WordPress è senza dubbio la piattaforma migliore e più flessibile per un sito Web di piccole imprese. Lo consigliamo per ogni azienda con cui lavoriamo e metà degli strumenti che consigliamo sono plug-in o componenti aggiuntivi di WordPress. In poche parole, se non stai utilizzando WordPress per il tuo sito web, ti stai perdendo tantissime funzionalità.

Tuttavia, come il sistema operativo del tuo computer, con tutte queste funzionalità, di conseguenza possono arrivare alcuni problemi di sicurezza.

Nel 2016, gli hacker sono stati in grado di accedere a oltre 4,8 milioni di e-mail della società legale e contabile panamense Mossack Fonseca. La fuga di dati risultante, soprannominata dalla stampa i “Panama Papers”, è stata la più grande della storia e conteneva prove di evasione fiscale da parte di innumerevoli funzionari pubblici e figure in tutto il mondo.

Alcune società di sicurezza informatica attribuiscono la responsabilità della violazione al sito web WordPress di Mossack Fonseca, ormai obsoleto, infatti questo aveva una versione del WP core e molti plugin che non erano aggiornati e peggio ancora presentavano delle versioni con bug di sicurezza molto gravi.

Cosa significa questo per te, il tuo sito web e la tua attività? Sei a rischio di violazione dei dati? La semplice risposta potrebbe essere no, ma devi mantenere alta la guardia e il tuo sito web, tenendo sempre aggiornato WordPress e i plugin.

Panama Papers

Panama Papers sono solo uno e forse il caso più blasonato, di una tendenza sempre più comune di fughe di dati di alto profilo. A differenza delle recenti fughe di dati dai grandi gruppi di hacker che hanno preso di mira i numeri delle carte di credito e le informazioni finanziarie dei singoli clienti, questa fuga si è concentrata sul rilascio di dati sensibili alla stampa per mettere in imbarazzo i leader mondiali e gli evasori fiscali.

La fuga di notizie è stata un fatto di risonanza mondiale e i giornalisti non sono ancora stati in grado di esaminare tutti i dati. Ci sono oltre 2.600 GB di dati trapelati, che è più di qualsiasi altra grande perdita di dati nella storia del web. Per fare un paragone, la fuga di dati di Wikileaks del 2010 era di appena 1,7 GB.

Non solo i documenti contengono informazioni sugli evasori fiscali, che nella maggior parte dei Paesi sarebbe illegale diffondere, ma contengono anche prove di reati più gravi come riciclaggio di denaro e frode.

La fuga di notizie coinvolge direttamente anche 12 Capi di Stato attuali o ex Capi di Stato, incluso il presidente russo Vladimir Putin, per di più ha portato alle dimissioni del primo ministro islandese.

Inoltre, molti altri leader mondiali sono indirettamente implicati, come l’ex Primo Ministro della Gran Bretagna, David Cameron all’epoca capo del governo britannico.

Come è successo?

WordFence offre un’interessante descrizione dei dettagli più specifici, ma la maggior parte dei dati è stata acquisita sfruttando una debolezza nel sito web WordPress di Mossack Fonseca.

Mossack Fonseca utilizzava sul proprio sito un plugin chiamato Revolution Slider. Il plugin gestiva la maggior parte delle funzioni visive ed è uno strumento di progettazione WordPress piuttosto popolare e potente.

Ogni plugin o componente aggiuntivo può aggiungere una vulnerabilità al vostro sito. Gli sviluppatori non sono perfetti ed è impossibile creare un codice perfetto al primo tentativo. Ecco perché la maggior parte degli sviluppatori di plugin rilascia regolarmente aggiornamenti del software. Purtroppo, Mossack Fonseca non ha aggiornato il plugin e ha lasciato alcune vulnerabilità che sono state corrette nelle versioni successive. Wordfence ha un video su come gli hacker sono riusciti a sfruttare questo plugin.

Una volta entrati nel sito web, gli hacker sono stati in grado di accedere al server di posta elettronica di Mossack Fonseca perché disponevano di un altro plugin che consentiva loro di inviare posta attraverso il sito web. Questo plugin non presentava vulnerabilità ed era completamente aggiornato, ma una volta che gli hacker erano entrati, era già troppo tardi.

Devo preoccuparmi per il mio sito?

La risposta a questa domanda non è così semplice. Mossack Fonseca era un bersaglio soprattutto perché era coinvolta in attività potenzialmente illecite con clienti di alto profilo e con molto denaro. Gli hacker erano sofisticati, più dei criminali informatici comuni, e probabilmente avrebbero preso di mira solo aziende come queste con una posta in gioco elevata.

Ma qualsiasi piccola impresa può essere a rischio di crimini informatici, soprattutto se gestisce parte del suo commercio online. Ci sono molti criminali informatici che cercano di fare soldi facili grazie ai dati delle carte di credito rubate.

Ecco perché dovresti trarre i seguenti insegnamenti da questo incidente: prestate attenzione al vostro sito web e aggiornate regolarmente i vostri plugin.

Assicuratevi di non lasciare il vostro sito web in esecuzione in background senza manutenzione per troppo tempo. Gli hacker e i criminali si muovono rapidamente e gli sviluppatori sono costretti a rispondere altrettanto rapidamente. Se uno sviluppatore rilascia un aggiornamento che include funzioni di sicurezza, è bene pensare che sia perché qualcuno da qualche parte ha trovato un modo per entrare. Devi essere disposto ad aggiornare regolarmente il tuo sito per impedire che persone con intenzioni poco raccomandabili possano provare a far danni.