Quanti di voi hanno sviluppato un sito usando come CMS WordPress?
Se la risposta è “IO“, questo articolo fa al caso vostro! Sì, perchè andremo a vedere alcune buone pratiche da seguire per mantenere l’ambiente WordPress forte e in sicurezza.
Questa è una domanda sulla quale possono nascere parecchi scambi di opinioni.
Pensate che ogni giorno circa 30.000 siti internet sono sottoposti ad attacco. Non parliamo solamente di siti internet di Hotel o di attività commerciali, ma anche di grande industrie o multinazionali!
Nel 2011 ad esempio Sony Entertainment Network ha subito un attacco dove sono state intercettate circa 93.000 password di account con annesse carte di credito; immaginate il panico che può essersi creato all’interno dell’azienda in quell’istante…
Con questa prefazione non volevo incutere timore nei lettori, ma volevo far capire che attuando le corrette manovre di sicurezza possiamo prevenire, e quindi evitare, che il nostro sito rischi di essere attaccato. Sarebbe una perdita di fatturato per il nostro business online, oltre che una perdita di tempo dovuta alla pulizia e al ripristino del sito sottoposto ad attacco.
Pima di effettuare qualsiasi tipo di modifica al sito, è importante procedere per gradi, effettuando 3 passaggi fondamentali:
1) Effettuare un backup del sito
Il backup può essere effettuato manualmente tramite FTP (File Transfer Protocol) per scaricare i file direttamente dal server, e scaricando manualmente il Database.
A questa procedura che può risultare più difficile, possiamo alternare l’utilizzo di plugin da installare direttamente all’interno di WordPress, questa procedura è istantanea e ugualmente completa rispetto a quella manuale.
2) Aggiornare il core
Ci rendiamo conto che è presente un aggiornamento del core all’interno di WordPress quando all’interno dell’area amministrativa si visualizza l’alert in testa a tutte le sezioni della stessa, dove ci viene notificato che è disponibile una nuova versione del sistema.
3) Aggiornare i plugin
Quando è presente un aggiornamento di uno o più plugin all’interno dell’area amministrativa, in corrispondenza della voce di menù “Plugin”, sarà presente una notifica con indicato il numero di plugin da aggiornare.
Ci sono plugin per i quali gli aggiornamenti possono essere effettuati in maniera rapida e indolore, altri per i quali è richiesta massima accortezza. Sono quei plugin che hanno funzionalità che interagiscono direttamente con il frontend del sito, quindi sono visibili agli utenti che lo navigano.
A seguito di un aggiornamento, un plugin può subire delle modifiche al codice quindi può implicare il cambiamento di alcune funzionalità.
Conseguenza: il sito può cambiare aspetto, a volte danneggiando anche esteticamente parti del template.
Quando gli aggiornamenti dei plugin sono molteplici, il mio consiglio è quello di aggiornarli uno per volta (WordPress dà anche la possibilità di effettuare aggiornamenti di massa), e ad ogni aggiornamento controllare che le funzionalità relative ad essi continuino a funzionare correttamente.
In questo modo potremo isolare un eventuale problema di malfunzionamento sul sito ad un singolo plugin. Successivamente avremo anche la possibilità di tornare alla versione precedente dell’aggiornamento, utilizzando il backup effettuato in precedenza.
Le altre “manovre di sicurezza”
Eliminare i Meta Tag superflui
Ogni pagina del nostro sito ha al suo interno dati espressi in diversi linguaggi che hanno la funzionalità di fornire informazioni agli utenti e ai motori di ricerca.
Alcuni di questi, integrati di default all’interno di WordPress, possono risultare superflui. Come ad esempio il meta name generator
<meta name='generator' content='Wordpress 4.7.2'/>
Questo meta tag fornisce l’informazione relativa alla versione di wordpress presente sul sito. Questa informazione si trova nell’head, nel corpo principale del sito, e può essere un’arma a doppio taglio in quanto può essere visualizzata in chiaro da un hacker che conoscendo eventuali bug di quella versione di WordPress, può attaccare il sito.
Questa è un’informazione che bisogna assolutamente eliminare.
Cambiare l’URL standard per l’accesso all’area amministrativa (wp-admin, wp-login)
Quando creiamo un nuovo blog/sito in wordpress, le url universali per effettuare l’accesso sono sempre wp-admin e wp-login.php.
