WordPress è di sicuro il più popolare tra i CMS (Content Management System) per la gestione di blog e siti internet di varia natura, proprio per questo motivo rappresenta anche uno dei target preferiti per i pirati informatici. Spesso si dimentica di proteggere i propri siti fino a quando, troppo tardi, ci accorgiamo di essere stati hakerati o ancora peggio di aver perso tutto il proprio lavoro!
Il probema della sicurezza di WordPress è da sempre stato preso seriamente dal team di sviluppo, tuttavia è possibile prendere ulteriori precauzioni. In questo articolo cercherò di riassumere quali siano alcune delle vulnerabilità del noto CMS e come correggerle per evitare spaicevoli sorprese. Nella speranza che possiate interessarvi al problema e magari approfondire le vostre conoscenze.
Eseguendo una ricerca su Google si trovano numerosissimi siti web che suggeriscono consigli su come rendere WordPress sicuro, anche tramite l’utilzzo di plugins e codice di programamzione, tuttavia se non siete degli esperti in materia, queste fonti potrebbero creare maggiore confusione. Nonostante alcuni degli articoli rappresentano un buon punto di partenza per iniziare ad interessarsi al problema, è opportuno capire cosa si sta facendo, magari facendo dei test su un sito di prova evitanto così di corrompere il proprio sito web.
Prima di entrare più in dettaglio vorrei precisare che non esistono delle regole generali e definitive per rendere sicuro WordPress! Tenendo in mente qusta considerazione di seguito elenco alcuni accorgimenti basilari da seguire per una corretta gestione di un sit realizzato in WordPress.
1. Tenete WordPress aggiornato all’ultima versione!
Uno dei vantaggi nell’utilizzare un CMS così popolare e che vanta una grande community di sviluppatori è quello di avere un numero maggiore di rapporti di sicurezza che vengono costantemente analizzati dal team di sviluppo, il rilascio constanti aggiornamenti al fine di correggere questi errori permette di rendere WordPress sempre più sicuro.
Se le prime versioni erano complicate da aggiornare, perchè era necessario caricare files tramite FTP o SSH, a partire dalla versione 2.7 fino all’ultima versione la 3.8, sono stati introdotti gli aggiornamenti automatici del core, rendendo più semplice e veloce il processo di manutensione. L’ultima versione di WordPress è sempre disponibile sul sito ufficiale wordpress.org. Non scaricate o installate WordPress da altri siti web!
Nonostante esistano diverse tecniche per nascondere la versione di WordPress che state utilizzando, questo non è abbastanza per proteggere il vostro sito dagli haker. Quando viene scoperta una nuova vulnerabilità, il team di sviluppo rilascia un nuovo aggiornamento al fine di correggerla, tutte le informazioni sugli exploit sono quindi di dominio pubblico. Rendendo le versioni più vecchie facilmente soggette ad attacchi di pirati informatici! Prima di eseguire l’aggiornamento eseguite sempre un backup di tutti i files e del database!
2. Fate attenzione alle password che usate!
In WordPress è facile capire dove si trova l’accesso al pannello di amministrazione. Pertanto una volta arrivati alla pagina di login url/wp-admin un hacker potrebbe provare un serie casuale di combinazioni di username e password. Qualora il nome utente sia semplice da trovare, perchè ad esempio compare nei vostri articoli o se state ancora utilizzando quello di default (admin), allora ai malintenzionati non rimane che trovare solamente la password ed il gioco è fatto!
Quello che suggerisco è di utilizzare delle password complesse che contengano un numero casuale di lettere, numeri e simboli. E’ anche una buona idea utilizzarne diverse per ogni sito che create. Io personalmente utilizzo un generatore automatico di password, ne trovate diversi sul web!
Piccoli accorgimenti per creare delle buone passwords sono:
– Non utilizzate alterazioni del vostro nome reale, o del vostro sito internet. Cercate di dare meno informazioni plausibili!
– Non utilizzate parole prese in prestito dal vocabolario. Gli hacker utilizzano database di parole!
– Non utilizzate password corte. Una password più lunga richiede più tempo per essere trovata!
– Non utilizzate solo numeri o lettere dell’alfabeto. Utilizzate invece simboli, lettere e numeri!
Un consiglio che vi do, è di eliminare l’amministratore di default e di creare due utenti, uno con i permessi di amministrazione e uno con i permessi di autore. In questo modo potrete utilizzare il primo per eseguire gli aggiornamenti e la manutenzione di WordPress e il secondo per scrivere e pubblicare i vostri articoli. In questo modo sul vostro blog verrà visualizzato solo l’autore dei post e non l’amministratore dell’intero sito!
3. Limitate il numero di tentativi di login!
Una delle tecniche maggiormente utilizzata dagli hacker è quella di esegire dei programmi che provano milioni di diverse combinazioni di username e password fino a quando non trovano quelle esatte. Un metodo efficace per proteggersi da questo tipo di attacchi è quello di limitare il numero di tentativi di login!
In questo modo gli hackers potranno solo fare pochi tenattivi in un lasso di tempo limitato permettendoti inoltre di monitorare i tentativi di accesso registrando gli IP ed eventalmente proibire l’accesso al pannello di amministrazione. Uno dei plugin che vi raccomando di utilizzare è Limit Login Attempts disponibile sul sito ufficiale di WordPress.
5. Usate solo temi e plugins fidati!
Uno dei tanti vantaggi nell’utilizzare WordPress è l’incredibile disponibilità di estensioni. Sul web è possibile torvare diversi temi e plugins. Tuttavia vi consiglio di utilizzare solo quelli disponibili nell’archivio ufficiale e questo per evitare che gli script contengano codice malevolo.
Spero che questi semplici consigli siano stati utili nel suscitare la vostra attenzione sul tema della sicurezza di WordPress. Esistono molte altre tecniche di sicurezza alcune più complesse di altre, per le quali scriverò in futuro un articolo più dettagliato. Nel frattempo perchè non condividete con me le vostre esperienze e tecniche che utilizzate per proteggervi dagli attacchi informartici?
Lascia un commento