Installare WordPress è relativamente facile, il cms ormai è divenuto stabile e sicuro ma come tutti i sistemi informatici c’è sempre quel velo di vulnerabilità pronta a sorprenderci. Qualche annetto fa un exploit ha messo in crisi centinaia di migliaia di blog WordPress sparsi su tutto il globo, forse, chi avesse rispettato almeno un terzo delle regole scritte in questa pagina l’avrebbe fatta franca.
WordPress core
Alcune accortezze da rispettare all’interno del proprio progetto.
1. Elimina i file che non utilizzi
Molti exploit si basano sulla possibilità di individuare falle all’interno dell’applicazione su file che nemmeno utilizziamo. Sei sicuro di utilizzare tutti i file all’interno del tuo tema? Sarebbe meglio fare un po’ di pulizia.
2. Aggiornamento del core
E’ buona norma tenere l’applicazione costantemente aggiornata, spesso vengono scoperte falle in corso e successivamente corrette con il rilascio di nuovi aggiornamenti;
3. Cambiare prefisso delle tabelle
Questo passaggio è fondamentale per tagliar via una buona fetta dei potenziali attacchi, si da per scontato, infatti, che i nomi delle tabelle iniziano con il prefisso “wp”. Buona norma è, infatti, cambiare questo prefisso in fase di installazione sostituendolo con uno più complesso o comunque diverso. Ne guadagnerete sicuramente in sicurezza!
Plugins
I plugin che installi da dove provengono?
4. Utilizzali solo se necessario
Una delle grosse pecche di WordPress è quella di non assicurarsi al 100% la pulizia del codice e le funzionalità di ogni singolo plugin. Nulla mi vieta di realizzarne uno apparentemente molto utile contenente codice sporco o vulnerabile e sottoporlo alla comunità, può essere che Wp se ne accorga appena qualcuno lo avrà segnalato ma nel frattempo avrà già fatto le sue prime vittime. Occhio quindi al rank e ai commenti; verificare l’autore del plugin, la sua web reputation attraverso la pagina ufficiale è buona norma.
5. Scegli bene i plugin da utilizzare
Alcuni sembrano effettivamente uguali tra loro ma potrebbero differenziare lato codice, spesso mi è capitato di trovare interi siti web con traffico considerevole che inspiegabilmente andavano giù, guardando bene i log di errore ho evidenziato diverse fallenel loro funzionamento. Per questo motivo il consiglio è quello di utilizzare i plugin più consigliati, più votati e soprattutto in costante aggiornamento.
6. Aggiornamento dei plugin
Per riassumere i punti 4 e 5 di conseguenza è buona norma aggiornare i plugin così come il core di WordPress, è importante prima di installare un plugin capire attraverso il “changelog” quante volte esso viene rivisto e rilasciato e proprio tramite quest’ultimo capirete i motivi per il quale la versione viene appositamente aggiornata (molto spesso la causa di un aggiornamento è un bug fix).
Temi
Come ti comporti quando modifichi un tema?
7. Inserimento script e file
E’ buona norma non inserire script in maniera “invasiva” all’interno di un tema o di un plugin, la community offre un repository di regole che non vanno tralasciate (altrimenti nessuno si sarebbe preso l’impegno di scriverle), vi mostro un esempio chiave per schiarirvi le idee:
Se volessi inserire un file jQuery all’interno del tema corrente non andrò mai ad inserire il codice seguente:
poiché, con le dovute proporzioni, come se fosse un framework, esiste un repository di funzioni, in questo caso utilizzerò wp_enqueue_scripts sapendo che jQuery è già presente all’interno di WordPress non mi resta altro che interrogarlo:
8. Script e css localizzati
Oltre a questioni di velocità dell’applicazione l’ideale sarebbe isolare script e fogli di stile utilizzati solo in alcune pagine, per lo stesso principio descritto sopra basta allungare di una riga la funzione:
9. Evitare iframe o script esterni
Collegandomi alla questione plugin, verificate l’assenza sia nel vostro tema, sia nei plugin che installate di codice sospetto, iframe o script che puntano ad indirizzi esterni, potrebbero essere il cavallo di Troia per la vostra applicazione.
