Sempre più spesso ci capita di lavorare con clienti che chiedono il nostro aiuto per siti in WordPress attaccati da malware. E la prima cosa che sento dire da loro è: “tutta colpa di WordPress, non è sicuro!”.
Forse vado controcorrente nel reputare WordPress il CMS più sicuro tra quelli con cui ho lavorato. Il vero problema sono i plugin, moduli aggiuntivi sviluppati da utenti che spesso non si preoccupano di scrivere codice sicuro.
Altro “problema” di WordPress è la sua diffusione (60% tra i CMS e 25% rispetto a tutti i siti), che spinge sempre più hacker a specializzarsi in questo sistema rispetto ad altri.
Poi sento dire un’altra cosa: “Perché dovrebbero bucare il mio piccolo sito?”.
Chi attacca i siti, non lavora sulla qualità, ma sulla quantità. Bucare il sito di una grossa azienda spesso è utile quanto attaccare il sito del ristorante sotto casa. Anzi, di solito si punta volontariamente ad obbiettivi semplici perché più semplici da attaccare.
Una volta preso il controllo del sito, l’hacker potrà usarlo per reindirizzare gli utenti ad altri siti, per link-building o come server-bot da usare in futuri attacchi DoS (quei famosi attacchi che sovraccaricano i server di richieste, vedi NASA, FBI, ecc.)
Quindi come possiamo proteggerci? Dobbiamo metterci il cuore in pace e attendere inermi il passaggio del prossimo hacker? NO, una soluzione c’è, ed è piuttosto semplice.
Vi basta seguire queste semplici indicazioni e il vostro sito sarà più sicuro:
Evitare credenziali “banali”
La tecnica più usata per attaccare un sito è la cosiddetta “Brute Force”, forza bruta: l’hacker infatti proverà ad accedere alla vostra area amministrativa tentando una serie di user e password, tra quelle più comuni e quindi probabili.
Il primo consiglio quindi è di evitare di usare credenziali banali e semplici: evitate i famosi admin, password, prova, 1234, ecc.
Evitate di usare come credenziali anche il vostro nome o quello del sito/azienda.Aggiornamenti continui
WordPress ed i suoi plugin sono in continuo aggiornamento. Spesso questi nuovi update sono sviluppati per risolvere falle o vulnerabilità scovate dai programmatori. Quindi capite quanto sia importante avere un sito aggiornato.
Gli hacker prendono principalmente di mira un sito non aggiornato, perché indubbiamente più semplice da colpire con successo.
Hosting affidabile
Questo va ben oltre WordPress, e vale per qualsiasi sito web. Affidatevi ad hosting seri ed evitate il servizio offerto dal vostro amico “appassionato d’informatica”. Potete avere il sito più sicuro del mondo, ma se il server è facile da penetrare, sarete sempre in balia di attacchi.
Backup periodici
Non esiste un sito sicuro al 100%, questo dovete mettervelo in testa. Dovete prevedere quindi l’eventualità di un possibile attacco, programmando dei backup periodici: soprattutto del Database (il cuore dei contenuti di WordPress), ma anche dei file FTP. Questo vi permetterà di ripristinare il sito in caso di malware.
Plugin di sicurezza
Su WordPress sono presenti diversi plugin creati per aiutarvi a migliorare la sicurezza. Alcuni innalzano le difese ed altri lavorano come dei veri e propri antivirus, esaminando il CMS alla ricerca di eventuali malware.
Sul mercato esistono diverse soluzioni, spesso in versione “freemium”, cioè gratuiti, con funzionalità aggiuntive a pagamento. Personalmente trovo abbastanza complete anche le versioni gratuite. Tra questi i più famosi sono:
Wordfence Security
Plugin molto utile soprattutto quando pensate di avere dei malware sul sito. Permette di confrontare i file del “cuore” di WordPress con quelli che avete sul vostro sito e vi avvisa in caso di mancata corrispondenza. Lo stesso avviene anche con i plugin e temi, ma solo se salvati sull’archivio di wordpress.org.
N.B.: Vi consiglio di installarlo solamente quando avete dei dubbi e volete assicurarvi che il vostro sito sia pulito. Una volta eseguito lo scan io spesso lo disattivo per non appesantire troppo il sistema.
Sucuri Security
Come Wordfence, questo plugin si prefigge il compito di tenere sotto controllo il vostro sito da eventuali malware. Permette infatti di effettuare scansioni e di controllare in real-time la modifica di file e i tentativi di accesso. Sucuri Security potrebbe fare al caso tuo.
N.B.: L’azienda Sucuri, mette a disposizione anche un sistema di scansione on-line (indipendente dal plugin), tramite il seguente link (Sucuri Site Check).
iTheme Security
Dei tre plugin, iThemes Security lo considero come il più importante. Ogni installazione WordPress dovrebbe averlo installato e attivo.
Lavora in maniera diversa rispetto ai precedenti: ha funzionalità di scansione basilari (si affida a sistemi esterni, per l’appunto quello fornito da Sucuri Site Check), ma la sua vera forza sta nella possibilità di impostare diversi settaggi per aumentare la difesa e rendere molto più arduo l’attacco al vostro sito.
Come detto, il plugin presenta molteplici configurazioni, ma già attraverso la sua procedura guidata (One-Click Secure), potete assicurarvi un’installazione WordPress sicura.
Sono disponibili anche funzionalità di controllo in real-time su modifica file e tentativi di accesso, avvisandovi tramite email per ogni evento sospetto. Dulcis in fundo, permette di programmare backup periodici del DB, che saranno salvati in FTP e/o inviati tramite email.
Ricorda, a differenza dei precedenti, questo plugin va tenuto attivo SEMPRE, altrimenti le difese impostate cesserebbero di funzionare.
E voi, avete altri consigli da dare? Scrivetelo nei commenti.
Ancora nessun commento