Hackerare un sito WordPress è davvero così facile?

Hackerare un sito WordPress è davvero così facile?

21/09/2021 0 By Redazione

La classica domanda da 100.000 dollari alla quale segue una naturale risposta: “Perché?”. Francamente i motivi per cercare le vulnerabilità di un CMS basato su WordPress sono molti e al primo posto metterei la verifica della sicurezza del sito stesso. Ma potrebbe esserci il classico malintenzionato che, avendo scoperto che il nome a dominio è appetibile potrebbe tentare di sostituire, in tutto o in parte, il contenuto del sito con parti che gli portino un profitto. Oppure, e non è difficile trovarne, persone e organizzazioni che cercano di discreditare il proprietario del sito vittima inserendo informazioni fuorvianti e diffamatorie. In ogni caso, essendo WordPress riconosciuto come la piattaforma per la gestione di contenuti universalmente più utilizzata è quasi normale che i criminali informatici la tengano sotto osservazione per sfruttarne tutte le vulnerabilità. Entrando nello specifico penso che la risposta alla domanda iniziale sia “Dipende”.

WordPress 5.9

Vulnerabilità di WordPress: le cause

C’è poco da fare; le principali vulnerabilità di WordPress dipendono, essenzialmente, dalla poca cura che gli utenti mettono nel configurare con cura il CMS. Tutti, o quasi tutti gli utenti continuano ad utilizzare come utente principale “admin” e quasi nessuno si preoccupa della “forza” della relativa password. Questo significa mettere in condizione l’ultimo arrivato nel mondo degli hacker di riuscire ad avere, in pochi istanti, informazioni essenziali per poter iniziare a penetrare la sicurezza del sito. In ogni caso, una volta che si è sicuri che il sito è stato realizzato con WordPress, non è poi tanto facile iniziare un lavoro di penetrazione. Per farlo è necessario essere in possesso di tools specializzati come Kali Linux e di avere una ottima conoscenza della struttura delle directory del CMS che, comunque, potrebbe essere stata modificata, per aumentare la sicurezza, da chi ha installato il software. In alcuni casi si possono utilizzare eventuali falle nella sicurezza stessa del codice di WordPress o dei plugin di precedenti versioni sperando che il titolare del sito “sotto osservazione” non le abbia aggiornate.

Il tool WPScan

Una categoria di hacker, i cosiddetti “White Hat” (cappello bianco) si sono specializzati proprio nel lavoro di testare le possibilità di entrare e prendere il controllo di siti internet, fra cui quelli basati su WordPress, per consentire ai legittimi titolari di poter attuare le misure di sicurezza necessarie. Uno dei più utilizzati è WPScan, utilizzato, appunto, per la scansione di un sito WordPress alla ricerca di eventuali vulnerabilità. WPScan è incluso in Kali Linux ma può essere installato su qualsiasi distribuzione Linux aggiornata che abbia dei prerequisiti essenziali per quello che concerne il php e di altri programmi indispensabili. E già questo significa possedere delle competenze specifiche che non si acquisiscono leggendo un tutorial on line o guardando un filmato di 10 minuti su YouTube. Una volta installato WPScan, oppure preparato un PC con Kali Linux, avremo la possibilità una serie di informazioni su WordPress fra cui, fondamentali, la versione di WordPress installata ed eventuali vulnerabilità associate, quali plugin sono installati ed eventuali vulnerabilità associate, quali temi sono installati ed eventuali vulnerabilità associate, l’elenco dei nomi degli utenti, gli utenti con password deboli, la presenza di un file di backup del file di configurazione di WordPress e tante altre informazioni. Facile? Se conoscete bene Linux e avete voglia di studiare abbastanza. Altrimenti rischiate di lasciarvi dietro tracce indelebili nei log della vostra vittima e finire, voi, nel mirino delle autorità.