Chiudi
Chiudi

Un po’ di sicurezza su WordPress

WordPress è probabilmente il CMS più utilizzato non solo per creare dei blog ma anche dei veri e propri siti, spesso anche molto complessi anche grazie all’ampia scelta di temi e plugin che automatizzano moltissime operazioni.

Utilizzare WordPress consente uno sviluppo veloce e una riduzione dei costi per il cliente che non deve pagare l’intera realizzazione di un sito gestibile.

Proprio per questo è necessario utilizzare tutti gli accorgimenti utili a rendere sicuro un sistema Open Source di cui tutti conoscono il codice e la struttura.

Innanzitutto, sembra banale ma è sempre bene ricordarlo, fare molta attenzione nella scelta dell’username e della password. Non devono essere mai banali e di poche lettere, se poi sono casuali ancora meglio! E mi raccomando: mai mostrare il vero username nel sito! Avete visto Wargames? Il protagonista sfruttava proprio il fatto che la password era riconducibile al proprietario del sistema. Quindi niente date di nascita, nomi dei figli o cose così. Mettete qualcosa che conoscete solo voi.

Un’altra cosa importante è differenziare i prefissi delle tabelle perché rende più difficile interrogare il database nel caso si riuscisse ad approfittare di una qualche vulnerabilità. WordPress offre una grande robustezza nelle sue funzionalità, ma questo è un sistema semplice ed efficace per complicare la vita agli hacker!

Sempre per rendere complicata la vita degli hacker, esistono molti modi per “nascondere” la login a chi non ha motivi leciti di farlo. Inoltre aiuta moltissimo in quei casi di “forza bruta” in cui il sito viene bombardato continuamente con tentativi di login provando username e password a caso. Abbiamo già discusso che una password complicata è una password sicura, però questi attacchi hanno anche la brutta conseguenza di occupare moltissime risorse del server e spesso possono causare un deciso calo delle prestazioni perché wordpress comunque tutte le volte deve accedere al database ed eseguire parecchie operazioni. Se la pagina di login non si trova, praticamente il server non fatica.

Se l’installazione di wordpress è vecchia o se avete “ereditato” un sito fatto da altri o ancora ci sono stati casi di intrusione, esistono dei metodi di totale paranoia come revocare i diritti di scrittura sul server (a parte le directory strettamente necessarie) e magari qualche script che monitora l’invio delle email o le modifiche ai files e avvisa se succede qualcosa di strano. Questo ovviamente in casi estremi. Anche guardare i log del server ogni tanto può rivelare comportamenti sospetti su qualche script. Soprattutto tenete d’occhio quei plugin che consentono l’upload di file (magari per una galleria o documenti), a volte lo sviluppatore scorda di controllare l’estensione del file e vi trovate qualcosa di indesiderato sul sito.

Da questo deriva che, a meno che non sia strettamente necessario, è meglio usare i plugin che si conoscono bene. In genere non ne servono moltissimi e potete usare gli stessi su molti siti. Quando avete esigenze particolari e ne installate uno nuovo, dategli un minimo di attenzione. Ovviamente se la comunità di wordpress dice che è ottimo potete stare piuttosto tranquilli.

Un ultimo consiglio, e vale sempre in informatica: fate i backup. Sempre. Più volte al giorno e su una macchina diversa. Meglio occupare spazio su disco “inutilmente” che non trovare quello che vi serve nel momento del bisogno.

Torna all'elenco