Nato come piattaforma di blogging nel lontano 2003, WordPress è oggi il più popolare CMS al mondo. Utilizzato sia per i siti aziendali che per gli e-commerce, la sua diffusione nel panorama mondiale ammonta al 30% di tutti i siti web esistenti al mondo: in parole povere 1 sito su 3 è realizzato in WordPress. Questo dato importante ci porta ad analizzare un ulteriore fattore che potrei definire fondamentale: la sicurezza. Della totalità dei siti WordPress, l’80% ha subito un hackeraggio più o meno grave nel corso del biennio 2016-2017 e per metà di questi la causa è stata identificata nel mancato aggiornamento del CMS.
Se anche il tuo sito è “proudly powered by WordPress“, allora ecco una lista di best practice da seguire per dormire sonni tranquilli.
Indice dei Contenuti
Come installare WordPress in modo sicuro
Ovviamente parte tutto dall’installazione. Installare WordPress è davvero semplice e alla portata di tutti, in rete si trovano numerose guide che ne illustrano, anche in maniera approfondita, il procedimento. La semplicità di installazione, tuttavia, è un’arma a doppio taglio: nella maggior parte dei casi ci si dimentica di alcune procedure secondarie ai fini della mera installazione ma determinanti per la sicurezza del CMS. Per per essere certi di installare WordPress nel modo più sicuro non basta farlo fare al servizio tecnico di un qualsiasi buon hosting provider perchè “l’installazione è inclusa nel pacchetto acquistato”, bisogna invece attuare una serie di accortezze, ecco alcuni esempi:
- Utilizza sempre l’ultima versione di WordPress
Evita di creare dei siti con una versione precedente, potrebbe contenere dei bug o delle vulnerabilità che aiutano gli hacker a fare il loro “lavoro”. - Trasferisci i dati tramite il protocollo HTTPS
Chiedi al tuo hosting provider di fornirti un certificato SSL o acquistane uno da installare sul tuo dominio. Trasmettere dati via “Secure Socket Layer” al giorno d’oggi è quasi una pratica obbligatoria. - Installa WordPress in una sottocartella
Non è una pratica obbligatoria ma consigliata, rende più difficile l’hackeraggio del sito. - Aggiungi dei parametri avanzati al file “wp-config.php”
Imposta le chiavi salt e cambia il prefisso delle tabelle del database. Due piccole accortezze che aumentano decisamente il livello di sicurezza del tuo sito. - Rivolgiti a un esperto
Affidarsi a chi possiede esperienza nel settore e sa declinare nel modo corretto i parametri messi a disposizione dal codex di WordPress, è la scelta migliore non solo per le aziende ma anche per il libero professionista.
Accesso WordPress: come metterlo in sicurezza
Una delle problematiche di sicurezza più diffuse è l’utilizzo di una password semplice per accedere alla dashboard di amministrazione tramite il canonico “wp-login.php”. Gli hacker lo sanno e proprio per questo la maggior parte dei siti WordPress è vulnerabile ad attacchi di tipo DDOS o bruteforce. Questo tipo di hackeraggio avviene tramite un bot che ogni tot di minuti tenta di accedere al sito tramite una combinazione casuale di nome utente e password finchè non riesce nell’intento.
Quando un sito viene attaccato in questo modo, si può verificare uno dei seguenti 3 scenari di base:
- Lo scenario peggiore – Data Breach
L’hackeraggio va a buon fine e l’hacker ottiene un accesso diretto a tutti i dati come amministratore. Si verifica un situazione che il GDPR definisce come “Data Breach”. - Bene ma non benissimo
L’hackeraggio non va a buon fine, ma le richieste di accesso effettuate ogni minuto sono talmente tante che il server sul quale è hostato il sito collassa, e di conseguenza il sito va offline. - Lo scenario ideale
L’hackeraggio non va a buon fine, l’indirizzo IP dell’hacker viene bloccato in modo tale da non sfociare nello scenario numero 2.
