Se hai realizzato un sito con WordPress, dovresti innanzitutto prenderti del tempo per analizzare i possibili problemi legati alla sua sicurezza per imparare a prevenirli ed evitarli. In questa guida troverai le più note vulnerabilità nella sicurezza di WordPress e quali sono gli accorgimenti da adottare per proteggere al meglio il tuo sito. Come ogni piattaforma online, la sicurezza di WordPress non è efficiente al 100%. Per renderla totalmente sicura è necessario sapere bene da cosa e come difendersi.
WorPress è un CMS ormai diffusissimo: il 25% dei siti web attualmente online è stato realizzato proprio con questa piattaforma. Solo una piccola parte di questi 700 mila siti sa bene come difendersi da un possibile attacco hacker, poiché non tutti prestano la giusta attenzione alla sicurezza online e alla protezione dei contenuti pubblicati.
Gli attacchi hacker più comuni
Prima di sapere come proteggere il proprio sito WordPress, è utile capire da cosa bisogna difenderlo.
Attacchi Brute Force
Tra gli attacchi più comuni, troviamo il “Brute Force” (letteralmente “Forza Bruta”) in cui l’hacker genera combinazioni infinite di lettere e numeri per trovare la password di un account. WordPress, dal suo canto, non ha un limite per i tentativi di accesso e perciò per l’hacker non è difficile riuscire nel suo intento con questo attacco – a meno che il sovraccarico di richieste dal server non causi la sospensione dei servizi di hosting.
Inclusioni di codice e iniezioni SQL
Altri problemi relativi alla sicurezza sono le inclusioni di file nel codice PHP e le iniezioni SQL. Il codice PHP può essere violato se, all’interno di un plugin o di un tema, un hacker ha inserito un file che gli permetterà di impossessarsi dei tuoi dati d’accesso o peggio, impossessarsi del file wp-config.php da cui dipende totalmente la vostra installazione. Per iniezioni SQL, si intendono, invece, gli accessi al database MySQL di WordPress da parte di un hacker che potrà creare nuovi account con privilegi di amministratore e manipolare tutti i dati all’interno del sito.
Attacchi Xss
Una grandissima percentuale delle problematiche legate alla sicurezza dei siti web sono dovute agli attacchi Xss (o Cross-Site Scripting). In questo caso l’hacker, attraverso un plugin, carica sul sito preso di mira uno script pericoloso in grado di rubare i dati ai visitatori e reindirizzare gli stessi verso siti malevoli.
Malware
Infine, abbiamo i software dannosi, meglio conosciuti come malware. Questi programmi, una volta ottenuti gli accessi ad un sito web, raccolgono tutti i dati sensibili dell’utente. I malware più comuni sono backdoors, drive-by downloads, pharma hacks e i reindirizzamenti malevoli. Per ripulire il sito da questi malware è sufficiente individuare il file dannoso (controllando i file modificati di recente) e aggiornare WordPress o caricare un backup del sito.
Aggiornare vuol dire prevenire
Il codice open source di WordPress viene continuamente analizzato da una squadra di sviluppatori specializzati in sicurezza informatica. Il team si occupa di individuare i possibili problemi e di trovare e applicare le soluzioni più adatte. Il codice di base viene perciò modificato tramite il rilascio di aggiornamenti e patch studiati per chiudere le possibili falle nella sua sicurezza. La prima regola per mantenere un sito WordPress in sicurezza, quindi, è assicurarsi di aggiornarlo sempre alla versione più recente rilasciata.
È altrettanto importante aggiornare plugin e temi grafici ed assicurarsi che gli stessi non abbiano delle falle pericolose per il sito. Infatti, gran parte dei problemi legati alla sicurezza dei siti WordPress deriva proprio dai plugin per la personalizzazione (52%) e dai template grafici (11%).
I comportamenti a rischio
Un sito su WordPress diventa vulnerabile quando il suo proprietario non presta attenzione a determinati comportamenti rischiosi. Il primo, come già detto, è quello di non aggiornare costantemente WordPress e i temi/plugin installati, ma non è l’unico. Per evitare di incorrere in possibili problemi, è buona abitudine eseguire dei backup regolari.
È altrettanto sbagliato scegliere delle password troppo deboli per il proprio account, poiché facilitano la riuscita degli attacchi Brute Force. È sempre bene scegliere delle password uniche (non utilizzate per altri servizi) e complicate, forti.
Altro comportamento a rischio è quello di scegliere template grafici non sicuri. Sono molti i siti che offrono temi grafici gratuiti o a prezzi stracciati, ma è bene non fidarsi troppo degli stessi. Meglio avvalersi della repository di WordPress.org o dei template offerti da altre società note.
Infine, è bene evitare gli hosting condivisi o di scarsa qualità, perché se un solo sito ospitato da questi server viene violato, gli hacker possono trovare un modo per accedere anche agli altri siti presenti sullo stesso server.
Come proteggere un sito WordPress
Ora che conosci tutti i rischi che corre il tuo sito su WordPress ed hai aggiornato la piattaforma, i plugin e i temi alla loro versione più recente, puoi passare all’ultima fase: ottimizzarne la protezione.
Cambiare nome utente
Cambia il nome utente da “admin” in un nome a tua scelta: più sarà complicato, più sarà difficile indovinarlo. Nelle impostazioni, inoltre, è bene scegliere di nasconderlo dalle pubblicazioni. Potrai continuare a pubblicare i contenuti tramite un utente Editore creato e gestito solamente da te.
Password complesse
Scegli una password complessa, diversa da tutte quelle che utilizzi per gli altri accessi online, che sia alfanumerica e, soprattutto, più lunga di 6 caratteri. Ogni sei mesi, ricordati di cambiare la password per mandare a zero qualsiasi tentativo di accesso al tuo account.
Le soluzioni per i più pigri
Esistono, in rete, dei plugin che permettono di proteggere il tuo sito su WordPress a 360°, come IThemes Security e WordFence. Questi plugin permettono di automatizzare la maggior parte delle azioni per mettere in sicurezza i siti web WP e di gestirne diversi aspetti. IThemes Security ti permetterà, tra le innumerevoli cose, di restringere i permessi di autorizzazione alle directory ospitate dal server per limitare accessi e modifiche non autorizzati all’interno di file e cartelle. Il plugin Wordfence, invece, permette di effettuare uno scan dell’intero sito alla ricerca di eventuali malware.
Tuttavia, avvalersi del loro aiuto non significa evitare qualsiasi problema ed è sempre buona abitudine occuparsi manualmente della maggior parte delle azioni utili a prevenire possibili attacchi hacker all’account.
Conclusioni + letture consigliate
WordPress è una piattaforma costantemente aggiornata e non necessita di molti accorgimenti per essere protetta dai più noti attacchi hacker. Associando la giusta strategia ad un minimo di pazienza, potrai mettere in sicurezza il tuo sito e dormire sonni tranquilli. Un libro molto utile che fa il punto della situazione sul mondo della sicurezza WordPress è il libro scritto da Bonaventura Di Bello dal titolo: Blindare WordPress con iThemes Security e Wordfence: Proteggi il tuo sito WordPress dagli attacchi informatici GRATIS! oppure puoi iscriverti al mio corso “Creare un sito con WordPress“.