Come un attacco Hacker può esporti alle sanzioni GDPR
I nuovi Regolamenti generali sulla protezione dei dati (GDPR)sono in vigore da qualche giorno, e i nuovi dati mostrano che l’86,5% dei siti web WordPress contengono vulnerabilità note, e quindi sono esposti ad attacchi hacker. Alcuni giorni fa abbiamo visto come adeguare al GDPR il sito web WordPress.
Questo però non ci difende dagli attacchi informatici .Con il GDPR in vigore, le aziende di tutta Europa si stanno attrezzando per quello che sarà potenzialmente uno dei più grandi cambiamenti nelle leggi sulla privacy dei dati dal 2003 (CAN-SPAM Act).
Le imprese saranno soggette a sanzioni pecuniarie fino a 20 milioni di euro se non rispetteranno la nuova legislazione e i nuovi processi, che alla fine mettono nelle mani degli utenti il controllo in merito a, chi, come e dove debbano essere archiviati i loro dati personali.
Una parte fondamentale del GDPR è la responsabilità dell’azienda di proteggere i dati dei clienti e i siti Web per prevenire violazioni dei dati, phishing e altre forme di attività online dannose.
Le stime mostrano che WordPress è utilizzato dal 25 al 40% di tutti i siti Internet, a seconda della fonte che si legge, e data la sua popolarità e diffusione, diventa automaticamente un obiettivo primario per gli hacker.
Un recente studio di ricerca condotto da CyberScanner, piattaforma di monitoraggio della sicurezza informatica, ha scansionato 93.930 siti Web WordPress e 9834 siti Web WooCommerce con sede nel Regno Unito e ha rilevato che in media l’80,7% conteneva almeno un noto exploit hackerabile che può essere considerato un grave rischio per la sicurezza.
Le Vulnerabilità più note
Alcune delle vulnerabilità note e più comuni sottoposte a scansione sono state: il cross-site scripting (XSS) incluso, SQL injection, la cross-site request forgery (CSRF) e i problemi del certificato SSL.
Il peggior dei siti web scansionati presentava in totale 23 vulnerabilità note, classificate a medio e basso rischio.
Proteggere il tuo sito Web WordPress
Esistono oltre 100.000 vulnerabilità note che possono essere sfruttate dagli hacker per estrarre i dati dei clienti, impiantare software di cripto-mining o persino configurare campi di moduli nascosti per rubare informazioni sulle carte di credito che gli utenti hanno salvano nei loro browser.
Non esiste una panacea per proteggere il tuo sito Web WordPress, ma ci sono passi che tutti i webmaster WordPress possono intraprendere per proteggere le aree comunemente sfruttate della piattaforma.
Brute Force
Gli attacchi Brute Force sono un metodo utilizzato dagli hacker per ottenere informazioni di accesso ai siti Web, come nomi utente, password e PIN. Generalmente condotti utilizzando un software automatizzato, un attacco Brute Force genera un elevato volume di tentativi consecutivi di accesso per i campi login e password.
Sebbene sia sempre incoraggiata una password sicura, da sola potrebbe non essere sufficiente per prevenire un attacco Brute Force. Ci sono alcune cose che puoi fare, comunque, per minimizzare il tuo rischio Hacker.
Personalizza gli URL delle pagine di accesso
In generale, l’URL della pagina di accesso per un sito Web WordPress è /wp-login.php o / wp-admin /, e un software automatizzato può indovinarlo facilmente. Rinominando l’URL in qualcosa di più originale, il software automatizzato potrebbe non essere in grado di trovare la pagina di accesso per iniziare l’attacco.
Limitare i tentativi di accesso
Una caratteristica comune dei siti Web WordPress (e di tutti i siti Web) è la possibilità di limitazione dei tentativi di accesso.
Abilita autenticazione in due passaggi
Questo sta diventando più comune in tutte le applicazioni web che richiedono una password e può essere implementato con relativa facilità su un sito Web WordPress.
Ciò richiede all’utente di installare un’applicazione sul proprio telefono e, quando accedono al sito Web, dovranno accedere all’app per ottenere un codice generato randomicamicamente da inserire per completare la procedura di accesso.
Usa SSL per crittografare i dati in transito
Mentre SSL e TLS non proteggono completamente un sito Web, proteggono i dati degli utenti mentre viaggiano tra il browser dell’utente e il server del sito web.
Questo può essere installato facilmente con la nostra offerta Hosting WordPress
Google considera HTTPS anche un passo verso la sicurezza di base che i siti Web devono adottare per proteggere gli utenti e nei browser Chrome 70 (ancora non si conosce la data di uscita)i siti Web che non sono ancora su HTTPS verranno contrassegnati come non sicuri dallo standard.
Proteggi il tuo database
Indipendentemente dal livello di sicurezza di un sito Web, mantenere e gestire regolarmente backup del database è una best practice essenziale che dovrebbe far parte dei processi di qualsiasi webmaster.
Esistono numerose soluzioni gratuite e premium che vanno da VaultPress, BlogVault e Backup Buddy, tutte opzioni valide e la soluzione scelta deve essere adeguata alle esigenze aziendali.
Pulizia e aggiornamenti regolari
Temi e plug-in sono la spina dorsale di qualsiasi sito Web WordPress, ma possono facilmente diventare minacce alla sicurezza se non vengono aggiornati e manutenuti regolarmente.
Non aggiornare temi e plug-in può significare guai seri. Molti hacker si affidano al semplice fatto che le persone non hanno voglia di aggiornare i propri plugin e temi. Il più delle volte, questi hacker sfruttano bug che sono già stati corretti.
Il mancato aggiornamento del tema e dei plug-in può portare al facile sfruttamento di backdoor e exploit , molti hacker si affidano a questo semplice fatto e cercano di sfruttare falle per cui esistono già gli aggiornamenti.
Consigliamo inoltre di rimuovere il numero di versione di WordPress, poiché è pubblicamente visibile all’interno del codice sorgente. Alcune versioni storiche di WordPress hanno sviluppato un numero maggiore di vulnerabilità rispetto ad altre, quindi questa potrebbe essere una pubblicità per hacker che vogliano sfruttare una serie di problemi di sicurezza già noti.