Alcuni consigli per tutelare i tuoi dati e proteggere il tuo sito WordPress:
- Usa password complesse
La tua password di accesso è la tua data di nascita? È una pratica talmente diffusa da essere quasi scontata, una password gel genere è facile da ricordare per te almeno tanto quanto è facile per gli hacker riuscire a trovarla. - Crea una whitelist di indirizzi IP
In questo modo potrà accedere al sito solo chi è autorizzato. Puoi farlo tramite htaccess o tramite un plugin. - Nascondi la directory “wp-login.php”
Gli hacker scannerizzano il sito per tentare l’accesso, ma se non trovano la pagina dove inserire le credenziali il gioco è fatto! Anche in questo caso è possibile farlo tramite htaccess o plugin. - Rivolgiti a un esperto
I siti non sono tutti uguali e per questo motivo solo una persona esperta del settore sarà in grado di consigliarti il sistema migliore per mettere in sicurezza il tuo sito WordPress e prevenire situazioni spiacevoli.
Template WordPress e sicurezza
I template sono il cuore pulsante di WordPress, spesso non si limitano a costituire la sola grafica di un sito ma aggiungono anche ulteriori funzionalità come i custom post type. Cosa c’entrano i template WordPress con la sua sicurezza? Innanzitutto è importante scegliere con cura il template del proprio sito, evitando se possibile l’utilizzo di temi free perchè poco aggiornati e più soggetti a problemi. La scelta dovrebbe ricadere su uno dei migliaia di temi premium per WordPress, acquistabili da alcuni portali autorizzati dagli stessi sviluppatori, i quali offrono il loro supporto per la risoluzione di problemi di varia natura, aiuto nell’installazione e configurazione.
Una pratica da evitare assolutamente è quella di utilizzare dei temi craccati, preattivati e senza licenza scaricati da internet perchè, oltre ad essere illegali, sono tra le fonti primarie di virus e malaware. La stessa cosa, ovviamente, vale anche per i plugin che devono essere sempre scaricati dai repository ufficiali o acquistati tramite regolare licenza.
Ricapitolando:
- Installa temi e plugin solo da fonti certe e sicure
La repository ufficiale di WordPress è il tuo punto di riferimento ma puoi avvalerti anche di alcuni marketplace esterni (es. Themeforest). - Evita di utilizzare temi/plugin craccati
Possono compromettere gravemente la tua installazione di WordPress e creare un punto di accesso malevolo per hacker e virus.
Come riconoscere un sito WordPress “infetto”?
Il modo migliore per sapere se un sito è infetto è sottoporlo a scansione di sicurezza periodica. Un sito WordPress infetto da virus e malaware mostra almeno uno dei seguenti 3 principali sintomi:
- Pop-up e link illegittimi
In maniera del tutto casuale, capita che, cliccando su una porzione della homepage (o di qualsiasi altra pagina) si apra un Pop-up o un link in nuova scheda o nuova finestra la cui pagina di destinazione contiene pubblicità o in generale mostra un sito non correlato. - Contenuti SPAM
Vengono create delle pagine o degli articoli in maniera automatica con dei contenuti spam. Questo è uno degli scenari più comuni di cui, purtroppo, ci si rende conto dopo giorni o settimane, quando i contenuti “infetti” sono stati già indicizzati dai motori di ricerca. - Errori Javascript
Ispezionando il sito con l’inspector di Chrome o Firefox si notano un numero sospetto di errori javascript che aumentano con lo scroll.
Come rimuovere un virus da WordPress
Per rimuovere un virus o malaware da WordPress è necessario avere una buona conoscenza del CMS e dei linguaggi da cui quest’ultimo è costituito (HTML, CSS, Javascript, PHP). Solitamente i siti infetti presentano una porzione di codice totalmente estranea all’interno del file “functions.php” del tema utilizzato, ma rimuovere la porzione di codice malevolo non è quasi mai sufficiente per porre fine ai problemi e pulire definitivamente il sito, spesso e volentieri la porzione di codice rimossa viene iniettata nuovamente all’interno dello stesso file, rendendo inutile qualsiasi attività precedente. Per arginare il problema e risolverlo definitivamente è necessario identificare il file che contiene lo script malevolo, nel 99% dei casi si tratta di un file non originario del tema, del plugin o dei file core di WordPress quindi è doveroso effettuare un confronto approfondito di tutti i file manualmente o con uno dei tanti tool che il web mette a disposizione.
