WORDPRESS E’ IL SISTEMA DI CONTENT MANAGEMENT PIÙ DIFFUSO NEL WEB: CIRCA IL 25% DEI SITI AL MONDO GIRA SU QUESTA PIATTAFORMA. VEDIAMO QUALI SONO LE BEST PRACTICE PER RENDERLO ANCHE SICURO E A PROVA DI HACKER
Il tema della sicurezza è un argomento molto sensibile per tutti i webmaster, e non fanno eccezione nemmeno i blogger che utilizzano piattaforme rinomate e diffuse come WordPress. Anzi. il noto CMS per blog e siti editoriali è uno dei sistemi più bersagliati, proprio a causa della sua capillare diffusione (il 25% circa dei siti mondiali gira su piattaforma WordPress). In questo articolo passeremo in rassegna le metodologie più efficaci per blindare il nostro sito. Nella prima parte, vedremo quali sono le basi per mettere in sicurezza il sito, owero creare un sistema di login a prova di hacker, andando ad analizzare quali sono le criticità che possono rendere vulnerabile il sistema e trovando le soluzioni adatte. Nella seconda parte ci dedicheremo invece a sistemare tutte le possibili falle, da quelle che possono coinvolgere il database a quelle che riguardano i permessi di singoli file e tabelle. Chiuderemo infine con una sezione dedicata ai plugin per la sicurezza, nel quale vedremo quali sono quelli più utilizzati e più performanti per aiutarci a migliorare la sicurezza di WordPress anche (e soprattutto) in situazioni di emergenza. Tutto quello che impareremo è frutto del gran lavoro che viene fatto giornalmente dalla numerosa community di sviluppatori.
Worpress, sempre attenta ad ogni problematica del sistema e prolifica, infatti ogni giorno vengono sfornati nuovi strumenti (plugin) o tecniche per rendere più sicuro il nostro sito. La cosa importante da tenere a mente è che la violazione di un sistema informatico, molto spesso è conseguenza di una inadeguata “manutenzione” da parte del proprietario del sito web, insomma, niente di personale tra voi e gli hacker (di solito). Un sito internet è esattamente come una macchina, non possiamo pensare di usarla senza controllare con costanza le gomme, il livello del!’ olio motore o il liquido dei freni, perchè a lungo andare, l’usura (o le nuove •scoperte” tecnologiche per i siti web), presenterà il conto, e non ci dovremo stupire, se la nostra macchina (o il nostro sito), cadrà a pezzi, o non passerà una una revisione (o un attacco hacker). Filosofia a parte, passiamo alla pratica!
COME SI BUCA WORDPRESS
Sostanzialmente “bucare” un sito in WordPress non è differente da farlo su un qualsiasi altro sistema, i metodi più comuni sono:
- exploit di bug o di falle di sicurezza nel codice ufficiale del sistema
- exploit di bug nei plugin
- violazione dei dati di login all’area amministrativa del sito
- installazione di malware (solitamente a causa di temi o plugin che vengono scaricati da fonti non ufficiali)
- uso di tecniche di SQL lnjection
Insomma, nulla di cui stupirsi, cose che capitano a tutti i siti, al limite si può prendere in cousiderazione il fatto che WordPress abbia, owiarnente, dei tratti somatici comuni a tutte le installazioni, come i nomi dele 1i1bele del database e l’utente amministratore di default Admin). Queste forse sono due criticità che rendono un silo Woldpress più vulnerabile rispetto ad altri, ma solo se il proprietario del sito non ha preso le dovute precauzioni.
Come fare per difendersi?
Difendersi è più facile di quanto sembra, ma serve un po’ di impegno, in questa guida panilftnodill primo punto dolente sul quale battono gli hacker. Il sistema di login alla dashboard di WordPress.
Nella prima parte vedremo quali sono le best practice ed i plug-in che ci possono aiutare a rendere la login area, non più il tallone d’Achille del nostro sito ma un punto di forza. Nella seconda parte invece prenderemo in considerazione tecniche e plug-in per difenderci dagli attacchi o per rimediare in caso di attacco andato a buon fine.
PRIMA PARTE: RENDERE SICURO IL LOGIN AL SITO
Creiamo un utente ADMIN:
Cominciamo dalle basi, ovvero dalla prima fonte d grattacapi per i proprietari di sili: Creiamo un utente Admin sicuro. Per tutelarci da un attacco che punta alla violazione dell’account da amministratore del sito, cominciamo dalle cose più semplici e banali, owero:
1. Non utilizzare l’account con ID 1 e/o con il nickname “Admin” per l’utente con permessi da amministratore;
2. Creare una password forte.
Sembrano suggerimenti troppo scontati vero? Eppure una username ed una password banali o, peggio, standard, sono la prima falla in un sistema di backend, e non solo su WordPress. Per quanto possa sembrare incredibile, parecchi siti utilizzano addirittura l’accoppiata “Admin” e “password” (si proprio così), come username e password per l’account di amministratore del sito. Se non vogliamo essere tra le vittime preferite di hacker, cracker o semplici curiosi smanettoni, cominciamo col creare un nuovo utente (che per forza di cose avrà un ID superiore a 1) che abbia un nome diverso da Admin. Utilizzate un nome account conformato da lettere maiuscole e minuscole, e per renderlo ancora più sicuro, aggiungeteci numeri e caratteri (es: LuKa-s393). Per la password usiamo la stessa tecnica, però se possibile, cerchiamo di crearla lunga almeno 12 caratteri, così sarà più difficile per gli algoritmi “scova-password” trovarla.
