Informazioni e problemi riguardo la sicurezza di WordPress

[cucinatuttigusti]

Salve,

Scrivo qui con la speranza di aver centrato sezione/forum giusta.

La sicurezza del webmaster non è mai abbastanza per un utente medio che si affaccia al mondo di internet in generale. Per l'appunto, avere un sito hosting come WordPress è uno strumento che alla fine risulta un'accesso a questi utenti che ogni giorno creano contenuti nuovi. Ma la loro sicurezza, o meglio la sicurezza dei loro siti, dov'è? Mi spiego; (non vuole essere una critica ma un messaggio di informazione) mi sono posto spesso la domanda se esiste una sicurezza nel server in cui siamo ospitati, è ovvio che ci sia, credo, ma non è visibile, con gli innumerevoli processi che si possono fare tramite codici per una corretta gestione, è evidente che per chi non è il massimo per quando riguarda l'informatica non è possibile.

Ho installato alcuni plugin di prova per quanto riguarda la visione degli indirizzi che collegano al sito, per controllare il traffico dati. Ho riscontrato che per la maggiore, in particolare con questo plugin WassUp che nella dashboard di essa, oltre ai bot, ci sono innumerevoli indirizzi che promettono hacker, con url che riportano a siti probabilmente cinesi. Ora io non so se posso portare qui gli indirizzi per verificare insieme a voi la loro effettiva sicurezza, fatemi sapere. Un'altro caso è quello di vedere sempre nella dashboard del plugin, indirizzi che hanno ricercato la Sitemap del mio sito, perchè dovrebbero? Con la speranza di ulteriori chiarimenti in merito a tutto, spero di avere conferma che hostare su di voi sia una cosa fattibile. (chiaramente parole dette da chi non da per scontato niente in informatica, tutto si risolve)

[alemoppo]

la sicurezza dei loro siti, dov'è?

La sicurezza c'è. AlterVista ospita milioni di siti e se ci fosse qualche falla sarebbe un bel problema. Per ora non ci sono state segnalazioni di problematiche a livello di AlterVista.
Capita invece che qualche sito viene attaccato con successo da malintenzionati, questo accade essenzialmente per il fatto di non mantenere i CMS (joomla, wordpress, etc) aggiornati e a volte per vulnerabilità di script fatti dagli utenti stessi.

con gli innumerevoli processi che si possono fare tramite codici per una corretta gestione, è evidente che per chi non è il massimo per quando riguarda l'informatica non è possibile.

La maggior parte dei problemi riguardanti i codici sono nei sistemi di upload e gestione del database. Per tenerli sicuri non è necessario essere gran esperti dell'informatica, ma (come in tutti i campi) avere almeno una minima preparazione e informazione, che si può acquisire banalmente anche leggendo qualche tutorial nel web.

oltre ai bot, ci sono innumerevoli indirizzi che promettono hacker, con url che riportano a siti probabilmente cinesi. Ora io non so se posso portare qui gli indirizzi per verificare insieme a voi la loro effettiva sicurezza, fatemi sapere

Non ho capito, che sicurezza dovremmo verificare? Se ci sono visite da bot cinesi/russi etc è normale, l'importante è che non riescano a far nulla.

indirizzi che hanno ricercato la Sitemap del mio sito, perchè dovrebbero?

Magari erano i bot che indicizzavano il tuo sito in qualche motore di ricerca.

Ciao!

[cucinatuttigusti]

Ciao grazie,

Chiaro,

Rispondo a: Non ho capito, che sicurezza dovremmo verificare? Se ci sono visite da bot cinesi/russi etc è normale, l'importante è che non riescano a far nulla.

Si ci sono bot, quali googlebot, bingbot, Googlebot-Mobile, YandexBot, ecc.. e poi ci sono indirizzi IP che si collegano a questo link: /home/favicon.ico?doing_wp_cron=1521187927.0597290992736 816406250
/home/favicon.ico
/view/img/favicon.ico
/login?doing_wp_cron=1521210226.0752329826354980468 750

Oltre a questi qui:


e per quanto riguarda le varie guide sul web per rafforzare la sicurezza, sono guide da prendere alla lettera, affidabili?

[alemoppo]

Sono dei bot automatici in cerca di vulnerabilità. Io fossi in te lascerei perdere, se mantieni tutto aggiornato e hai una password non del tipo "123" vedrai è molto difficile che succeda qualcosa.

