Vai al contenuto principale

Come proteggere il tuo sito da plugin dannosi

Divi: il tema WordPress più semplice da usare

Divi: il miglior tema WordPress di tutti i tempi!

più Download di 901.000, Divi è il tema WordPress più popolare al mondo. È completo, facile da usare e viene fornito con oltre i modelli gratuiti 62. [Consigliato]


Il vecchio adagio "ottieni quello per cui paghi" si applica a quasi tutte le attività in qualsiasi settore, incluso il mercato dei plugin premium di WordPress.

I plugin premium generalmente offrono una serie di funzionalità ed estendono le funzionalità di WordPress a passi da gigante. E poiché provengono dalla comunità degli sviluppatori, molte persone, specialmente quelle nuove al gioco, si fidano di loro senza esitazione. Sfortunatamente, questo può aprire il tuo sito a plugin dannosi; sia quelli codificati in questo modo sia quelli corretti da una terza parte in un secondo momento.

Che aspetto hanno i plugin dannosi?

All'apparenza i plugin dannosi sembrano praticamente identici ai plugin legittimi, il che è piuttosto frustrante da leggere, lo so. In genere funzionano come dovrebbero e funzionano come vuoi tu. Dove differiscono, tuttavia, è spesso sepolto in profondità nel loro codice.

Ciò non significa che gli sviluppatori siano lì per te. Voglio dire che probabilmente c'è certains con intenzioni non morali ma la stragrande maggioranza delle volte sono plugin completamente sopra la lavagna che vengono scaricati dagli hacker, manipolati e poi scaricati di nuovo in modo che altre persone possano scaricarli e infettarli inconsapevolmente i propri siti.

Sucuri BlogSecondo Denis Sinegubko del blog Sucuri, ci sono alcuni tipi comuni di codice dannoso che vengono inseriti in questi plugin.

Ad esempio, un utente malintenzionato può includere funzioni nel codice del plug-in che creano un nuovo utente con nome utente e password noti e configurarlo per inviare un'e-mail a se stesso quando un sito ha installato il plug-in. Quindi possono andare a un indirizzo univoco che hanno impostato sul server di quel sito, accedere e fare quello che vogliono, come rubare informazioni personali o scaricare file dannosi. Le opportunità sono purtroppo infinite.

Spesso queste righe di codice dannose vengono sepolte. Sono commentati e mascherati. Quindi, anche se sai come dovrebbe essere un plugin ben scritto, esaminare il codice non rivelerà molto. Almeno non a prima vista. Devi sapere cosa stai cercando per individuare il danno e scavare davvero riga per riga.

Oppure sono nascosti in blocchi di codice crittografati. Questo è ancora più difficile da individuare perché è abbastanza normale che i plugin premium abbiano porzioni di codice crittografato. Gli sviluppatori lo stanno facendo per rendere più difficile per le persone rubare algoritmi e dettagli su come è stato creato il plugin.

Crea facilmente il tuo sito Web con Elementor

Elementor ti consente di creare facilmente qualsiasi design di sito Web con un aspetto professionale. Smetti di pagare caro per quello che puoi fare da solo. [Free]

Ha senso, vero? Ma quando Sinegubko stava lavorando su un sito infetto, gli è stato chiesto di decifrare tutti quei blocchi di codice crittografati. In questo caso, il plugin che si è rivelato infetto era SEOPresser. Questo plugin di solito ti costerà almeno $ 47, ma il sito infetto stava eseguendo una versione gratuita, che molto probabilmente è stata scaricata illegalmente. SEOPresser è un ottimo plugin e questo non dovrebbe influire affatto sui suoi sviluppatori. Piuttosto, mostra solo che qualsiasi plug-in ha il potenziale per essere violato e manipolato a vantaggio degli aggressori.

Il blocco di codice decifrato da Sinegubko per rivelare il progetto per l'impostazione di un nome utente e una password falsi assomigliava a questo:
Plugin dannosi del codice Sucuri

Come vengono infettati i plugin?

Plugin dannosi infettiPer la maggior parte, i plug-in perfettamente legittimi finiscono per contenere codice dannoso attraverso un processo chiamato patching.

Questi plugin vengono acquistati e/o rubati, patchati e ricaricati su siti che offrono “download gratuiti” di plugin premium. A parte le implicazioni morali del download gratuito di plugin premium, farlo è totalmente, completamente, al 100% non ne vale la pena.

Mentre qualcuno in cerca di omaggi potrebbe pensare che le persone che scaricano questi plugin piratati lo stiano facendo per la bontà dei loro cuori in stile Robin Hood, probabilmente non lo è. Per niente.

