a seconda delle vostre esigenze, offrono anche una soluzione white labeled con rapporti personalizzati per i vostri clienti.
Sucuri SiteCheck
Sucuri è un nome ben noto nella sicurezza dei siti web e compila rapporti di vulnerabilità regolari e completi. Il SiteCheck scansionerà tutti i siti web, compresi i siti WordPress e rivelerà malware conosciuti, software non aggiornati ed errori del sito web. Conoscerete anche il vostro stato di lista nera con servizi come Google, AVG Antivirus, McAfee e Norton.
Lo scanner confronta tutte le vostre pagine con il database Sucuri e segnala qualsiasi anomalia. Il rapporto raccomanda anche come gestire queste anomalie.
WP Sec Scan
Se stai cercando uno scanner specifico per WordPress, WP Sec farà al caso tuo. Sulla loro pagina web, hai una scelta – inviare l’URL del tuo sito web per una scansione o iscriverti al loro account gratuito / premium.
Un account gratuito ti dà diritto a una scansione automatica settimanale. Se stai gestendo più siti web WordPress, puoi tenere traccia della sicurezza di tutti i siti da un unico cruscotto. Riceverai anche avvisi via e-mail se viene trovato un bug o se la tua installazione di WordPress deve essere aggiornata.
Un rapporto di base può elencare alcune falle di sicurezza e dirti come procedere per sistemarle. Puoi anche accedere a un registro dei tuoi rapporti di scansione per riferimento futuro. WPScans mantiene un vasto database degli ultimi bug e minacce alla sicurezza, il che significa che le minacce più comuni possono essere rilevate con questo scanner.
WordPress Security Scan
WordPress Security Scan offre anche due opzioni – una versione base gratuita e una versione avanzata premium. Esegue i controlli richiamando una serie di pagine tramite regolari richieste web e analizza il sorgente HTML corrispondente. Una scansione rivelerà evidenti falle nella sicurezza di WordPress e raccomanderà miglioramenti relativi alla sicurezza nella configurazione che possono aumentare la protezione da attacchi futuri.
La scansione gratuita controlla la versione di WordPress, la reputazione dell’host, la geolocalizzazione e la reputazione del sito da Google. Controlla anche i link esterni, l’elenco dei plugin e l’indicizzazione delle directory sui plugin. Elenca gli iframe presenti e i Javascript collegati, entrambi i quali possono essere utilizzati per fornire codice dannoso. Puoi quindi esaminare qualsiasi script che non ti sembra familiare.
First Site Guide
Lo scanner First Site Guide funziona in modo molto simile agli altri scanner – inserisci l’URL del tuo sito e premi il pulsante Scan. Verifica se le informazioni sulla versione di WordPress, i nomi utente o i tentativi di accesso falliti sono rilevabili.
Controlla anche se il file readme.html, i file install.php e upgrade.php sono accessibili via HTTP e se la cartella uploads è navigabile. Ma per una scansione davvero significativa che copre oltre 40 test, ti consigliano di installare Security Ninja.
Wordfence
Wordfence è un plugin di sicurezza completo che analizza tutto ciò che riguarda WordPress sul tuo sito web, compreso il codice sorgente e i file immagine. Se si attiva l’opzione, scansionerà anche i file non legati a WordPress. Il loro Threat Defense Feed è costantemente aggiornato e il feed viene utilizzato dagli scanner per identificare il software sospetto.
Una scansione cerca 44.000+ malware noti e backdoor, così come gli URL di phishing in tutti i vostri commenti, post e file. Non solo, analizza i file principali, i temi e i plugin e li confronta con i file nel repository di WordPress.
Virus Total Scanner
Invece di far passare l’URL del tuo sito attraverso più scanner, puoi presentarlo su Virus Total, una filiale di Google. Fa il lavoro di aggregare i risultati di una scansione da più scanner come Avira, Comodo, Sucuri e Qettera.
Il vantaggio di un tale metodo è che si possono individuare più facilmente i falsi positivi dagli scanner. Saprete se una risorsa innocua viene erroneamente classificata come malware quando l’URL viene eseguito attraverso più scanner. Questo strumento non è specifico per WordPress, e tutti i tipi di siti web possono utilizzare lo scanner. Virus Total non è uno strumento completo di test dei virus, ma un aggregatore di risultati di scansione da diversi scanner.
I file e gli URL inviati a Virus Total saranno condivisi con le aziende di sicurezza per il loro utilizzo nel miglioramento della sicurezza web generale.
Quttera
Mentre Quttera offre una scansione online con un clic, offre anche uno scanner specifico per WordPress, che richiede di scaricare il loro plugin sul tuo sito WordPress.
Il plugin analizza il tuo sito alla ricerca di script sospetti, media dannosi e minacce nascoste e ti fa sapere se sei in qualche lista nera. I server remoti di Quttera scansionano i dati. Al termine di una scansione, riceverai un rapporto dettagliato di indagine, che raccomanderà azioni correttive. Questi rapporti sono classificati come Clean, Potentially Suspicious, Suspicious e Malicious e sono disponibili al pubblico per la visualizzazione.
Questi scanner e plugin online gratuiti fanno un lavoro di base per rivelare malware e vulnerabilità. Per un’analisi più approfondita e raccomandazioni puntuali per ridurre le vulnerabilità, è necessario esaminare i loro piani premium. Questi piani raggruppano servizi come il monitoraggio, la pulizia e il supporto pratico di fronte alle minacce. E, come ho detto all’inizio, la scansione del vostro sito web è solo il primo passo nella sicurezza di WordPress.