WordPress: rischi e sicurezza

Introduzione

Internet è, per definizione, un mondo poco sicuro. Non a caso la crittoanalisi e la crittografia sono sempre andati di pari passo: per ogni vulnerabilità di un sistema è possibile una spiacevole intrusione da parte di spammer, hacker o cracker che possono studiare e impadronirsi di tale sistema per poter poi utilizzarlo a seconda delle proprie necessità. Questa infiltrazione può comportare danni dall’incommensurabile gravità, compromettendo così i nostri dati e violando la nostra privacy.

Oggi, parliamo della sicurezza di uno dei CMS (Content Management System) più usati nel mondo: WordPress.

Rischi e sicurezza di WordPress

Come detto, WordPress è un sistema di gestione molto utilizzato che viene regolarmente aggiornato. Permette l’utilizzo dei template (insieme di file studiati appositamente per modificare soltanto l’interfaccia grafica di un sito web) e dei plugin (componenti esterni che possono essere integrati a WordPress per estendere le funzionalità di un sito web) per personalizzare al massimo un sito.

Come in ogni cosa, c’è l’altra parte della medaglia. Difatti, tutte queste parti del sito devono essere debitamente aggiornate, altrimenti possono crearsi delle vulnerabilità fatali per la sicurezza del sito WordPress.

Sicurezza di WordPress

Il CMS deve essere aggiornato il prima possibile. Nel maggior parte delle volte, le nuove versioni contengono dei miglioramenti o correzioni a livello di sicurezza e, quindi, le versioni obsolete potrebbero essere già vulnerabili.

Sicurezza del template WordPress

Per salvaguardare l’integrità del tema di WordPress è importante seguire alcuni consigli dagli stessi sviluppatori del CMS:

• Limitare l’accesso: ridurre al massimo il rischio di creare vulnerabilità da possibili virus
• Limitare i danni: ridurre al massimo i possibili danni che un’eventuale intrusione potrebbe scatenare, nel caso in cui la sicurezza del sito è compromessa 
• Monitoraggio regolare: fare backup regolari e monitorare il proprio sito web continuamente
• Attendibilità: è altamente consigliabile non scaricare o acquistare template da fonti dalla dubbia attendibilità.

Sicurezza dei plugin WordPress

Come detto per le altre parti, anche i plugin di WordPress devono essere regolarmente aggiornate. Inoltre, è raccomandato l’utilizzo soltanto di plugin strettamente necessari per il vostro sito web. Gli altri non vanno solo disattivati, ma cancellati del tutto.

I plugin non necessari devono essere CANCELLATI, non solo disattivati!

 È consigliato installare dei plugin che fungono da firewall per il sito web. Ce ne sono diversi a questo proposito, alcuni ottimi.

Password

La scelta della password è molto importante. Per accedere al back office di WordPress, ai file tramite il protocollo FTP o ai vari pannelli di controllo del sito, dobbiamo immettere una password.

Innanzitutto, è meglio se le password sono diverse tra di loro, anche se ogni intrusione permetterebbe al cracker di eseguire tutte le operazioni che vuole.

Quando si sceglie una password, onde evitare il famoso Metodo forza bruta, è molto importante evitare:

• Nome, nome utente, azienda, sito ecc.
  • es. Nome: Francesco, Password: francesco123
  • es. Utente: francis, Password: 4francissss
• Parole di dizionario, in qualsiasi lingua
  • es. casa123
• Password brevi
  • es. tris
• Password solo di numeri o di lettere
  • es. 123456 o homepage

Per avere una password molto potente è necessario utilizzare una combinazione di numeri, lettere (minuscole e maiuscole) e simboli nel modo più casuale possibile, dalla lunghezza minima di 8 caratteri.

Esempi di password:

• rfR@3sP”!Fv
• G)c#*Nb3vT4
• p_09Xw!“cvj27F5GH=!

Nome utente di WordPress

È molto importante non chiamare il nome utente admin, webmaster, Nome o sito web poiché sono quelli più attaccati. Utilizzare un nome utente già difficile (con una password molto forte) renderebbe il compito molto più arduo agli hacker e almeno questa porta d’entrata sarebbe più sicura.

Inoltre, per la stessa logica di prima, è consigliabile rinominare il prefisso delle tabelle del database. Di default il prefisso è “wp_” e viene dato quasi per scontato che sia sempre così. Per cui, modificarlo con qualcosa di diverso (anche “abc” o, meglio, “z6d3p92md93u_”) eviterebbe la tecnica di hacking chiamata SQL injection.

Conclusione

Queste sono solo alcune parti della sicurezza di WordPress, ve ne sono molte altre. La tematica della sicurezza è molto vasta e in continua evoluzione. Per cui, è molto importante informarsi regolarmente sui nuovi malware e sulle tecnologie per fermarli.

Se ritiene di avere un problema simile, siamo a sua disposizione! Contatto