Sicurezza wordpress: non pensarci quando è troppo tardi…

Premessa: questo articolo di approfondimento è stato pubblicato nell’ottobre del 2013. Poco dopo, è stata rilasciata la versione 3.7 di WordPress, nella quale sono stati introdotte molto miglierie proprio per la sicurezza IT. Tra le varie, gli aggiornamenti automatici di mantenimento si svolgono da sè. All’interno della stessa release (ad esempio dalla 3.7 alla 3.7.x) l’aggiornamento è automatico, mentre resta manuale per i passaggi di versione come dalla 3.7 alla 3.8. E’ stato introdotto un sistema di controllo della “forza” della password (password strength meter). Queste solo alcune delle migliorie a favore dell’intera comunità di utilizzatori, apportate con questa nuova versione di WordPress.
Per approfondire….

In generale la sicurezza IT online resta un tema trattato troppo spesso “quando è obbligatorio” che quasi sempre corrisponde a “quando un sito è stato bucato”.
Nel contesto di siti dinamici basati su tecnologia open source, nella stramaggioranza dei casi, si tratta di applicativi nei quali interagiscono linguaggio PHP e DataBase MySql.

Con una dose adeguata di esperienza nel settore IT, è inopportuno dire che un computer online, così come un applicativo di qualsiasi genere, può essere sicuro al 100%.
Proprio perchè i linguaggi di sviluppo web sono in costante evoluzione, questo implica che siano continuamente trovati e spesso risolti dei bachi nel codice di sviluppo, i quali spesso corrispondono alla risoluzione di debolezze proprio nel contesto della sicurezza IT.
Wordpress come altri CMS Open Source hanno dei “buchi” noti ma ci sono degli accorgimenti che possono nettamente migliorare la situazione.

Uno dei principali motivi per cui si raccomanda di mantenere i CMS ed eventuali moduli o script aggiornati, riguarda proprio il fatto che con le nuove versioni di essi rilasciate, spesso si risolvono problematiche di sicurezza a vantaggio dell’intera comunità di utilizzatori.

Prima di tutto cerchiamo di capire perchè un sito viene violato:

caso 1: puro divertimento
Per quanto faccia incazzare e riflettere, c’è davvero un numero esponenziale di gente con distinte nozioni IT e con tanto tempo da buttare via… Peccato vero? Ci sarebbero tante cause da sostenere e modi molto più produttivi di usare le proprie skills. Eppure l’essere umano è fallace, e a volte anche solo per egocentrismo, ripicca e simili, può impiegare la propria intelligenza per tali meri fini…

caso 2: concorrenza sleale
ebbene sì, può capitare che dei concorrenti nel mercato ingaggino delle teste IT adeguate per darvi filo da torcere, partendo dal vanificare i vostri sforzi online attaccando il vostro blog o sito web e mettendolo fuori uso.

caso 3: violazione della privacy
Si tratta del caso tipo in cui qualcuno intenzionalmente “buca” il vostro DataBase MySql o il vostro accesso al pannello di controllo amministrativo (brute force attack) dei contenuti del sito per appropriarsi di indirizzi mail o altri dati.

Bisogna quindi pensare che il proprio applicativo web sia destinato prima o poi a essere “bucato”?
Non esattamente.

Ci sono due tipi di profili che potrebbero tentare di svolgere questa azione.
Mettiamola così: dato un range di abilità che va da 0 a 10, uno di questi profili può arrivare da 0 a 8, l’altro può arrrivare da 0 a 10.
La differenza tra i due, nonostante possa sembrare un micro gap a livello di capacità, viste le cifre ravvicinate dell’esempio, è in verità abissale.

Fondamentale è capire bene che un webmaster preparato può mettervi in sicurezza almeno fino al punto 8, utilizzando del buon senso e, almeno per WordPress, una combinazione strategica di accorgimenti. In tutti i casi, violare un sito web è un’azioni illegale, però tante volte la violazione è possibile per la negligenza di chi li gestisce, oppure perchè i server su cui hostano non sono adeguati.
Adottare questi accorgimenti, significa allontanare dal vostro sito un buon 98% di maleintenzionati.

Premesso che il livello di sicurezza che potrete raggiungere dipende molto anche dalla qualità del server che state usando, proviamo a riassumere i 10 accorgimenti per scoraggiare almeno questo 98% di visitatori sgraditi:

1. aggiornare sempre alle ultime versioni sia il CMS che i moduli in uso
2. nascondere l’area di accesso remota cambiando dal nomedelvostrodominio.com/wp-admin a tutti noto a nomedelvostrodominio.com/quellochevipare
3. NON usare mail login corrispondenti all’ID 1 e magari “admin”
4. usare sempre password complesse please (alcuni consigli su cosa evitare assolutamente… )
5. cambiare il nome delle tabelle nel DB MySql (change database prefix) (chi deve sapere sa che potrebbero essere wp_ )
6. Cambiare il nome della cartella contenuti (chi deve sapere sa che dovrebbe essere wp-content
7. bloccare i permessi di scrittura nei file .htaccess e wp-config.php
8. Ancora più saggio: inteso che il blog o sito è ben che installato, fatta copia in locale e sistema di back up adeguato, il file wp-config.php online potrebbe effettivamente anche essere cancellato, così come il file di installazione
9. eliminare i file “Read me” di default nella cartella del CMS, si possono leggere info sulla versione di Wp installata
10. bloccare qualsiasi IP dopo un numero di oltre (io consiglio)  5 chiamate a file che non esistono

Bonus
11. se siete stati svegli, avrete impostato una pagina 404 di cortesia, e una volta che avete detto al vostro utente che quel fine non c’è più…. Sempre che non abbia altre intenzioni, perchè dovrebbe continuare ad andare su quel link per più di 5 volte? Uno può anche provarci un po’, ma 5 volte per me è il tetto massimo…

12. se il vostro server non prevede un sistema di back up automatico del DataBase e delle cartelle del sito, fatelo voi manualmente ogni volta che aggiornate il sito: anche se vi state proteggendo, non è detto che le cose vadano sempre bene e potrebbe essere necessario rirpistinare velocemente i dati.
Se non avete delle conoscenze tali da poterlo fare manualmente, esistono dei moduli che possono aiutarvi, segnalo WordPress Database Backup (si possono programmare dei back up automatici del Databse che vi saranno inviati via mail)

…

Come detto prima, ci sono dei plugin che aiutano per il set up di tali impostazioni di sicurezza IT, anche se non sono proprio di facilissimo utilizzo.
Tra due degni di nota a mio avviso
Wp Better Security e Wordfence

Se vi interessa il tema, scritto in inglese ma interpretabile anche con l’uso di un modulo traduttore adatto, segnalo quest’ottimo articolo The Definitive Guide to WordPress Security

Offriamo analisi e servizi per la sicurezza IT base ed avanzata.
Contattaci se ti serve un preventivo o delle informazioni senza alcun impegno…