Come tutti noi sappiamo WordPress è fatto essenzialmente di php e mysql.
E quindi, come tutti i siti realizzati con questi linguaggi, è soggetto ad attacchi da persone che hanno cattive intenzioni (e che si possono chiamare in tutti i modi, tranne che hacker).

sicurezza wordpress

Cosa fanno sui nostri siti?

Spesso questi attacchi permettono ai malfattori di avere il pieno accesso al nostro server (o piano hosting).

Solitamente le operazioni che svolgono sono:

  • Inserimento pagina html “Guarda che bravo” –  è la cosa meno pericolosa, in pratica questi inseriscono una pagina (spesso la index.html) con scritto cose del tipo “Sito hackerato da nome-deficiente” questo serve loro per dichiarare di aver hackerato il sito. Ci sono delle specie di classifiche online (indonesiandefacer.org oppure rankmyhack.com) dov’è possibile gareggiare bucando più siti possibile. Se il vostro finisce qui… meglio darsi una mossa a riparare il problema! In questo caso a volte basta cancellare la pagina html e cambiare tutte le password, ma una controllatina è d’obbligo.
  • Inserimento editor php per il controllo server – qui la cosa si fa seria perché ci sono degli script che se inseriti permettono danno il pieno accesso al nostro hosting. Lascio  a voi immaginare cosa possono fare e lascio a voi immaginare il tempo per verificare tutti i file.
  • Invio email  – molto grave infatti possono utilizzare le email per fare spam e bloccarvi il servizio hosting.
  • Codice malware – anche questo è molto grave: il vostro sito diventa esso stesso un diffusore di virus (mai visto google che blocca i “siti dannosi per il vostro pc”? ;-))
  • Pagine pishing – beh qui si va sul pesante. Unito all’invio dell’email vi può anche creare problemi legali. Se trovate delle pagine che ricalcano quelle di banche o che comunque richiedono dati sensibili è meglio che fate una denuncia contro ignoti (sempre che non le abbiate messe voi !;-) )

 

 

Meglio evitare WordPress

Essendo WordPress un progetto open source è ancora più “teoricamente” vulnerabile. Infatti tutto il codice di wp è di dominio pubblico. Tutti possiamo leggerlo, capirlo e, trovare le falle!
Se poi aggiungiamo temi e plugin programmati male, le probabilità di intrusione aumentano.
Ma allora WordPress è da evitare? WordPress non è sicuro??

Certo che no! Solamente da sviluppatori di siti dobbiamo prestare attenzione ad alcuni particolari e lavorare con criterio. E’ meglio spendere qualche soldo in più in sicurezza (in termini di tempo lavorativo). Perché, come molti sanno, dopo che il sito è stato attaccato e bucato, le rogne sono molte e fanno perdere molto tempo (=denaro).
Quindi la regola del “prevenire è meglio che curare” in questo caso è valida più che mai.

Generalmente bisogna avere wordpress, temi e tutti i plugin sempre aggiornati, usare password abbastanza lunghe (e conservarle in posti sicuri), un po’ di buon senso e… i giusti plugin!

 

 

Le regole base per la sicurezza WP

Vediamo quali sono le regole per mantenere sicuro un sito realizzato con WordPress (ma che andrebbero bene anche per il resto di cms).

  • cancellare l’utente admin – esatto cancellatelo, o non dategli pieni poteri. Per amministrare il sito utilizzate un altro user. Questo perché se il backend di wp è attaccato con un brute force (e se l’utente amministratore è admin) hanno già più possibilità di entrare, infatti partono già sapendo uno dei due dati necessari al login.
  • usare password lunghe – questa è un assioma per tutti gli informatici ma che il 99% non segue. Usate password lunghe almeno dieci caratteri e composte da tutti i tipi di caratteri (potete aiutarvi con questo tool). Io uso cose del genere trA=rad@Za?529+2 maniaco? 😉
  • il prefisso _wp non va bene – stessa cosa come per l’utente admin, è meglio modificare il prefisso delle tabelle che utilizza WordPress. In un attacco sql injection infatti la maggior parte delle istruzioni è indirizzata alle tabelle standard di wp. Basta che durante l’installazione scrivete 3 o 4 lettere inventate. Se wp è già installato dopo vedremo come modificare il prefisso.
  • occhio ai temi – usare temi conosciuti e aggiornati è d’obbligo. Meglio  anche spendere qualcosa  per comprare un buon tema. Occhio ai temi che scaricate illegalmente, per prima cosa non si fa, secondo potrebbero aver modificato il codice aggiungendo script malevoli.
  • update – dovete sempre aggiornare wordpress, plugin e temi. Questo perchè in alcuni di essi vengon scoperti dei bug che potenzialmente possono essere usati dai nostri amici. Esempio: quest’estate c’è stato un putiferio per via di una falla trovata in uno script che ridimensiona le immagini (vi dice niente timthumb.php? ). Quindi restate aggiornati anche voi, sempre in allerta!

