i 10 comandamenti per rendere WordPress sicuro

i 10 comandamenti per rendere WordPress sicuro

2035
13
CONDIVIDI

Installare WordPress è relativamente facile, il cms ormai è divenuto stabile e sicuro ma come tutti i sistemi informatici c’è sempre quel velo di vulnerabilità pronta a sorprenderci. Qualche annetto fa un exploit ha messo in crisi centinaia di migliaia di blog WordPress sparsi su tutto il globo, forse, chi avesse rispettato almeno un terzo delle regole scritte in questa pagina l’avrebbe fatta franca.

WordPress core

Alcune accortezze da rispettare all’interno del proprio progetto.

1. Elimina i file che non utilizzi

Molti exploit si basano sulla possibilità di individuare falle all’interno dell’applicazione su file che nemmeno utilizziamo. Sei sicuro di utilizzare tutti i file all’interno del tuo tema? Sarebbe meglio fare un po’ di pulizia.

2. Aggiornamento del core

E’ buona norma tenere l’applicazione costantemente aggiornata, spesso vengono scoperte falle in corso e successivamente corrette con il rilascio di nuovi aggiornamenti;

3. Cambiare prefisso delle tabelle

Questo passaggio è fondamentale per tagliar via una buona fetta dei potenziali attacchi, si da per scontato, infatti, che i nomi delle tabelle iniziano con il prefisso “wp”. Buona norma è, infatti, cambiare questo prefisso in fase di installazione sostituendolo con uno più complesso o comunque diverso. Ne guadagnerete sicuramente in sicurezza!

Plugins

I plugin che installi da dove provengono?

4. Utilizzali solo se necessario

Una delle grosse pecche di WordPress è quella di non assicurarsi al 100% la pulizia del codice e le funzionalità di ogni singolo plugin. Nulla mi vieta di realizzarne uno apparentemente molto utile contenente codice sporco o vulnerabile e sottoporlo alla comunità, può essere che Wp se ne accorga appena qualcuno lo avrà segnalato ma nel frattempo avrà già fatto le sue prime vittime. Occhio quindi al rank e ai commenti; verificare l’autore del plugin, la sua web reputation attraverso la pagina ufficiale è buona norma.

5. Scegli bene i plugin da utilizzare

Alcuni sembrano effettivamente uguali tra loro ma potrebbero differenziare lato codice, spesso mi è capitato di trovare interi siti web con traffico considerevole che inspiegabilmente andavano giù, guardando bene i log di errore ho evidenziato diverse fallenel loro funzionamento. Per questo motivo il consiglio è quello di utilizzare i plugin più consigliati, più votati e soprattutto in costante aggiornamento.

6. Aggiornamento dei plugin

Per riassumere i punti 4 e 5 di conseguenza è buona norma aggiornare i plugin così come il core di WordPress, è importante prima di installare un plugin capire attraverso il “changelog” quante volte esso viene rivisto e rilasciato e proprio tramite quest’ultimo capirete i motivi per il quale la versione viene appositamente aggiornata (molto spesso la causa di un aggiornamento è un bug fix).

Temi

Come ti comporti quando modifichi un tema?

7. Inserimento script e file

E’ buona norma non inserire script in maniera “invasiva” all’interno di un tema o di un plugin, la community offre un repository di regole che non vanno tralasciate (altrimenti nessuno si sarebbe preso l’impegno di scriverle), vi mostro un esempio chiave per schiarirvi le idee:

Se volessi inserire un file jQuery all’interno del tema corrente non andrò mai ad inserire il codice seguente:

<script type="text/javascript" src="js/jquery.js"></script>

poiché, con le dovute proporzioni, come se fosse un framework, esiste un repository di funzioni, in questo caso utilizzerò wp_enqueue_scripts sapendo che jQuery è già presente all’interno di WordPress non mi resta altro che interrogarlo:

<?php wp_enqueue_script('jquery'); ?>

8. Script e css localizzati

Oltre a questioni di velocità dell’applicazione l’ideale sarebbe isolare script e fogli di stile utilizzati solo in alcune pagine, per lo stesso principio descritto sopra basta allungare di una riga la funzione:

