Come correggere e prevenire attacchi XSS in WordPress

Sei preoccupato che gli hacker attacchino il tuo sito web?

Lo scripting intersito, chiamato anche XSS, è uno degli attacchi più comuni ai siti WordPress. Gli hacker trovano vulnerabilità sul tuo sito e le usano per rubare informazioni e abusare del tuo sito web.

Quel che è peggio è che se non lo risolvi immediatamente, questi attacchi potrebbero causare danni più gravi, di quelli da cui è davvero difficile riprendersi.

Puoi prevenire questi attacchi installando un firewall sul tuo sito WordPress.

Se il tuo sito web è già sotto attacco, ti mostreremo come risolverlo subito con un linguaggio semplice e adatto ai principianti. Ridurremo al minimo il gergo della cybersecurity in questo tutorial. Ti mostreremo anche come prevenire attacchi futuri.

Innanzitutto, capiamo rapidamente cosa succede in un attacco XSS in modo che tu sia meglio equipaggiato per gestirlo.

Cos'è un attacco XSS in WordPress?

XSS sta per Cross Site Scripting, che è un tipo di attacco a iniezione in cui gli hacker iniettano script dannosi in un sito web.

Questi script sono mascherati da codice buono su un sito web fidato. Successivamente, quando un utente visita questo sito web, il suo browser esegue tutto il codice, incluso lo script dannoso, perché pensa che siano tutte istruzioni fidate.

In termini più semplici, immagina di essere una spia e di aver appena ricevuto un'e-mail ufficiale dal governo su una missione top-secret. Contiene tutte le istruzioni che devi seguire alla lettera.

Quello che non sai è che qualcuno ha intercettato quell'e-mail e ha aggiunto alcune istruzioni proprie. Il governo non ne sa nulla e tu non ti preoccupi di ricontrollare perché ti fidi della fonte.

Alcune di esse non hanno senso, ma sei addestrato a obbedire a ogni ordine per raggiungere la tua missione.

In questo scenario, il governo è il tuo sito web e la spia è il browser dell'utente. Il browser segue le istruzioni del tuo sito web e non può distinguere tra script buoni e cattivi.

Questi script sono solitamente in Javascript, uno dei linguaggi di programmazione più popolari e ampiamente utilizzati. Tuttavia, questi attacchi possono avvenire utilizzando qualsiasi linguaggio lato client.

Ora ci sono molti modi per eseguire un attacco XSS. Un modo è inviare un link a utenti ignari per indurli a cliccarci sopra. Una volta che ci cliccano sopra, l'attacco può potenzialmente fare una o più delle seguenti cose:

• Reindirizzare gli utenti a un sito dannoso
• Catturare i tasti premuti dall'utente
• Eseguire exploit basati sul browser web
• Rubare le informazioni dei cookie dell'utente connesso a un account

Se l'hacker è in grado di rubare le informazioni dei cookie, può compromettere completamente l'account dell'utente. Ad esempio, se sei connesso al pannello wp-admin del tuo sito web, l'hacker può rubare le tue credenziali e accedere al tuo sito.

Quello che devi fare per prevenire questi attacchi è assicurarti che tutti i dati dell'utente vengano validati e sanificati correttamente prima che entrino nel tuo sito web. In questo modo, nessun input dell'utente può essere codice Javascript dannoso. Inoltre, devi assicurarti che non ci siano vulnerabilità XSS sul tuo sito che possano consentire a un hacker di attaccare.

Abbiamo appena scalfito la superficie degli attacchi XSS, ma speriamo che tu abbia una comprensione decente di come funziona un attacco XSS su WordPress. Ora, se sospetti che il tuo sito sia stato violato, segui il nostro semplice tutorial passo dopo passo qui sotto.

Come trovare e correggere un attacco XSS in WordPress

Per trovare qualsiasi tipo di malware o hack sul tuo sito, dovrai eseguire una scansione approfondita su tutto il tuo sito web, inclusi i suoi file e database.

Utilizzeremo Sucuri per scansionare e ripulire il tuo sito violato. Sucuri ti offre una robusta configurazione di sicurezza, inclusi firewall, scanner di malware e pulitore di malware.

Sucuri offre uno scanner di malware gratuito per siti web che puoi installare all'interno del tuo sito WordPress navigando nella scheda Plugin » Aggiungi Nuovo.

Consigliamo di utilizzare lo scanner premium lato server. Questo esaminerà a fondo il tuo sito web per trovare ogni traccia di malware.

Inoltre, ecco alcuni dei suoi punti salienti:

• Monitora script di spam e dannosi
• Controlla backdoor nascoste create dagli hacker
• Rileva modifiche apportate al DNS (domain name system) e SSL
• Controlla le blacklist con motori di ricerca e altre autorità
• Monitora l'uptime del sito web
• Avvisi istantanei tramite email, SMS, Slack e RSS

Per maggiori dettagli, leggi la nostra Recensione di Sucuri.