Come scrive Sinegubko, “Perché qualcuno dovrebbe passare il suo tempo a rubare software e poi a pubblicarlo su vari siti e forum dove non può nemmeno contare sulle entrate pubblicitarie? "

Ottima domanda a cui offre una risposta ancora migliore: queste persone si aspettano di poter sfruttare alcuni dei siti che finiscono per installare questi plugin. Ma prima che ciò accada, avranno aggiunto accesso backdoor, malware, spam, collegamenti nascosti o altre cose spiacevoli al codice.

Stai cercando i migliori temi e plugin per WordPress?

Scarica i migliori plugin e temi WordPress su Envato e crea facilmente il tuo sito web. Già più di 49.720.000 download. [ESCLUSIVO]

Come evitare che i plugin infetti influenzino il tuo sito

Ora che stai praticamente tremando per questo business di plugin dannosi, puoi imparare a essere più proattivo nell'impedire loro di avvicinarsi al tuo sito. Ecco quattro modi per proteggerti al meglio:

1. Usa WordPress.org per plugin gratuiti

Senza se, senza ma: se il plugin è gratuito, dovresti scaricarlo dalla directory dei plugin di WordPress.org. Come mai? Perché ogni plug-in gratuito incluso deve essere all'altezza delle rigide linee guida di inclusione di WordPress. Prendono molto sul serio la qualità di ogni plugin e non includono quelli che non soddisfano determinati standard di base.

Sebbene WordPress abbia avuto i suoi buchi in passato, per la maggior parte è un posto molto sicuro da cui scaricare plugin.

2. Usa i siti degli sviluppatori solo per i plugin Premium

Non scaricare plug-in gratuiti o premium da siti Web casuali che incontri. Non fare clic su link di download sospetti pubblicati nei thread di discussione. Se trovi un plug-in che desideri scaricare, cerca il suo nome su Google e cerca nel sito Web dello sviluppatore. Questo è l'unico posto in cui dovresti anche pensare di scaricare un plug-in premium da.

E pensaci: se hai intenzione di acquistare un plug-in, vuoi che lo sviluppatore sia in cima e il loro sito Web sia sicuro per proteggere anche le tue informazioni personali. Semplicemente non c'è modo di aggirarlo.

3. Fai ricerche approfondite sugli sviluppatori

Cerca sviluppatori di plugin dannosiOk, quindi sì, dovresti scaricare solo plug-in premium dai siti Web degli sviluppatori. Ma non è necessariamente lì che finisce il tuo lavoro. Se non hai mai sentito parlare di uno sviluppatore prima, è sempre una buona idea studiare cosa sono. Fai una piccola ricerca.

Quali altri plugin hanno creato? Qual è la loro reputazione all'interno della comunità di WordPress, se esiste? Le persone hanno lasciato recensioni del loro lavoro passato? Usa tutto questo per valutare la tua decisione prima di impegnarti ad acquistare e scaricare un plugin.

4. Non rubare mai i plugin

Anche se dovrebbe essere ovvio, devo comunque includerlo qui: mai e poi mai rubare plug-in premium o scaricare versioni "gratuite" di plug-in premium. Quest'ultimo è praticamente uguale al primo: qualcun altro l'ha appena rubato per primo. Sul serio, non farlo!

Scaricare solo copie legittime dei plug-in ti aiuterà a evitare tutte quelle attività di plug-in "patchate" in anticipo e ti risparmierà il fastidio e l'imbarazzo di doverli ripulire in seguito.

Conclusione

So cosa stai pensando. Gli hacker trovano sempre un modo per infiltrarsi nei siti. Ed è assolutamente vero. Sono particolarmente intelligenti e trovano modi per hackerare i siti tramite plug-in, temi e persino l'amministratore di WordPress. Eppure solo perché lui pouvez ciò non significa che non dovresti fare tutto ciò che è in tuo potere per impedirlo. Si spera che, avendo un'idea chiara dell'aspetto dei plugin dannosi e seguendo i suggerimenti di cui sopra, manterrai il tuo sito pulito.

Crea facilmente il tuo negozio online

Scarica gratuitamente WooCommerce, i migliori plug-in di e-commerce per vendere i tuoi prodotti fisici e digitali su WordPress. [Consigliato]

Hai scoperto attività sospette sul tuo sito che in seguito hai determinato essere il risultato di un plug-in? Se sì, come hai risolto il problema? Mi piacerebbe sentire i tuoi suggerimenti e consigli nei commenti.

Fonte immagine: 顔 な し, NIAID, Ragazza nomade

Fonte

Questo articolo contiene i commenti 0

Lascia un commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre indesiderati. Ulteriori informazioni su come vengono utilizzati i dati dei commenti.

Torna in alto
0 azioni
quota
Tweet
Enregistrer