i 10 comandamenti per rendere WordPress sicuro

i 10 comandamenti per rendere WordPress sicuro

6408
13
CONDIVIDI

Installare WordPress è relativamente facile, il cms ormai è divenuto stabile e sicuro ma come tutti i sistemi informatici c’è sempre quel velo di vulnerabilità pronta a sorprenderci. Qualche annetto fa un exploit ha messo in crisi centinaia di migliaia di blog WordPress sparsi su tutto il globo, forse, chi avesse rispettato almeno un terzo delle regole scritte in questa pagina l’avrebbe fatta franca.

WordPress core

Alcune accortezze da rispettare all’interno del proprio progetto.

1. Elimina i file che non utilizzi

Molti exploit si basano sulla possibilità di individuare falle all’interno dell’applicazione su file che nemmeno utilizziamo. Sei sicuro di utilizzare tutti i file all’interno del tuo tema? Sarebbe meglio fare un po’ di pulizia.

2. Aggiornamento del core

E’ buona norma tenere l’applicazione costantemente aggiornata, spesso vengono scoperte falle in corso e successivamente corrette con il rilascio di nuovi aggiornamenti;

3. Cambiare prefisso delle tabelle

Questo passaggio è fondamentale per tagliar via una buona fetta dei potenziali attacchi, si da per scontato, infatti, che i nomi delle tabelle iniziano con il prefisso “wp”. Buona norma è, infatti, cambiare questo prefisso in fase di installazione sostituendolo con uno più complesso o comunque diverso. Ne guadagnerete sicuramente in sicurezza!

Plugins

I plugin che installi da dove provengono?

4. Utilizzali solo se necessario

Una delle grosse pecche di WordPress è quella di non assicurarsi al 100% la pulizia del codice e le funzionalità di ogni singolo plugin. Nulla mi vieta di realizzarne uno apparentemente molto utile contenente codice sporco o vulnerabile e sottoporlo alla comunità, può essere che Wp se ne accorga appena qualcuno lo avrà segnalato ma nel frattempo avrà già fatto le sue prime vittime. Occhio quindi al rank e ai commenti; verificare l’autore del plugin, la sua web reputation attraverso la pagina ufficiale è buona norma.

5. Scegli bene i plugin da utilizzare

Alcuni sembrano effettivamente uguali tra loro ma potrebbero differenziare lato codice, spesso mi è capitato di trovare interi siti web con traffico considerevole che inspiegabilmente andavano giù, guardando bene i log di errore ho evidenziato diverse fallenel loro funzionamento. Per questo motivo il consiglio è quello di utilizzare i plugin più consigliati, più votati e soprattutto in costante aggiornamento.

6. Aggiornamento dei plugin

Per riassumere i punti 4 e 5 di conseguenza è buona norma aggiornare i plugin così come il core di WordPress, è importante prima di installare un plugin capire attraverso il “changelog” quante volte esso viene rivisto e rilasciato e proprio tramite quest’ultimo capirete i motivi per il quale la versione viene appositamente aggiornata (molto spesso la causa di un aggiornamento è un bug fix).

Temi

Come ti comporti quando modifichi un tema?

7. Inserimento script e file

E’ buona norma non inserire script in maniera “invasiva” all’interno di un tema o di un plugin, la community offre un repository di regole che non vanno tralasciate (altrimenti nessuno si sarebbe preso l’impegno di scriverle), vi mostro un esempio chiave per schiarirvi le idee:

Se volessi inserire un file jQuery all’interno del tema corrente non andrò mai ad inserire il codice seguente:


poiché, con le dovute proporzioni, come se fosse un framework, esiste un repository di funzioni, in questo caso utilizzerò wp_enqueue_scripts sapendo che jQuery è già presente all’interno di WordPress non mi resta altro che interrogarlo:


8. Script e css localizzati

Oltre a questioni di velocità dell’applicazione l’ideale sarebbe isolare script e fogli di stile utilizzati solo in alcune pagine, per lo stesso principio descritto sopra basta allungare di una riga la funzione:


9. Evitare iframe o script esterni

Collegandomi alla questione plugin, verificate l’assenza sia nel vostro tema, sia nei plugin che installate di codice sospetto, iframe o script che puntano ad indirizzi esterni, potrebbero essere il cavallo di Troia per la vostra applicazione.

Server e spazio web

Tutti i punti precedenti potrebbero non valere se il vostro spazio non è ben configurato

10. Configurazione spazio

E’ buona norma rivedere le password di accesso al protocollo FTP o del server. Le password fornite dal vostro maintainer sono generate casualmente attraverso un algoritmo che, se decifrato potrebbe creare qualche problema al vostro spazio web, è buona norma, dunque, cambiare quella di default in una di vostra competenza, magari più complessa. E’ un concetto generico che vale non solo per WordPress ma anche per le vostre reti wireless o qualsiasi altra cosa basata su una IT; gli sniffer di reti wireless, ad esempio, sono tool che decifrano un algoritmo di generazione password fornito da un maintainer, e spesso fanno centro!

Se, invece, fate parte di un progetto molto più grosso, avete investito molti più soldi spendetene qualcuno di più per far configurare il vostro server ad hoc da un sistemista. Male non fa!