Superfluo dire di salvarsi le password su un posto sicuro.
Qui il campo è vario e lascio a voi la scelta della soluzione migliore (software o vecchio e caro documento di testo).
Anche il nostro computer deve essere un posto sicuro, soprattutto se all’interno abbiamo dati delicati anche di clienti.
Faccio solo un esempio: filezilla salva in chiaro le password dell’ftp. Quindi un malware installato può leggerle  e inviarle ai nostri amici.

 

 

I plugin che mettono in sicurezza WordPress

Passiamo ora a vedere quali sono i plugin migliori per rendere sicuro WordPress.
Ce ne sono vari dalle varie funzionalità. Uno dei più completi e versatili è senza subbio Better WP Security.
Esso fa un check generale al sito e individua tutti i possibili problemi, permettendoci di correggerli.

Dopo averlo installato, e dopo avervi chiesto se volete fare il backup, siamo di fronte a questa schermata.

sicurezza wordpress con Better-WP-Security

Qui abbiamo varie voci che segnalano i possibili problemi. Possiamo fare molte cose, tra le più importanti:

  • modificare l’user admin
  • cambiare il prefisso della tabella del database
  • aggiungere a .htaccess moltissimi controlli che bloccano gli accessi indesiderati.
  • attivare un controllo sul login (per evitare brute force)
  • blocco preventivo di ip che richiedono troppe volte pagine inesistenti
  • blocco delle url lunghe (che spesso sono usate per gli attacchi)
  • rendere i file .htaccess e wp-confing.php non scrivibili
  • togliere informazioni importanti del nostro sito che possono essere usate per l’attacco (esempio  la versione di wp in uso)

Poi ci sono altre features che a mio avviso sono meno importanti ma che comunque possono servire:

  • possibilità di attivare il backend solo in certi orari e in certi giorni
  • obbligare gli nuovi utenti ad usare password sicure
  • togliere gli avvisi di aggiornamento dal backend (a chi non è amministratore)
  • disattivare il file editor del backend

Attenzione: questo plugin ha anche la possibilità di nascondere l’admin. A me ha dato dei problemi e personalmente preferisco utilizzare un altro plugin che vedremo dopo.

 

 

Un altro plugin potente, ma meno completo, è BulletProof Security . Principalmente modifica  il file .htaccess aggiungendo molte regole che blindano wp rendendolo immune a molti attacchi.

Poi permette anche di creare un .htaccess per la cartella dell’admin wp-admin.
Infine è possibile anche eseguire backup del sito.

BulletProof-Security

Attenzione perché alcuni controlli sul .htaccess bloccano l’utilizzo di script ad esempio che creano thumbnail. Quindi ogni volta ch modifichiamo il file .htaccess tramite questi plugin, verifichiamo sempre se il sito funziona in tutte le sue funzionalità.

 

 

Ora voglio parlarvi di Lockdown WordPress Admin e di come questo semplice plugin permetta di nascondere l’admin. Di base infatti per raggiungere il backend basta andare su /wp-admin.
Con questo plugin questa pagina porterà a un bel 404.

Lockdown WordPress Admin

Ovviamente noi prima dobbiamo aver impostato un’altra pagina dove effettuare l’accesso. Un alians che possiamo scegliere in libertà tipo /amministrazione o /backend. Io preferisco sempre delle lettere a caso. Questo plugin funziona sempre tramite .htaccess quindi se per caso (come me) perdete l’alias di accesso, basta cancellare la regola oppure anche tutto il file .htaccess per rimettere in funzione la solita pagina di login.

 

 

Per ultimo presento File Monitor Plus, un plugin che verifica ogni giorno tutti i file che vengono modificati, cancellati o aggiunti. Quindi è un check aggiuntivo per il nostro sito wp. Un’email vi avvisa di tutti i file modificati per cui se qualcuno manomette wp ce ne accorgiamo subito.
Possiamo ovviamente impostare di non verificare file come le immagini.

File-Monitor-Plus

E’ un controllo aggiuntivo ma in alcuni casi è molto utile.

 

 

Bene abbiamo visto le pratiche più comuni e semplici che è bene tenere a mente quando si creano siti con wp, insieme ai plugin che mettono in cassaforte il nostro sito.

E tu, hai già pensato alla sicurezza di WordPress? Hai mai subito attacchi?

 

 

Image Credit: Arvind Balaraman (FreeDigitalPhotos.net)