Identificare la url in questione è abbastanza banale, modificarla vi può aiutare ad evitare attacchi di brute force ossia tentativi illeciti di forzare l’accesso all’area amministrativa tramite user e password.
Modificare user con ID1
Tramite dei software automatici si ha la possibilità di risalire a diverse informazioni di un determinato account, oltre al nome utente e password. Una di queste informazioni è l’ID dell’utente nativo di WordPress. L’utente che viene creato in principio per accedere all’area amministrativa, viene identificato con l’ID1, questa può essere un’altra vulnerabilità collegata al vostro account.
Rinominare eventuali account “Admin”
Spesso, quando si crea un nuovo utente, per noia o per mancanza di tempo o di fantasia, si creano dei nuovi utenti WordPress usando come nome utente “admin”. Sbagliatissimo! Il discorso è tale e quale a quello precedente relativo alla URL standard di wordpress. Un nome utente come admin, è uno dei primi che vengono testati per tentare di accedere all’area amministrativa. Se sul vostro sito esiste un nome utente admin, vi consiglio di modificarlo al più presto.
Rimuovere notifiche di aggiornamento di core, plugin, temi, agli utenti WordPress che non dovranno gestire queste sezioni.
WordPress da la possibilità di creare quattro tipologie di profili che possono accedere all’area amministrativa con i propri nome utente e password. Questa esigenza nasce nel momento in cui più persone devono accedere al sito per pubblicare articoli di un blog mantenere viva una community e cosi via. Se non c’è un’esigenza specifica per la quale è opportuno che questi utenti non amministratori debbano aggiornare plugin o il core, oppure effettuare modifiche al di fuori della pubblicazione di articoli, è cosa buona e giusta privare questi profili della possibilità di effettuare queste azioni. È importante perciò creare dei profili con dei privilegi inferiori rispetto all’amministratore.
Rinforzare le password di tutti gli account che accedono all’area amministrativa
Alle password viene data poca importanza, spesso si inserisce qualcosa di facile da ricordare, la data di nascita oppure il proprio nome alternato da numeri e lettere, o si usa la stessa password per più accessi, sono quindi facilmente rintracciabili.
Io preferisco invece creare delle password complesse, magari difficili anche da ricordare, però per le quali sono sicuro che se qualcuno ha l’intenzione di rubarmela, difficilmente riuscirà a decifrare. Lo standard da mantenere è di almeno 8 caratteri, alternati tra numeri, lettere e caratteri speciali.
Rimuovere messaggi di errore nella pagina di login
Quando si provano ad effettuare degli attacchi di forza bruta su un sito, a furia di provare e riprovare si può risalire al nome utente e/o la password corretti. Un’indicazione che wordpress dà quando si inserisce il nome utente o la password corretta è questa:
È ovvio che è obbligatorio eliminare questo messaggio di errore, perché è un informazione troppo preziosa che non deve essere data così facilmente.
Bannare attacchi di forza bruta negando l’accesso all’intero sito
Questi attacchi provengono a grandi linee dagli stessi indirizzi IP. Riuscendo ad individuare gli IP dai quali provengono questi attacchi, è possibile bloccare loro l’accesso al sito.
Disabilitare l’accesso alla dashboard in periodi programmati della giornata
Ci sono dei periodi durante la giornata in cui non c’è la necessità di loggarsi all’interno dell’area amministrativa, ad esempio di notte. Esiste perciò la possibilità di attivare una funzione chiamata away mode: che è una modalità che permette di inibire qualsiasi accesso amministrativo al sito durante un orario prestabilito. Attivando questa funzionalità, nell’orario prestabilito l’area amministrativa non sarà raggiungibile in nessun modo, così non potrà essere lanciato nessun tipo di attacco.
Esistono dei plugin di sicurezza per wordpress che permettono di effettuare tutte le azioni che abbiamo visto, in pochi e semplici passaggi.
Il plugin che ad oggi è reputato il migliore per blindare il proprio sito in wordpress è iThemes Security. È un plugin gratuito, sviluppato in lingua inglese.
Una volta installato utilizzarlo è semplicissimo. Basta seguire la check list con tutti i punti sopra elencati, e in men che non si dica il vostro sito sarà a prova di attacco!
Esiste anche una versione Pro a pagamento, con moltre altre feature. Ma quello di cui noi abbiamo fondalmentalmente bisogno è presente nella versione gratuita.
Questa mini guida all’utilizzo corretto di WordPress, seguita in modo ferreo può veramente aiutarci e renderci il lavoro molto più semplice!
