WordPress è una piattaforma open-source molto diffusa. Data la sua versatilità e relativa facilita d’uso la sua diffusione è stata notevole, tanto che il 30% dei siti del web sono stati realizzati con WordPress. Purtroppo però, come tutte le piattaforme open-source molto diffuse, questo famoso CMS attira l’attenzione degli hacker. Infatti, data la possibilità di conoscere il “meccanismo” di funzionamento dei siti fatti con WordPress, può capitare che si trovino delle falle nella sicurezza del sistema e il nostro caro sito verrà impossessato da qualcun altro che spesso provvederà a caricare contenuti pubblicitari di gioco d’azzardo o contenuti per adulti.
Anche se può sembrare strano, il lavoro degli hacker risulta spesso utile alla sicurezza stessa di WordPress. Questo accade perché i creatori di WordPress e i vari programmatori che lo gestiscono e la aggiornano, unitamente con chi crea plug-in per la sicurezza, possono rilevare quali sono i punti deboli che permettono agli hacker di entrare nel sistema e porvi rimedio. Viene garantito così un continuo miglioramento della sicurezza grazie al lavoro di ricerca delle vulnerabilità della piattaforma CMS svolto dagli hacker.
C’è da considerare però che, anche se la sicurezza migliora continuamente, a nessuno farebbe piacere ritrovarsi il sito craccato. Meglio prendere qualche piccola precauzione che ci aiuti ad evitare spiacevoli intrusioni e che, qualora di verificassero, ci dia la possibilità di porvi rimedio.
Al primo posto di questa piccola classifica di accorgimenti per realizzare un sito sicuro troviamo il classico backup. Fatto in modo periodico e che interessi l’intero sito o, quantomeno, che includa il database MySQL, la cartella wp-content e il file wp-config.php. Questi ultimi tre elementi non possono mancare in un backup. Già con questo piccolo accorgimento possiamo recuperare il maltolto e rimettere in piedi il nostro sito.
Altri piccolo accorgimenti per migliorare la sicurezza sono:
- aggiornare costantemente tutti i plug-in installati e WordPress (anche se le ultime versioni si possono aggiornare da sole);
- utilizzare pochi plug-in e installare solo quelli che hanno una grandissima diffusione e aggiornamenti periodici costanti Per verificare quest’ultimo aspetto basta controllare a quando risale l’ultimo aggiornamento disponibile (se è recente allora è probabile che gli aggiornamenti siano frequenti);
- cancellare l’utente “admin” e utilizzarne uno personalizzato. Poiché la stragrande maggioranza di attacchi di brute force, ovvero di tentativi di log-in automatici da parte di bot, vengono fatti utilizzando questo nome utente è consigliato usarne uno differente e difficile da indovinare;
- utilizzare password molto lunghe e complesse come le cosiddette passphrase, ovvero password composte da più parole;
- utilizzare un servizio hosting di qualità che adotti sistemi di sicurezza e magari che fornisca anche servizi di backup automatici e periodici.
Questi pochi semplici accorgimenti elencati sopra possono dare un grande aiuto, non costano molta fatica e non richiedono particolari competenze.
Altri interventi un po’ più tecnici possono aiutarci invece a evitare attacchi più mirati che possono interessare la struttura stessa di WordPress. Eccoli qui di seguito:
- cambiare il prefisso delle tabelle del database. Di default tutte le tabelle del database di WordPress hanno questo prefisso: “wp_”. Questo prefisso consente agli hacker di individuare facilmente il nostro database e di conseguenza di operare attacchi detti di “SQL Injection”;
- modificare la Salt Key nel file wp-config.php. All’interno di questo file php è presente un link dove possiamo trovare nuove Salt Key da sovrascrivere alle vecchie. Questa operazione, oltre ad aumentare la sicurezza, ci consente di fare un reset di tutti i coockie attivi sul sito e di scollegare tutti gli utenti attivi;
- utilizzare il file .htaccess inserendovi alcune regole che limitino l’accesso al file wp-config-php o alla cartella wp-includes. Senza la possibilità di accesso questi file non potranno essere modificati dagli hacker;
- modificare l’indirizzo della pagina “login” di WordPress. Di default questa pagina si trova a questo indirizzo: “nome_dominio/wp-admin”. Questo indirizzo standard permette di trovare facilmente la porta d’ingresso del tuo sito. Modificando questo indirizzo si può facilmente evitare gli attacchi automatizzati di “brute force” che cercano di effettuare la login nel tentativo di indovinare la password.
Queste ultime operazioni sono un po’ più delicate e necessitano l’aggiunta di qualche riga di codice in determinati file come, ad esempio, nel file .htaccess o wp-config.php. Se non si ha troppa esperienza è meglio evitare o comunque, fare un backup di questi file prima di modificarli in modo da poter recuperarli in un secondo momento.
In alternativa a questi interventi manuali si può optare per un buon plugin per la sicurezza. Nella sezione plugin di WordPress ce ne sono diversi e si devono scegliere quelli che vantano un numero considerevole di installazioni e aggiornamenti costanti. Questi plugin, oltre che operare tutte le modifiche sopra descritte, posso anche svolgere attività di scansione del sito per individuare eventuali virus, abilitare firewall e prevenire futuri attacchi. Scegliete quindi un buon plugin e impiegate un po’ di tempo per capire come meglio impostarlo e (soprattutto) continuate ad aggiornalo.