Wordpress, problemi di sicurezza?

Blog, psicoterapia autogena di un web designer freelance

Wordpress, problemi di sicurezza? - 24/12/2014
24/12/2014

Uno dei tristi primati del più famoso dei cms è quello di essere perennemente sotto attacco da parte di hackeraggi di varia natura e genere. E’ palese che, potendo chiunque scaricare i file, chiunque può studiare il codice sorgente e scovarne le falle. Non di meno l’utilizzo di plugin non agevola le difese della piattaforma in quanto questi si portano dietro spesso delle vere e proprie falle o bug che dir si voglia che aprono la porta ai malintenzionati. Insomma proteggere i vostri siti Wordpress adeguatamente è una bella sfida. Vediamo di seguito una serie di consigli utili alla causa. Per quanto banale possa sembrare lo username admin è il più utilizzato in assoluto e di conseguenza i malintenzionati partiranno proprio da quello per rubare le vostre credenziali. Attenzione che più aumenta la fama del vostro sito, più siete esposti ad attacchi malevoli bisogna quindi pensare sempre in chiave di sicurezza con nomi assolutamente casuali e password complesse. E’ necessario che le password contengano numeri, lettere, caratteri speciali casuali. Sul sito ufficiale di WP sono presenti numerosi plugin per limitare le possibilità di tentativi di login, è buona cosa installare uno di questi in modo che un attacco automatizzato o non venga bloccato dopo un tot di tentativi non andati a buon fine. Se non abbiamo necessità che utenti si registrino al nostro sito è bene disabilitare la possibilità che i bot inseriscano nel vostro database decine di account finti dai quali fare spam. Tutte operazioni che possiamo comodamente gestire dal pannello di controllo. Scuole di pensiero diverse consigliano o no l’utilizzo di un captcha. Nel mio caso lo ritengo molto utile anche se, nel caso di un blog, i vostri utenti potrebbero scocciarsi di doverlo compilare a ogni inserimento, valutazione quindi da farsi a seconda della tipologia di sito web. La cosa più ovvia è quella di fare sempre gli aggiornamenti di WP e dei vari plugin; nella maggioranza dei casi gli aggiornamenti contengono la risoluzione a problemi di sicurezza anche molto importanti. Allo stesso modo ricordiamo di fare sempre dei backup periodici cosi da poter ripristinare la struttura velocemente in caso di attacchi. Nella maggior parte dei casi il grosso degli attacchi hacker arriva da paesi come Cina, Russia e Ucraina, è quindi possibile mediante dei plugin bloccare l’accesso al sito a questi paesi (sempre ovviamente se il vostro cliente non lavora con questi paesi). Esistono naturalmente diversi plugin per la protezione, tra tutti il famosissimo Bullet Proof Security che consiglio caldamente di installare. Uno dei più grossi problemi recenti è stato dato dal famosissimo slider revolution venduto su Codecanyon da Envatomarket e presente in moltissimi temi professionali che non prevedono l’aggiornamento con la soluzione al problema. Il bug presente nelle versioni di Slider Revolution dalla 4.2 e meno recenti, fornisce la possibilità agli hacker di prelevare in modo semplice ogni file .php dell’installazione del sito wordpress, compreso il file wp-config.php ( file di configurazione del vostro wordpress ) in modo semplice, e avendo cosi a disposizione i dati sensibili e in chiaro di connessione al database wordpress utilizzato. Unico modo per risolvere è aggiornare il plugin a una nuova versione manualmente. Questo ovviamente riguarda solamente il plugin per WP, nessun problema è stato riscontrato nelle versioni per html/css. Chiudo questo blog ricordandovi di affidarvi sempre a servizi server di qualità e aggiornati cosi da poter evitare sorprese da dietro le quinte. E con questo ultimo blog dell’anno auguro a tutti un felice Natale e una buona fine d’anno. Appuntamento a gennaio 2015 con un nuovo anno di siti e corsi. Enjoy.