A questo punto diamo al nostro nuovo utente i permessi di Amministratore del sito, e cancelliamo quello di default creato all’installazione del sito, che di solito si chiama Admin. Ecco fatto, con questi primi accorgimenti entrare nel nostro backend dalla porta principale sarà decisamente più ostico, e già questo potrebbe abbassare di parecchio il rischio di accessi indesiderati al nostro sito.
Cambiare l’url di login del sito
Altra “ovvietà” (o presunta tale}, è l’url (indirizzo web) della pagina di login del nostro sito. Conoscendola, i malintenzionati potrebbero utilizzare bot e script automatici con l’obiettivo di eseguire migliaia di tentativi di connessione al minuto con il fine di individuare delle credenziali di accesso.
Come possiamo rendere più difficile la vita di questi curiosoni? Semplice: cambiando l’url della pagina di login. Su WordPress infatti, l’accesso alla login del sito è standard, basta aggiungere /wp-admin/ oppure /wp-login.php all’url del sito per veder apparire la classica maschera di autenticazione.
Cambiando l’url della pagina di login sicuramente i tentativi di accesso fraudolento crollerebbero a zero, o quasi, perchè l’hacker di turno dovrebbe perdere troppo tempo per cercare la nuova uri.
Per far questo esistono due metodi, uno è fare tutto a mano, agendo sulla configurazione del sito, un’altra è utilizzare il plugin: Lockdown WP Admin, un tool gratuito che ha come unica funzione quella di blindare e nascondere l’area di login ai malintenzionati. Dal momento che è un plugin specifico, ci sentiamo di consigliarne l’utilizzo, poiché a differenza di tanti altri plugin “multiuso”, ha un consumo di risorse estremamente ridotto.
Limitare il numero di tentativi di Login
Un’altra azione valida per rendere più sicuro il login all’area di amministrazione del sito, è l’installazione di un plugin che limiti il numero di tentativi di autenticazione.
Il plugin più utilizzato è WP Limit Login Attempts, uno strumento gratuito che, oltre a limitare i tentativi di accesso, si porta in dote anche la funzione “Captcha Verification”, un ottimo sistema per evitare che i bot possano concludere il processo di autenticazione.
Personalizzare il messaggio di errore della pagina di login è importante per evitare che WordPress riveli informazioni importanti e “sensibili”. Quando eseguiamo il login infatti, il sistema, di default, non ci comunica solamente che le credenziali sono sbagliate ma ci da più informazioni, cioè ci comunica se abbiamo sbagliato l’username (quindi sapremo che non esiste), se abbiamo sbagliato la password (quindi l’username esiste) o se abbiamo sbagliato entrambi.
Sapere che un username esiste, mette l’hacker nella condizione di dover cercare solamente la password per entrare nel nostro sistema, quindi il suo compito è agevolato. Che fare allora? La cosa migliore è dare un messaggio di errore generico, che non fornisca informazioni sulla motivazione della negata autorizzazione. Per far questo si deve aggiungere la seguente funzione nel file functions.php:
function my _login_message( $error)
{
$error = ‘<strong>ERRORE</strong>:
Autenticazione non valida.’;
return $error;
}
// Aggiungiamo la nostra funzione su login_errors
add_filter(‘login_errors’, ‘my_login_message’);
SECONDA PARTE: BLINDARE OGNI AREA DI WORDPRESS
Dopo aver visto quali sono tecniche e plugin che possono venirci in aiuto per creare una login più sicura, passiamo in questa seconda parte a vedere quali sono tutte le possibili aree critiche di un sito WordPress e come farle diventare dei punti di forza inattaccabili.
Nascondere la versione di WordPress in uso
Guardando il codice sorgente di una pagina in WordPress è molto semplice scoprire quale versione del CMS si utilizza sul sito, e questa informazione può aiutare non poco La persona intenzionata a violare il nostro sistema. Ogni versione infatti ha i suoi punti deboli e le sue vulerabilrtil, ed avere questa informazione a portata di mano mene l’hacker nelle condizioni di poter andare quasi a colpo sicuro. cercando di sfruttare esattamente quelle vulnerabilità del nostro sistema. Quello che possiamo lare per rendere più ostica la vita dei nostri nemici·, è cancellare dalle nostre pagine web ogni rifenmento alla versione in uso.
Per farlo è necessario modificare il file functions.php, aggiungendo Il seguente codice:
function my_remove_version_info() {
return ”;
}
add_filter(‘the_generator’, ‘my_remove_version_info’);
Impedire l’accesso al file config.php
Settare i permessi di file e cartelle. Il file con6g.php è una miniera di informazioni per qualsiasi hacker che volesse intrufolarsi nel cm sito: sarebbe utile blindarlo, proteggerlo, facendo in modo che non sia che non sia accessibile dall’esterno.
Cambiare Il prefisso delle tabelle del database
Disabilitare i file editor nella dashboard
Rimuovere i file e plugin non necessari
Aggiornare costantemente i plug-in e wordpress