5 errori comuni che minano la sicurezza del tuo WordPress

Sicurezza wordpress
Tempo stimato di lettura: 2 minuti, 55 secondi
Pubblicato il 30 maggio 2012

La sicurezza in ambito web è un tema sempre molto caldo, sopratutto di questi tempi in cui i CMS dominano la scena mondiale, è facile imbattersi in qualche malintenzionato che tenti di rubare dati sensibili o, più semplicemente, mandare in palla un sito web per puro divertimento.Da una ricerca condotta a fine 2011 da WordPress.org, risulta che il 14.7% di tutti i siti web del mondo è realizzato tramite WordPress, il che, se da un lato lo rende una piattaforma ottimale per la realizzazione di un sito web, dall’altro lo espone continuamente al rischio di attacco da parte di hacker specializzati.

Sebbene le numerose falle di sicurezza siano state risolte ed oggi WordPress presenti un core decisamente più solido, non prestare la giusta attenzione può causare seri problemi. Vediamo quindi 5 punti da tenere in considerazione per evitare che il nostro sito cada vittima delle mani sbagliate.

1. Non aggiornare WordPress all’ultima versione

Ogni versione rilasciata presenta solitamente, oltre a numerose novità, un elenco corposo di bug fix e risoluzione di problemi di sicurezza. Non utilizzare l’ultima versione permette più facilmente agli hacker di sapere quali sono le vulnerabilità di cui soffre il suo sito, rendendogli più facile l’operazione di attacco. Oltre a rimanere sempre aggiornato, ricordandoti di fare sempre i backup prima di passare ad una nuova versione del core, assicurati di aver installati WebsiteDefender e SecureWordpress: due plugins di sicurezza fondamentali.

2. Non aggiornare i Plugins all’ultima versione

Il problema è lo stesso appena visto. Anche i plugins ed i temi sono soggetti a falle di sicurezza. Assicurati quindi che siano sempre aggiornati e sicuri. Anche in questo caso non dimenticarti mai, soprattutto nel caso si usino molteplici plugins e su progetti di grandi dimensioni, di effettuare il backup del database e del sito intero prima di procedere, oltre a leggere attentamente i “changelog” effettuati con la nuova versione.

3. Scaricare plugins non attendibili

Dal momento che il 90% dei plugins per WordPress sono open source, facilmente alcuni di loro possono presentare vulnerabilità. In alcuni casi vengono addirittura creati appositamente dagli hackers per iniettare malware nel tuo sito. Una volta installati questi plugins infettano tutto ciò che trovano e rendono i tuoi files facilmente accessibili dall’esterno. Gli hackers più agguerriti potrebbero utilizzare questo sistema per trasferire parte del tuo traffico sui loro siti, al fine di rubare dati sensibili o guadagnare traffico per migliorare il posizionamento del loro sito web. Con WebsiteDefender fortunatamente è possibile scansionare tutti i files, tuttavia il mio consiglio è quello di scaricare plugins solo da fonti attendibili e, nel caso si prelevino dalla repository di WordPress, attendere il feedback della community prima di cominciare ad utilizzarli su progetti di lavoro.

4. Assegnare permessi non sicuri alle cartelle di WordPress

Uno degli errori più frequenti degli utenti inesperti, è quello di lasciare permessi di scrittura alle cartelle. Così facendo un hacker può facilmente caricare i suoi scripts e compiere le sue azioni malevole, così come sfruttare il tuo spazio web per l’upload di files illegali. Sempre grazie a WebsiteDefender è possibile controllare il buono stato di tutti i permessi relativi alle cartelle. Non trascurare mai questo aspetto e non mettere permessi di scrittura se non sei sicuro di quello che stai facendo!

5. Usare credenziali di accesso non sicure

Per evitare di vedere il proprio sito pieno di finti amministratori hacker, assicurati sempre di utilizzare username e password sicuri e unici. Fai in modo che lo stesso discorso valga per tutti gli utenti amministratori del sito. Questo ti consentirà di dormire sonni più tranquilli.

Articolo ispirato a: Top 5 Mistakes for your WordPress Website Security

  • Consiglierei, soprattutto, di utilizzare plugin per la protezione dell’admin login form, il quale è vulnerabile di base ad un attacco con dizionario di password di tipo bruteforce.

    • Certamente, l’articolo è tutto fuorchè esaustivo, voleva dare solo delle linee guida. Provvederemo anche a segnalare in un altro articolo i plugins di sicurezza consigliati, grazie comunque Domenico 😉

  • argomento importantissimo e, ahinoi, ampiamente sottovalutato dai blogger che scaricano “quello che viene viene”… attenzione ai plugin dubbi (spesso quelli per avere “vantaggi SEO” lo sono) e aggiungerei di fare caso ai theme che si usano… tempo fa ho beccato un pacchetto intero di temi infetti, che – per quanto bellissimi graficamente – iniettavano del codice malevolo via JS ai poveri visitatori 🙁

  • Sante Rotondi

    “Dal momento che il 90% dei plugins per WordPress sono open source, facilmente alcuni di loro possono presentare vulnerabilità.”

    Un buon articolo, ma la frase qui sopra è una stronzata pazzesca!

    • Ciao Sante, LoL, quale dell frase reputi “stronzata”?

      • Alessio Nunzi

        Sicuramente il buon sante poteva trovare altri modi per dirlo 🙂 ma son d’accordo anche sul fatto che non sia proprio così.
        è vero, possono sicuramente presentare vulnerabilità, ma va ricordato che l’ open source, essendo appunto codice aperto, è soggetto all’analisi di migliaia di occhi nel mondo, al contrario di quanto accade per il codice proprietario..(ovviamente non servivo io a dirtelo, saprai a memoria la storia dell’open source)
        andrebbe forse detto che il rischio è direttamente proporzionale all’inesperienza dello sviluppatore..

Shares