Per rafforzare la sicurezza semplicemente vanno evitati i comuni attacchi quali sql injection, attacchi xss e prestare attenzione agli eventuali moduli di upload file.

Ciao!

[cucinatuttigusti]

Credo di non essere l'unico a vedere queste cose, quindi presumo siano cose odierne che non si possano evitare, dico bene? Io le lascio stare, anche perché non so come evitare che indicizzano sul sito. Chiamami rompi scatole ma mi preoccupo, ho investito del denaro qui e non vorrei sperare il peggio. Ho letto delle guide senza impegno che parlavano di varie procedure che aiutavano a salvaguardarti, del tipo; cambiare nome utente admin che compare sugli articoli già di default. Oppure non far vedere agli altri l'indirizzo di login/wp-admin ma solo chi ne è il proprietario. Dovrei attuare queste guide, e altre?

[alemoppo]

Non modificare il nome admin utente perché potresti avere dei problemi.
Potrebbe essere sensato creare un account con nome diverso da quello di amministratore per scrivere i vari articoli.
Inoltre di default wordpress scoraggia l'indicizzazione tramite il file robots.txt con un contenuto del genere:

Codice PHP:

User-agent: *
Disallow: /wp-admin/
Allow: /wp-admin/admin-ajax.php


Però non so quanto sia utile a livello di sicurezza perché è noto a chiunque che wordpress utilizza quel percorso come percorso di amministrazione.
Però ripeto, se hai una password sicura e mantieni aggiornato il tutto, non succederà nulla.

Quello che ti consiglio è piuttosto mantenere un backup sia dello spazio che del database.

Ciao!

[cucinatuttigusti]

Compreso,

e infine, non esiste un plugin che blocca questi indirizzi IP o perlomeno ti protegge?

[alemoppo]

No, o almeno non che io sappia. L'unica cosa che puoi fare è come hai già fatto attivare cloudFlare che filtra molti ip conosciuti.

Ciao!

[darbula]

Si certo che esistono tali plugin di sicurezza ma attualmente causano problemi con la versione WordPress che offre altervista..
https://codex.wordpress.org/Hardening_WordPress
Ciò che non è presente in questa guida e dunque nel caso di un unico amministratore dovrebbe essere già di default il blocco per il login amministratore e si può solo sbloccare da phpmyadmin o ricevendo l'e-mail (per come accade già per la password ecc..) Ma purtroppo WordPress è più incentrato alla bella presenza che alla vera sicurezza ;)

[cucinatuttigusti]

In sostanza tutto è vulnerabile ma solo per chi lo vuole.

Ho letto la guida postata da

darbula

in questo punto dice che:

Schermatura wp-admin
L'inserimento di una protezione tramite password /wp-admin/sul lato server aggiunge un secondo livello di protezione al Pannello di amministrazione, al login e ai file. Ciò richiede a un utente malintenzionato o bot di attaccare questo secondo livello di protezione, piuttosto che i suoi file. Molti degli attacchi su WordPress vengono eseguiti autonomamente da software e bot dannosi.

Ma semplicemente il blocco della directory /wp-admin/può disabilitare alcune funzionalità di WordPress, come ad esempio il gestore AJAX /wp-admin/admin-ajax.php. Vedi la sezione #Risorse per ulteriore documentazione su come proteggere correttamente la tua /wp-admin/password.

Gli attacchi più comuni su un'installazione di WordPress generalmente rientrano in due categorie:

Inviano richieste HTTP al server, specialmente programmate per sfruttare il carico utile per vulnerabilità specifiche. Questi includono plugin o software obsoleti o obsoleti.
Cercano di accedere al tuo sito usando attacchi "brute force" per indovinare la tua password.
La migliore implementazione di questo secondo livello di sicurezza della password è di richiedere una connessione SSL HTTP crittografata per l'amministrazione del sito in modo che tutte le comunicazioni e i dati sensibili siano crittografati.

Non sarebbe l' https?

[darbula]

Si è https ma non è automatico abilitarlo in WordPress che non sia offerto/preinstallato da altervista..
Usi la versione scaricata da wordpress.org?

[cucinatuttigusti]

Si, l'ho abilitato manualmente

ringrazio per le risposte