<?php
if(is_home()) {
    wp_enqueue_script('jquery');
}
 
if(is_page(2)) {
    wp_enqueue_script('jquerytools', get_bloginfo('template_directory') . '/js/jquery.tools.js', array('jquery'));
    wp_enqueue_style('css_jquerytools', get_bloginfo('template_directory') . '/css/jquerytools.css');
}
?>

9. Evitare iframe o script esterni

Collegandomi alla questione plugin, verificate l’assenza sia nel vostro tema, sia nei plugin che installate di codice sospetto, iframe o script che puntano ad indirizzi esterni, potrebbero essere il cavallo di Troia per la vostra applicazione.

Server e spazio web

Tutti i punti precedenti potrebbero non valere se il vostro spazio non è ben configurato

10. Configurazione spazio

E’ buona norma rivedere le password di accesso al protocollo FTP o del server. Le password fornite dal vostro maintainer sono generate casualmente attraverso un algoritmo che, se decifrato potrebbe creare qualche problema al vostro spazio web, è buona norma, dunque, cambiare quella di default in una di vostra competenza, magari più complessa. E’ un concetto generico che vale non solo per WordPress ma anche per le vostre reti wireless o qualsiasi altra cosa basata su una IT; gli sniffer di reti wireless, ad esempio, sono tool che decifrano un algoritmo di generazione password fornito da un maintainer, e spesso fanno centro!

Se, invece, fate parte di un progetto molto più grosso, avete investito molti più soldi spendetene qualcuno di più per far configurare il vostro server ad hoc da un sistemista. Male non fa!

  • carolina

    Ciao…ovviamente questi consigli valgono anche per altri cms come joomla ad esempio?

  • Mark Design

    aggiungerei una piccola cosa: dalla versione 3 è possibile modificare anche username oltre alla password….di gran lunga piu sicuro dato che prima erano tutte “admin”.

  • pierpaolo cerna

    Ottimi consigli, semplici ma non banali come ad esempio la questione prefix delle tabelle. Non ci avevo mai pensato ma in effetti è cosi.

    Ps. Anche il mio blog fu vittima di quell’attacco a tappeto di qualche annetto fa.

  • pask83

    L’attacco a tappeto di qualche annetto fa era su versioni instabili e tranquillamente penetrabili, diciamo che cosi come joomla non era molto sicuro ma adesso con la modifica di username, dei prefissi e dei bugifx sempre più frequenti basta seguire i primi tre punti per evitare un deface.

  • ciao io utilizzo questo plugin per verificare la sicurezza del mio blog su wp:
    WP-Security Admin tools by WebsiteDefender ; plugin site http://www.websitedefender.com/news/free-wordpress-security-scan-plugin/

    ciao

  • pask83

    Ciao Maurizio,
    grazie del consiglio lo provo al volo.

  • Fabio Conchiglia

    Grazie a Mario e grazie a Maurizio per la condivisione del plugin. 😉

  • Mario Concina

    Per chi ha installato la 3.3.0 deve assolutamente aggiornare la versione poiché sono stati rilevati 15 bug sulla sicurezza!

  • Sarebbe bene limitare i tentativi d’accesso errati al pannello administrator di WP.
    Consiglio questo plugin
    http://wordpress.org/extend/plugins/limit-login-attempts/

  • Cremano

    Ciao Mario, ottimi consigli e per questo ti ringrazio, io sto gestendo un sito in wordpress, ma quotidianamente spariscono pagine e articoli, da cosa può essere dovuto. Ti saluto e i ringrazio.

    • Ciao e grazie.
      Se spariscono da front-end prova a cambiare tema, se ricompaiono vuol dire che il problema è nel tema corrente.

  • Ottime dritte! Anche io ho evidenziato (sto iniziando una collana) alcuni trucchi per rendere il sit a WordPress maggiormente sicuro! Buon lavoro!

  • Grazie per questo articolo, molto illuminante.