WordPressย รจ il CMS (Content Management System) piรน famoso โ e diffuso โ al mondo. Arriva a ricoprire quasi un quarto del mercato da solo. Vuol dire che un sito su quattro, nel mondo, utilizza WordPress come sistema per la gestione dei contenuti. Tutti gli altri player non riescono a fronteggiare la potenza di WordPress in termini di quota di mercato e i motivi sono molteplici. WordPress, tra le altre, permette di gestire il proprio sito internet in maniera molto semplice ed intuitiva evitando lโuso di codici che possono risultare piรน spinosi. Questo, unitamente al continuo aggiornamento della piattaforma stessa, ha reso WordPress la prima scelta tra i webmaster del mondo.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Nel seguente articolo andremo ad analizzare i rischi relativi alla sicurezza di WordPress, i vettori attraverso cui questi rischi si concretizzano e i metodi per limitare ed affrontare le problematiche.
I rischi di WordPress security
WordPress, ad ogni modo e come tutte le piattaforme, non puรฒ pretendere di essere invulnerabile agli attacchi informatici. Specialmente in epoca moderna, dove qualsiasi cosa รจ hackerabile, bisogna preoccuparsi di costituire un framework di WordPress security efficace. Ci sono molti motivi per cui รจ necessario preoccuparsi della sicurezza del proprio sito internet, tra questi possiamo riassumere:
Business continuity: non poter procedere con le normali attivitร aziendali in caso di data breach, ovviamente, arrecherebbe un danno economico (e non solo) non indifferente;
Brand: in caso di data breach i danni per lโazienda non si limiterebbero alla sfera economica. Basta provare a pensare: voi concedereste i propri dati ad unโazienda che ha appena subito un furto di dati? Probabilmente non tutti sarebbero disposti a correre questo tipo di rischio;
Legale: la nuova disposizione legislativa in termini di data protection (GDPR) prevede che ogni azienda effettui delle analisi del rischio tecnologico. Diventa quindi un obbligo di compliance essere a conoscenza delle vulnerabilitร presenti nella propria infrastruttura tecnologica (sito internet compreso).
Come abbiamo visto, i rischi possono ricoprire uno spettro molto ampio. Le responsabilitร per le garanzie di sicurezza dei siti ricadono sugli admin dei siti stessi e sono proprio loro a doversi attivare in merito alla protezione. WordPress ha un codice open source, completamente disponibile ed in chiaro: questa รจ la situazione ideale per i criminal hacker intenzionati ad effettuare un data breach.
Come si concretizzano i rischi di WordPress CyberSecurity?
I rischi che abbiamo elencato nel paragrafo precedente si possono manifestare attraverso vettori dโattacco differenti. Tra questi possiamo analizzare nel dettaglio:
Il fattore umano: per condurre un attacco al sito manualmente รจ necessaria un alto livello di competenza tecnica. Il fatto che una persona fisica si occupi personalmente di condurre questi attacchi denota grande preparazione. Di conseguenza, lo sforzo richiesto per una tipologia di attacco del genere รจ altrettanto alto. Proprio per questo motivo il target tipo di questi attacchi รจ un sito che contiene unโenorme quantitร di dati ed informazioni. Bisogna sempre considerare il modo di ragionare di un criminal hacker: egli โ come un normale imprenditore โ effettuerร unโanalisi costi benefici per individuare il proprio target obiettivo. Dove riesco ad ottenere il maggior profitto (in termini di quantitร di informazioni al minor costo? La risposta a questa domanda, testimoniata poi dai fatti, solitamente รจ: strutture sanitarie, istituzioni governative, aziende finance, โฆ
Bot e Botnet: gli attacchi condotti attraverso questi vettori, solitamente, presuppongono una competenza minore da parte del criminal hacker rispetto a coloro che li effettuano manualmente ed in prima persona. Tuttavia, in questo caso torna utile fare unโulteriore sottodivisione tra i due elementi.Bot: lโhacker conduce lโattacco informatico attraverso degli strumenti automatizzati.
Botnet: lโattacco in questo caso attacca il target attraverso una rete di dispositivi automatizzati compromessi โ ossia infetti ed in completo controllo dellโhacker.
Come abbiamo visto, sia per quanto riguarda i bot che le botnet, il cyber criminale si avvale di strumenti totalmente automatizzati. Perchรฉ abbiamo detto che solitamente gli hacker che conducono questi attacchi hanno un livello di competenza minore? Perchรฉ gliย exploit kitย sono disponibili liberamente online a un prezzo molto basso. Questi kit sono dei pacchetti giร pronti che permettono di sfruttare vulnerabilitร note presenti nei sistemi. Eseguire scansioni su potenziali siti target finchรฉ non vengono individuati quelli con le vulnerabilitร note di cui io giร posseggo gli exploit per sfruttarle, รจ unโoperazione molto semplice che non richiede alcun tipo di competenza specifica.
Intermezzo promozionale ... continua la lettura dopo il box:
Come difendersi dagli attacchi di WordPress CyberSecurity
Abbiamo visto in precedenza lโimportanza fondamentale di impostare un WordPress CyberSecurity framework che garantisca la sicurezza del proprio sito internet. Quali sono le azioni da includere in questo framework? Eโ fondamentale, per ogni azienda, svolgere attivitร periodiche diย vulnerability assessmentย che permettono di identificare a livello ciclico le vulnerabilitร note presenti nella propria struttura. Illustrando le tipologie di attacco automatizzato attraverso bot e botnet si capisce immediatamente lโimportanza di venire a conoscenza dei propri punti deboli (vulnerabilitร note) prima di un eventuale criminal hacker. Questo, oltre a fare in modo che lโazienda sia compliant in termini legislativi, permette di proteggere efficacemente i propri sistemi.