Server e spazio web
Tutti i punti precedenti potrebbero non valere se il vostro spazio non è ben configurato
10. Configurazione spazio
E’ buona norma rivedere le password di accesso al protocollo FTP o del server. Le password fornite dal vostro maintainer sono generate casualmente attraverso un algoritmo che, se decifrato potrebbe creare qualche problema al vostro spazio web, è buona norma, dunque, cambiare quella di default in una di vostra competenza, magari più complessa. E’ un concetto generico che vale non solo per WordPress ma anche per le vostre reti wireless o qualsiasi altra cosa basata su una IT; gli sniffer di reti wireless, ad esempio, sono tool che decifrano un algoritmo di generazione password fornito da un maintainer, e spesso fanno centro!
Se, invece, fate parte di un progetto molto più grosso, avete investito molti più soldi spendetene qualcuno di più per far configurare il vostro server ad hoc da un sistemista. Male non fa!
13 comments
carolina
5 Dicembre 2011 at 9:48
Ciao…ovviamente questi consigli valgono anche per altri cms come joomla ad esempio?
Mark Design
5 Dicembre 2011 at 10:09
aggiungerei una piccola cosa: dalla versione 3 è possibile modificare anche username oltre alla password….di gran lunga piu sicuro dato che prima erano tutte “admin”.
pierpaolo cerna
5 Dicembre 2011 at 14:47
Ottimi consigli, semplici ma non banali come ad esempio la questione prefix delle tabelle. Non ci avevo mai pensato ma in effetti è cosi.
Ps. Anche il mio blog fu vittima di quell’attacco a tappeto di qualche annetto fa.
pask83
6 Dicembre 2011 at 7:50
L’attacco a tappeto di qualche annetto fa era su versioni instabili e tranquillamente penetrabili, diciamo che cosi come joomla non era molto sicuro ma adesso con la modifica di username, dei prefissi e dei bugifx sempre più frequenti basta seguire i primi tre punti per evitare un deface.
maurizio
6 Dicembre 2011 at 15:07
ciao io utilizzo questo plugin per verificare la sicurezza del mio blog su wp:
WP-Security Admin tools by WebsiteDefender ; plugin site http://www.websitedefender.com/news/free-wordpress-security-scan-plugin/
ciao
pask83
7 Dicembre 2011 at 10:31
Ciao Maurizio,
grazie del consiglio lo provo al volo.
Fabio Conchiglia
7 Dicembre 2011 at 18:59
Grazie a Mario e grazie a Maurizio per la condivisione del plugin. 😉
Mario Concina
7 Gennaio 2012 at 11:00
Per chi ha installato la 3.3.0 deve assolutamente aggiornare la versione poiché sono stati rilevati 15 bug sulla sicurezza!
Stefano Corradini
21 Giugno 2012 at 15:52
Sarebbe bene limitare i tentativi d’accesso errati al pannello administrator di WP.
Consiglio questo plugin
http://wordpress.org/extend/plugins/limit-login-attempts/
Cremano
14 Agosto 2013 at 13:44
Ciao Mario, ottimi consigli e per questo ti ringrazio, io sto gestendo un sito in wordpress, ma quotidianamente spariscono pagine e articoli, da cosa può essere dovuto. Ti saluto e i ringrazio.
Mario Concina
14 Agosto 2013 at 14:18
Ciao e grazie.
Se spariscono da front-end prova a cambiare tema, se ricompaiono vuol dire che il problema è nel tema corrente.
Mattia Frigeri
15 Febbraio 2014 at 18:58
Ottime dritte! Anche io ho evidenziato (sto iniziando una collana) alcuni trucchi per rendere il sit a WordPress maggiormente sicuro! Buon lavoro!
teutra
17 Novembre 2014 at 12:17
Grazie per questo articolo, molto illuminante.