Sito WordPress Hackerato: problemi di sicurezza del CMS più utilizzato al mondo
Wordpress è uno dei sistemi di gestione dei contenuti web (CMS: content management system) ormai più diffusi al mondo. Circa il 30% dei siti oggi viene sviluppato su questa piattaforma. Nata come soluzione per blog, ormai WordPress viene utilizzato per qualsiasi tipologia di sito web.
Sempre più frequentemente, infatti, accade che un sito wordpress venga hackerato. Solo neglio ultimi 12 mesi, si registra che circa il 38% dei siti wordpress abbia subito intrusioni per fini di spam, per furto dati, o anche per semplice divertimento da parte di qualche giovanissimo informatico che vuole provare il brivido di riuscire in qualche “hack”.
Allora cosa fare? Non bisogna più utilizzare WordPress? Assolutamente no! Basta utilizzare opportune misure di sicurezza per ridurre drasticamente le possibilità di intrusione.
Quali sono le vulnerabilità di WordPress?
I principali componenti sensibili per la sicurezza sono fondamentalmente tre:
- Core: i file base che vengono copiati nell’installazione e forniscono i principali servizi;
- Plugin: componenti aggiuntivi che vengono utilizzati per ottenere funzioni aggiuntive rispetto a quelle base;
- Tema: il layout grafico e le funzioni di presentazione per l’esperienza di navigazione utente.
Da una delle verifiche recenti del sistema wpscan.org si evince che le principali vulnerabilità dipendono da questi tre componenti nelle percentuali riportate di seguito:
- plugin – vulnerabilità 52%
- core – vulnerabilità 37%
- tema – vulnerabilità 11%
Infatti la popolarità di wordpress ha portato allo sviluppo di una miriade di plugin (ad oggi se ne contano più di 42.000) che sono diventati una risorsa fondamentale per le funzionalità richieste ed è pertanto inevitabile che un sito wordpress non contenga almeno 5-10 plugin attivi.
WordPress deve il suo successo proprio alla sua estendibilità e la possibilità di personalizzazione, tuttavia questo è diventata anche la causa della sua vulnerabilità in termini di sicurezza.
Cosa fare per proteggere il proprio sito WordPress?
Lo scopo di un hacker è quello di ottenere l’accesso non autorizzato ad un sito come “amministratore”. I sistemi per l’hacking potrebbero anche non essere avviati da una persona fisica, ma da un sistema automatico in grado di attaccare un sito alla volta (single bot), o, peggio, da un gruppo di computer che attacca contemporaneamente più siti con un sistema più sofisticato ed efficace (botnet).
Le 5 azioni più comuni che vanno prese in considerazione sono:
1. Sistema anti-Brute Forcing
Per ottenere l’accesso amministrativo, la prima cosa che un hacker (o un sistema di hacking) tenterà di fare è di arrivare alla pagina di accesso forzando il sistema utente (brute forcing). Il primo consiglio è quello di modificare l’url della pagina di accesso personalizzandola rispetto a quella di default (/wp-admin/ o /wp-login.php). Quindi installare un sistema anti-brute forcing (è possibile trovare dei plugin in merito).
2. Usare il sistema SSL per crittografare i dati
Usare il protocollo HTTPS è sicuramente una cosa base da impostare per la sicurezza. La crittografia SSL, infatti, garantisce il trasferimento sicuro dei dati dal server al browser dell’utente che naviga. Queste rende più difficile per gli hacker violare gli accessi rubando le informazioni. Leggi l’articolo sull’importanza dell’SSL per saperne di più.
3. Cambiare le password di accesso periodicamente
Cambiare le password regolarmente è un’altra “sana abitudine” per migliorare la sicurezza del proprio sito. È importante anche rafforzarle introducendo lettere maiuscole e minuscole, numeri e caratteri speciali.
4. Proteggi il file wp-config.php
Il file wp-config.php è il file più importante nella directory principale del tuo sito. Per renderlo inaccessibile basta utilizzare una semplice astuzia ovvero spostarlo ad un livello superiore rispetto alla directory principale. Dato che le impostazioni del file di configurazione sono impostate al livello più alto nell’elenco di priorità, anche se è memorizzato una cartella sopra la directory radice, WordPress può ancora vederlo.
5. Aggiornare sempre i plugin
Ogni software ha i suoi sviluppatori che solitamente rilasciano versioni aggiornate non solo per migliorare le funzionalità, ma spesso proprio per prevenire falle di sicurezza. I plugin principalmente, ma, se possibile, vanno aggiornati anche i temi e la versione di WordPress.
Conclusioni
Ovviamente ci sono tanti altri aspetti che possono essere presi in considerazione, come modificare il prefisso della tabella del database, impostare correttamente i permessi di file e directory, bloccare gli hotlinking, prevenire gli attacchi DDos, eccetera. Sicuramente è sempre opportuno fare un backup settimanale di sito e database.
Per i meno esperti che hanno un sito su piattaforma WordPress, o per quelle azienda che non hanno un web master con competenze specifiche, il consiglio è di stipulare un contratto di assistenza presso una web agency che si occuperà di tutto questo.