Sito in WordPress al sicuro? Ecco due siti per capirlo

Sito in WordPress al sicuro? Ecco due siti per capirlo

Analizzare il livello di sicurezza di un sito in WordPress è indispensabile, periodicamente, per rilevare eventuali falle scoperte e fare in modo di potenziarne, se necessario, le protezioni. Le operazioni di ricerca in questo campo sono facilitate dai vari tool di analisi che sono disponibili in rete, anche se c’è da dire che molti di essi sono a pagamento: di fatto, un’analisi di sicurezza dovrebbe sempre essere seguita da un esperto, dato che molti aspetti potrebbero sfuggire a qualsiasi strumento automatico, se non utilizzato a dovere.

Di fatto, questi tool sono basati su librerie di parsing dei file HTML delle pagine e di analisi della configurazione di rete: alla prova dei fatti, permettono di mettere in evidenza quello che potenzialmente potrebbe non andare nel sito. Tool come quello di Sucuri, tanto per cominciare, mette in evidenza la presenza di malware già installati ed attivi nel sito che potrebbero infastidire i nostri visitatori.

A questa analisi ne possono seguire altre, di livello più avanzato e specifiche della struttura e del funzionamento di WP.

Schermata 2015-03-27 alle 09.19.19

Il tool della HackerTarget, ad esempio, è in grado di mostrare:

  1. la versione di WordPress usata (ammesso che sia visibile in chiaro nei meta tag);
  2. la possibilità di effettuare una user enumaration (cioè visualizzare il nome utente di chi regolarmente edita e gestisce il sito);
  3. la possibilità per un utente non loggato di mostrare il contenuto di directory sensibili;
  4. l’enumerazione dei plugin e dei theme usati dal sito.

Queste analisi mostrano delle vulnerabilità che possono essere letali per il nostro sito in WordPress, almeno in linea di principio:

  1. se è nota la versione di WP usata, potrebbe essere fallata ed un utente malevolo potrebbe sfruttarne le debolezze;
  2. se è noto un nome utente amministratore, si possono indovinare le password per tentative brute force;
  3. se è accessibile il contenuto delle directory di theme o plugin, si possono sfruttare falle specifiche per eseguire script arbitrari o SQL injection;
  4. se, infine, si possono enumerare theme e plugin, è molto probabile che si possano effettuare attacchi specifici mirati a determinate versioni dei software.

Queste analisi servono perchè tutti i webmaster siano consapevoli dei rischi di cui soffrono molti dei loro siti in WP: fermo restando che molti attacchi, a dirla tutta, non sono neanche preventivabili. La messa in sicurezza di un sito in WordPress si può mettere in atto in vari modi, ma vale per tutti il principio dell’essenzialità: inutile lasciare attivi plugin, processi e theme che non siano effettivamente usati dal sito. Se a questo si affianca l’installazione di sistemi di protezione, e la sensibilizzazione del provider a queste problematiche, può aiutare a vivere con maggiore tranquillità la gestione del nostro sito web.

 

Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Sito in WordPress al sicuro? Ecco due siti per capirlo

Analizzare il livello di sicurezza di un sito in WordPress …
Votato 10 / 10, campione di 1 utenti

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.