Sicurezza di WordPress: la guida completa Suggerimenti, considerazioni ed idee per difendersi dagli attacchi informatici sul proprio sito

<span class="entry-title-primary">Sicurezza di WordPress: la guida completa</span> <span class="entry-subtitle">Suggerimenti, considerazioni ed idee per difendersi dagli attacchi informatici sul proprio sito</span>

WordPress e sicurezza informatica, un binomio “open”. WordPress è un CMS open source, e come tale è soggetto sia a miglioramenti che a leak (ovvero “rivelazioni” di falle informatiche) pubbliche: questo è molto utile perchè più di uno sviluppatore possa contribuire alla qualità del codice, cosa che un codice chiuso non permetterebbe, se non dietro politiche aziendali specifiche- che spesso tendono ad occultare i difetti. Pregi e difetti di WP sono quindi alla luce del sole, man mano che vengono scoperti, riparati ed analizzati dalla community. Su WordPress si parla molto di sicurezza sia perchè è giusto che sia così, sia perchè è un CMS talmente diffuso ed utilizzato che sarebbe sinceramente da irresponsabili non farlo.

In genere, la scoperta di falle informatiche passa per l’utilizzo di software avanzati di analisi come WPscan: non voglio dire che ognuno debba installarselo (anche perchè non è un prodotto alla portata di chiunque, e richiede tempo e conoscenze specialistiche per un uso corretto), ma bisogna certamente sapere che nuove falle di WordPress vengono scoperte in continuazione. Quello che è sicuro oggi, in altri termini, potrebbe smettere di esserlo domani.

4919659112_70f8836dfa_wordpressPiù passa il tempo più WP diventa “immune”, ma alla fine dei conti tanto dipende da come lo configuriamo, e dalle configurazioni dell’hosting su cui si trova. Ogni nuova versione introduce miglioramenti di velocità, qualità del codice e sicurezza: per esempio, la versione 4.7.1 ha risolto alcuni problemi specifici di sicurezza del nostro sito, che permettevano ad un utente esterno di fare potenziali danni anche irreversibili alle nostre pagine.

Gli attacchi DoS (Denial of Service). Gli attacchi su larga scala ai siti in WordPress sono numerosissimi, e quasi sempre finalizzati al DoS (Denial of Service, o saturazione delle risorse come RAM e CPU): in pratica questi script “sparano nel mucchio” su vari indirizzi IP, e qui purtroppo è materia specialistica. C’è poco da fare dal punto di vista di “meno esperti”, insomma: sono gli hosting che si tutelano (o dovrebbero farlo), in questi casi, mediante firewall e protezioni varie, e dal nostro punto di vista non possiamo fare altre che non fare mai troppo affidamenti sui dati in remoto e tenere sempre a portata di mano un backup recente del nostro sito. Le soluzioni low cost tendono, nella mia esperienza (anche se non sempre) a trascurare di più le misure di sicurezza più basilari.

Tutti i siti sono soggetti a DoS (a volte anche in versione su larga scala, DDoS), e non c’è ragione per credere che “tanto al mio sito non succederà mai“.

La sicurezza del tuo WordPress… sei tu!

i want you photo

Come ho scritto anche su Webhouse (Cinque approcci errati alle personalizzazioni WP), molta delle sicurezza del sito dipende da noi: basti pensare che uno dei modi più comuni per compromettere la sicurezza del sito in WP è modificare il codice dei plugin. Vedo che moltissimi lo fanno lo stesso, ma questo secondo me denota una superficialità davvero imperdonabile. Non esiste un modo safe per modificare plugin di WordPress, si tratta quindi di una modifica “brutale” al vostro sito che, al successivo aggiornamento, andrà persa – WP non è pensato per quello.

Le personalizzazioni vanno semmai introdotte sempre mediante theme child o, al limite, mediante ulteriori plugin sostitutivi, ma mai modificando il codice degli esistenti: se ci fosse una falla di sicurezza scoperta in seguito, infatti, non potreste aggiornare più il plugin (salvo perdere le modifiche) ed il vostro sito rimarrebbe scoperto per sempre. Attenzione quindi ai theme che usiamo, ai plugin installati (quelli a pagamento sono ugualmente soggetti a problemi di sicurezza), ed ai permessi CHMOD (vedi come impostare i permessi CHMOD di WordPress e come impostare il chown).

Seguono un po’ di suggerimenti vari per la sicurezza.

0 voti


Informazioni sull'autore

Salvatore Capolupo

Consulente SEO, ingegnere informatico e fondatore di Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato e non ne approfitto.