La maggior parte dei tool professionali online sono comunque a pagamento, quindi se hai voluto risparmiare 40€ per un tema o un plugin, scaricandolo craccato avrai già capito da te che non è stata una scelta molto saggia. Affidati dunque a un professionista e fai in modo che quanto è successo non si ripeta, ne va del tuo business online.
WordPress Plugin e sicurezza
Prevenire è meglio che curare, giusto? Installare almeno un plugin per monitorare il tuo sito è un’ottima idea, diminuisce drasticamente l’insorgenza di problemi di sicurezza. Ecco una lista di plugin utili allo scopo:
- Wordfence
Wordfence è un ottimo plugin gratuito che permette la scansione in tempo reale del sito web, ciò si rivela particolarmente utile per analizzare il grado di sicurezza di un sito e risolvere problemi di bassa entità. Le sue funzionalità sono limitate nella versione free, per accedere al suo completo potenziale è necessario sottoscrivere un abbonamento.
Maggiori informazioni > wordfence.com - Sucuri
Sucuri è un altro plugin di scansione e firewall, uno dei più autorevoli. Anche quest’ultimo ha una versione free limitata ad alcune funzionalità e una versione premium accessibile tramite abbonamento.
Maggiori informazioni > sucuri.net
La lista potrebbe essere più lunga ma le migliori opportunità sono rappresentate dai due sopracitati. Installarne uno tuttavia non protegge il tuo sito WordPress al 100% ma ti da gli strumenti necessari per farlo: log di accesso, lista dei file modificati, indirizzi IP di login e via dicendo.
Aggiornamenti WordPress e sicurezza
“Un sito aggiornato è un sito sicuro”, è il mantra di molti sedicenti esperti che finiscono per convincere non solo i propri clienti ma anche molti autodidatti. In realtà un sito aggiornato non è necessariamente un sito sicuro, alcuni aggiornamenti possono portare con sè una serie di bug nuovi e sconosciuti, vulnerabilità e anche incompatibilità con le altre componenti del sito stesso.
L’anno scorso un gruppo di hacker ha scoperto un bug presente in tutte le versioni di WordPress antecedenti alla 4.7.2. Risultato? Oltre un milione e mezzo di siti WordPress ha subito defacement. Un altro esempio più recente è la versione 4.9.2 di WordPress rilasciata a febbraio di quest’anno, che ha rimosso completamente il supporto nativo a flash player, causando malfunzionamenti in tutti i siti che utilizzavano questa tecnologia.
Come evitare quindi di incorrere in questo tipo di problemi?
- Leggi sempre i changelog
È buona prassi informarsi su ogni modifica a ogni plugin, tema e versione di WordPress prima di aggiornare per poter verificare la compatibilità delle nuove versioni con tutte le singole componenti del sito. - Disabilita gli aggiornamenti automatici
Semplice e risolutivo. Non c’è cosa peggiore che entrare sul proprio sito e scoprire che un aggiornamento automatico ha portato a galla qualche problematica. - Mantieni il tuo sito aggiornato
Evita di tenere sul tuo sito una versione troppo vecchia di WordPress, potrebbe smettere di funzionare da un momento all’altro. - Rivolgiti a un esperto
Se non hai la possibilità di tenere sott’occhio il tuo sito di frequente, l’ideale è stipulare un contratto di manutenzione e aggiornamento con un professionista in modo tale da avere sempre le spalle coperte.
Fonti:
Statistiche di diffusione CMS – w3techs.com
Statistiche di sicurezza CMS – sucuri.net