WordPress è senza dubbio una delle soluzioni più utilizzate per realizzare un blog e al di là delle apparenze, della gratuità e della semplicità di installazione – anche grazie alle soluzioni facilitate mediante Softaculous – si tratta di una piattaforma open source che viene progressivamente aggiornata.
Non per questo però si trova ad essere immune da falle di sicurezza anzi, il blogger che lo usa, dovrebbe collaborare, seguire la community, segnalare anomalie e così via.
Anche i principianti dovrebbero preoccuparsi di questo aspetto, tutt’altro che riservato agli esperti nel settore. Questo genere di problematiche, nello specifico, vengono fuori nel momento in cui il blog ospitato su Hosting WordPress viene violato.
Metti il lucchetto al tuo blog WordPress
Un hacker ad esempio può riuscire a sostituire (mediante una pratica denominata defacing) la home page con una a sua discrezione, o peggio ancora accedere da amministratore al CMS “indovinando” la nostra password. In molti casi, la seconda circostanza è causa diretta della prima.
Vediamo quindi come rendere più sicuro il tuo blog WordPress e le principali contromisure di sicurezza da adottare che anche il blogger principiante dovrebbe tenere in considerazione, per evitare brutte sorprese quando meno se l’aspetta.
Senza scendere in dettagli tecnici specifici, bisogna sapere che l’attacco a WordPress avviene con una probabilità statistica equivalente per ogni tipologia di sito (i siti sono attaccati “a campioni” più o meno casuali, un po’ come avviene per la distribuzione dello spam), in particolare una volta che sia stato pingato, inserito nei motori di ricerca, linkato da siti malevoli o inserito in apposite liste di siti “attaccabili”.
Nella pratica i due attacchi più comuni sono l’inserimento di query SQL mediante manipolazione degli URL del sito (SQL injection), oppure mediante interfaccia di amministrazione (che in WP è tipicamente nomesito.it/wp-admin) o anche mediante protocollo FTP.
La violazione più comune: forzare la password per “tentativi”
Considerando che in molti casi l’hacker riesce ad indovinare la password del nostro sito, si assume che conosca la username (che in WP è pubblica e visualizzabile in un URL specifico), per cui è bene seguire questi semplici criteri:
- utilizzare sempre password composte da lettere, numeri ed almeno un simbolo non alfabetico (*#@^!) e mai troppo scontate o corrispondenti in tutto o in parte con il nome del sito;
- evitare di inserire date di nascita (in genere stringhe solo numeriche) come password;
- cambiare periodicamente (ad esempio ogni mese) la password di accesso al blog;
- evitare di scegliere admin come nome utente amministratore oppure cambiarlo con la procedura di seguito riportata.
Come cambiare l’utente admin di WordPress
Se la username amministrativa è admin è il caso di cambiarla quanto prima. Considerando che non è possibile cancellare brutalmente tale account (poi sarebbe impossibile accedere al sito), bisogna prima creare un nuovo utente amministratore con un nome di fantasia e poi cancellare la vecchia utenza admin, avendo cura di riassociare i vecchi articoli al nuovo account.
Dovremmo inoltre seguire i criteri suggeriti nella lista precedente sia per le password di accesso al sito che per quelle di FTP, PHPMyAdmin e cPanel/Plesk (se possibile).
Attacchi avanzati: SQL/code injection
Per evitare questo genere di attacchi è necessario tenere plugin, core e theme del blog in WordPress sempre aggiornati all’ultima versione.
Una piccola attenzione ulteriore richiede inoltre, di evitare di utilizzare theme a pagamento scaricati gratuitamente da siti pirata (sono spesso “infetti” e forniscono una backdoor all’attaccante per accedere al sito) e, per le stesse ragioni, di evitare l’utilizzo di plugin “alternativi” che promettano buoni posizionamenti sui motori di ricerca, o offrono altre funzionalità dubbie.
Per assicurarsi che sia tutto “in regola” per i componenti che si installano, il criterio basilare è di utilizzare plugin e theme scaricati esclusivamente da wordpress.org (e non da siti esterni), visto che sono sottoposti ad una procedura di verifica da parte di esperti.
In questo articolo abbiamo visto soltanto alcuni aspetti basilari della protezione di un blog WordPress. Per maggiori informazioni si suggerisce di leggere il nostro articolo in merito alle configurazioni avanzate di WordPress e “My Site Was Hacked” e “Hardening WordPress” dal blog ufficiale.
Lascia un commento