Sucuri ha un prezzo di $199,99 all'anno. Se è fuori dal tuo budget, puoi provare altri plugin di sicurezza. Vedi la nostra lista: I 9 migliori plugin di sicurezza per WordPress a confronto.

Quando selezioni un plugin di sicurezza, assicurati che ti fornisca tutte le funzionalità di cybersecurity necessarie per trovare e correggere infezioni da malware e proteggere il tuo sito web.

Passaggio 1: Scansione del tuo sito web

Per iniziare, dovrai iscriverti a un piano con Sucuri. Quindi, accedi alla dashboard di Sucuri dove puoi aggiungere il tuo sito.

Qui dovrai connettere il tuo sito web inserendo le tue credenziali FTP. Se non conosci le tue credenziali FTP, puoi ottenerle dal tuo web host.

Quando il tuo sito è connesso, Sucuri eseguirà automaticamente una scansione approfondita del tuo sito web. Una volta completata, ti mostrerà un report dettagliato nella scheda 'I miei siti'.

Ora puoi fare clic sul pulsante 'Dettagli' accanto al messaggio di avviso. Questo aprirà la pagina Monitoraggio dove potrai visualizzare i dettagli dell'hack o dell'infezione.

Passaggio 2: Richiesta di pulizia del malware

Nella pagina Monitoraggio, puoi vedere quale tipo di malware ha infettato il tuo sito. Sucuri aggiunge una valutazione per indicare il livello di rischio. Quindi, se si tratta di un rischio critico o elevato, sai che devi correggerlo immediatamente. Inoltre, ti mostrerà anche se il tuo sito è stato inserito nella blacklist da qualsiasi motore di ricerca.

Ora che sai che il tuo sito è infetto, devi pulirlo e Sucuri ti rende questo processo molto facile. Per iniziare, fai clic sul pulsante 'Pulisci il mio sito'.

Nella pagina successiva, fai clic sul pulsante Nuova richiesta di rimozione malware e apparirà un modulo dove potrai inserire i dettagli del tuo sito.

Compila semplicemente il modulo e invialo. Una volta fatto, gli esperti di sicurezza di Sucuri puliranno il tuo sito per te. Nel caso in cui non conoscessi nessuno dei dettagli necessari per il modulo, puoi chiederli al tuo web host.

Ora potresti chiederti quanto tempo ci vorrà per pulire il tuo sito.

Sucuri dà la priorità agli utenti del piano Business. Assicurano un tempo di risposta di 6 ore. Per gli altri piani, dipende da quanto è complessa l'infezione del tuo sito e dal volume delle richieste in coda.

Immediatamente dopo un attacco, raccomandiamo vivamente di disconnettere tutti gli utenti dal tuo sito e di cambiare le tue credenziali di accesso per stare sul sicuro.

Come prevenire attacchi XSS sul tuo sito WordPress

È sempre meglio proteggere il tuo sito web e prevenire questo tipo di attacchi malware sul tuo sito. È molto più facile ed economico che cercare di riparare un sito web compromesso. Ecco i nostri migliori consigli per prevenire attacchi XSS sul tuo sito.

1. Abilita un Web Application Firewall (WAF)

Sucuri ha uno dei migliori firewall per siti WordPress. Non solo blocca gli attacchi XSS, ma tutti i tipi di altri attacchi malware come DDoS, Brute Force, Phishing e SQL injection.

Il firewall si posizionerà davanti al tuo sito web e scannerizzerà ogni utente in transito. Identificherà e bloccherà i bot dannosi prima che raggiungano il tuo sito.

Per abilitare il firewall Sucuri, vai alla scheda Firewall sulla tua dashboard Sucuri.

Seleziona il tuo sito e vedrai le istruzioni di configurazione che puoi seguire. Sucuri ti offre 2 opzioni per configurare il firewall:

1. Integrazione Automatica: Inserisci semplicemente le tue credenziali di hosting utilizzando cPanel o Plesk. Questo metodo richiede di concedere a Sucuri l'accesso al server del tuo sito web per configurare automaticamente il firewall sul tuo sito.

2. Integrazione Manuale: Puoi configurare il firewall da solo senza concedere l'accesso interno a Sucuri. Per iniziare, fai clic sul link del dominio interno e assicurati che venga caricato.

Successivamente, puoi configurare il tuo DNS per indirizzare il traffico web al firewall Sucuri. Per fare ciò, dovrai accedere ai record DNS nel tuo account di hosting. Qui, puoi modificare il record ‘A’ del tuo sito e inserire gli indirizzi IP forniti da Sucuri.

