La sicurezza in ambito web è un tema sempre molto caldo, sopratutto di questi tempi in cui i CMS dominano la scena mondiale, è facile imbattersi in qualche malintenzionato che tenti di rubare dati sensibili o, più semplicemente, mandare in palla un sito web per puro divertimento.Da una ricerca condotta a fine 2011 da WordPress.org, risulta che il 14.7% di tutti i siti web del mondo è realizzato tramite WordPress, il che, se da un lato lo rende una piattaforma ottimale per la realizzazione di un sito web, dall’altro lo espone continuamente al rischio di attacco da parte di hacker specializzati.
Sebbene le numerose falle di sicurezza siano state risolte ed oggi WordPress presenti un core decisamente più solido, non prestare la giusta attenzione può causare seri problemi. Vediamo quindi 5 punti da tenere in considerazione per evitare che il nostro sito cada vittima delle mani sbagliate.
1. Non aggiornare WordPress all’ultima versione
Ogni versione rilasciata presenta solitamente, oltre a numerose novità, un elenco corposo di bug fix e risoluzione di problemi di sicurezza. Non utilizzare l’ultima versione permette più facilmente agli hacker di sapere quali sono le vulnerabilità di cui soffre il suo sito, rendendogli più facile l’operazione di attacco. Oltre a rimanere sempre aggiornato, ricordandoti di fare sempre i backup prima di passare ad una nuova versione del core, assicurati di aver installati WebsiteDefender e SecureWordpress: due plugins di sicurezza fondamentali.
2. Non aggiornare i Plugins all’ultima versione
Il problema è lo stesso appena visto. Anche i plugins ed i temi sono soggetti a falle di sicurezza. Assicurati quindi che siano sempre aggiornati e sicuri. Anche in questo caso non dimenticarti mai, soprattutto nel caso si usino molteplici plugins e su progetti di grandi dimensioni, di effettuare il backup del database e del sito intero prima di procedere, oltre a leggere attentamente i “changelog” effettuati con la nuova versione.
3. Scaricare plugins non attendibili
Dal momento che il 90% dei plugins per WordPress sono open source, facilmente alcuni di loro possono presentare vulnerabilità. In alcuni casi vengono addirittura creati appositamente dagli hackers per iniettare malware nel tuo sito. Una volta installati questi plugins infettano tutto ciò che trovano e rendono i tuoi files facilmente accessibili dall’esterno. Gli hackers più agguerriti potrebbero utilizzare questo sistema per trasferire parte del tuo traffico sui loro siti, al fine di rubare dati sensibili o guadagnare traffico per migliorare il posizionamento del loro sito web. Con WebsiteDefender fortunatamente è possibile scansionare tutti i files, tuttavia il mio consiglio è quello di scaricare plugins solo da fonti attendibili e, nel caso si prelevino dalla repository di WordPress, attendere il feedback della community prima di cominciare ad utilizzarli su progetti di lavoro.
4. Assegnare permessi non sicuri alle cartelle di WordPress
Uno degli errori più frequenti degli utenti inesperti, è quello di lasciare permessi di scrittura alle cartelle. Così facendo un hacker può facilmente caricare i suoi scripts e compiere le sue azioni malevole, così come sfruttare il tuo spazio web per l’upload di files illegali. Sempre grazie a WebsiteDefender è possibile controllare il buono stato di tutti i permessi relativi alle cartelle. Non trascurare mai questo aspetto e non mettere permessi di scrittura se non sei sicuro di quello che stai facendo!
5. Usare credenziali di accesso non sicure
Per evitare di vedere il proprio sito pieno di finti amministratori hacker, assicurati sempre di utilizzare username e password sicuri e unici. Fai in modo che lo stesso discorso valga per tutti gli utenti amministratori del sito. Questo ti consentirà di dormire sonni più tranquilli.
Articolo ispirato a: Top 5 Mistakes for your WordPress Website Security