Se sei preoccupato che tutto ciò sia troppo complicato, puoi chiedere aiuto al tuo web host che ti guiderà attraverso il processo. Inoltre, puoi anche aprire un ticket di supporto con Sucuri e il loro team di supporto ti aiuterà a modificare i record DNS.

Per aprire un ticket, troverai un link all'interno delle istruzioni manuali sulla stessa pagina.

Una volta terminata la configurazione del firewall, di solito sono necessarie alcune ore affinché le modifiche vengano riflesse. Puoi aspettarti un tempo di attesa massimo di 48 ore.

Quando abiliti il firewall, aggiungerà automaticamente gli header di sicurezza al tuo sito per proteggerlo dagli attacchi XSS.

Se c'è un tentativo di attacco XSS, Sucuri lo bloccherà e ti informerà nella scheda Report.

Ciò che amiamo del firewall Sucuri è che è così facile da usare per chiunque, anche per i principianti. Non devi essere un esperto di sicurezza informatica o conoscere alcun codice.

Puoi abilitare tutti i tipi di funzionalità di protezione con un semplice clic nella scheda Impostazioni » Sicurezza.

Ad esempio, puoi abilitare la protezione DDoS e il geoblocking per rendere più difficile agli hacker attaccare il tuo sito.

Per abilitare una funzionalità di sicurezza qui, tutto ciò che devi fare è selezionare la casella e salvare le impostazioni. Quando devi disabilitarla, devi semplicemente deselezionare la casella.

Oltre a questo, il plugin Sucuri:

• Scansionerà e monitorerà regolarmente spam e codice dannoso
• Ti avviserà di qualsiasi vulnerabilità di cross-site scripting
• Bloccherà bot e hacker malevoli
• Controllerà le blacklist con motori di ricerca e altre autorità
• Monitorerà l'uptime del sito web
• Rileva modifiche apportate a DNS (domain name system) e SSL
• Ti invierà avvisi di sicurezza istantanei tramite e-mail, SMS, Slack e RSS

Quindi il tuo sito sarà protetto in ogni momento.

2. Utilizza Moduli Sicuri

Su un sito web vulnerabile, i moduli sono uno degli obiettivi più comuni per gli hacker. Se il tuo modulo non è sicuro, ciò significa che chiunque può semplicemente inserire codice dannoso nei campi del tuo modulo.

La nostra raccomandazione per la messa in sicurezza dei moduli del tuo sito web è WPForms. È il miglior costruttore di moduli WordPress che ha una sicurezza integrata in modo che i tuoi moduli siano protetti fin dall'inizio.

Per impostazione predefinita, i moduli hanno la protezione antispam attiva. Inoltre, puoi persino aggiungere CAPTCHA ai tuoi moduli per bloccare i bot di spam.

Puoi abilitare un captcha invisibile o il tipo in cui un utente dovrà risolvere un piccolo puzzle o selezionare una casella per dimostrare di essere umano.

3. Imposta le autorizzazioni dei ruoli utente

Quando hai più persone che lavorano sul tuo sito web, non è saggio dare a tutti l'accesso da amministratore. È meglio assegnare loro ruoli in base alle autorizzazioni di cui hanno bisogno.

WordPress ti consente di creare ruoli per:

• Super Amministratore
• Amministratore
• Editor
• Autore
• Collaboratore
• Abbonato

Ora, se un hacker ottiene il controllo dell'account di un utente, sarà limitato in ciò che può fare sul tuo sito.

4. Logout automatico degli utenti inattivi

Gli hacker possono accedere agli account utente dirottando le loro sessioni del browser e rubando i cookie.

Puoi ridurre al minimo questo rischio disconnettendo gli utenti WordPress inattivi.

Molti plugin di sicurezza hanno una funzione di disconnessione per sessioni inattive o puoi utilizzare il plugin Inactive Logout.

5. Aggiorna regolarmente il tuo sito web

I plugin, i temi e persino la tua installazione di WordPress vengono aggiornati regolarmente. Li vedrai all'interno della tua bacheca di WordPress quando saranno disponibili:

Molti proprietari di siti web ignorano gli aggiornamenti per molto tempo, ma questo può esporre il tuo sito web agli hacker. Gli aggiornamenti di solito includono correzioni di bug, nuove funzionalità e miglioramenti del software. Possono anche avere patch di sicurezza. Puoi vedere se un aggiornamento include una patch di sicurezza visualizzando i dettagli dell'aggiornamento.

Ciò significa che è stata trovata una vulnerabilità nel software che gli hacker possono utilizzare per attaccare il tuo sito. Quando gli sviluppatori trovano problemi di sicurezza, li correggono e rilasciano una nuova versione del software.

Tutto quello che devi fare è aggiornare il software sul tuo sito.

Quindi, se vedi che si tratta di una patch di sicurezza, aggiornala immediatamente per evitare qualsiasi rischio di essere hackerato.

Uno dei motivi principali per cui i proprietari di siti ignorano gli aggiornamenti è che a volte possono compromettere il tuo sito o causare problemi di incompatibilità. Ti consigliamo di testare l'aggiornamento su un sito di staging e quindi eseguirlo sul tuo sito live.

Con questo, hai imparato come correggere e prevenire gli attacchi XSS sul tuo sito WordPress.

Prima di concludere, ti daremo un altro consiglio di sicurezza. Esegui sempre backup regolari del tuo sito web.

Anche con le misure di sicurezza più forti sul tuo sito, molte cose possono andare storte. Ad esempio, un utente può commettere un semplice errore umano che blocca il tuo sito web.

Puoi impostare backup automatici utilizzando un plugin di backup come UpdraftPlus. Per ulteriori opzioni, consulta il nostro elenco dei migliori plugin di backup per WordPress.

FAQ

1. WordPress è vulnerabile agli attacchi di cross-site scripting?

Il software core di WordPress è sviluppato e mantenuto da alcuni dei migliori esperti al mondo. Il loro software è piuttosto solido, ma tieni presente che nessun software è esente da vulnerabilità.

Il motivo per cui i siti web WordPress vengono attaccati spesso è che la piattaforma è così popolare. E la maggior parte degli utenti installa tonnellate di temi e plugin di terze parti. Le vulnerabilità possono svilupparsi in uno qualsiasi di questi elementi e gli hacker possono sfruttarli per hackerare il tuo sito.

2. Esistono diversi tipi di attacchi di cross-site scripting?

Sì. Ci sono 3 tipi principali di attacchi XSS:

• Stored XSS (noto anche come XSS persistente): Gli aggressori memorizzano il loro payload su un server compromesso, facendo sì che il sito web consegni codice dannoso ad altri visitatori.
• Reflected XSS: Til payload è memorizzato nei dati inviati dal browser al server.
• DOM XSS: Qui, il server stesso non è vulnerabile a XSS, ma lo è il JavaScript sulla pagina.
• Cross-site scripting autonomo: Gli aggressori possono sfruttare una vulnerabilità che richiede un contesto molto specifico e modifiche manuali. La vittima qui puoi essere solo tu.
• Blind cross-site scripting: In questi attacchi, la vulnerabilità si trova comunemente in una pagina a cui solo gli utenti autorizzati possono accedere. L'aggressore non può vedere il risultato di un attacco.

3. Come posso assicurarmi che non ci siano altri problemi di sicurezza sul mio sito?

Assicurati di avere sempre installato un plugin di sicurezza sul tuo sito web. Questo è un must per tutti i tipi di siti web, inclusi WooCommerce, blog e siti di piccole imprese. Consigliamo Sucuri, ma puoi anche dare un'occhiata a Wordfence, MalCare e SiteLock. Vedi altre nostre migliori raccomandazioni qui: I 9 migliori plugin di sicurezza per WordPress a confronto.

4. WordPress protegge contro XSS?

WordPress dispone di diverse misure di sicurezza per aiutare a proteggere contro gli attacchi di Cross-Site Scripting (XSS), ma l'efficacia di queste misure dipende da come è configurato il sito web, dai temi e dai plugin utilizzati e da quanto bene viene mantenuto. Devi assicurarti di prendere le tue misure per proteggere il tuo sito da tali attacchi.

5. Il CSP di WordPress è efficace contro gli attacchi XSS?

WordPress ha introdotto gli header della Content Security Policy (CSP) nelle versioni recenti. Una CSP ben configurata può essere efficace nel prevenire attacchi XSS specificando quali fonti di contenuto sono autorizzate a essere eseguite su una pagina web. Immagina che il tuo sito web sia un castello e tu voglia proteggerlo dalle cose brutte. CSP è come un insieme di regole che dicono alle guardie (il tuo browser web) quali persone (script) possono entrare nel castello (il tuo sito web).

Questo è tutto per oggi. Speriamo che questo post ti abbia fornito tutto il necessario per proteggere il tuo sito web.

Per saperne di più sulla sicurezza dei siti web, consulta le nostre risorse su:

• La guida completa alla sicurezza di WordPress (adatta ai principianti)
• I 5 migliori scanner di vulnerabilità WordPress per trovare minacce
• I 9 migliori plugin per il registro delle attività per monitorare e controllare il tuo sito WordPress

Questi post ti daranno più modi per sigillare le vulnerabilità e proteggere il tuo sito web da tutti i rischi.