La notizia è di pochi mesi fa: alcuni hacker, sfruttando una falla di WordPress, sono riusciti a modificare o cancellare il contenuto di migliaia di siti web. Come fare per evitarlo? Come rendere sicuro al 100% (o quasi) il proprio sito web?
WordPress è uno dei CMS (Content Management System) maggiormente utilizzati. Non stupisce, dunque, che negli ultimi mesi sia costantemente aumentati gli attacchi da parte degli hacker che sfruttano falle del sistema. Aggiornare WordPress all’ultima versione potrebbe, però, non bastare.
In altri termini non è sempre vero che gli hacker riescono a portare a compimento i loro attacchi soltanto grazie alle falle o agli errori di programmazione da parte degli sviluppatori del CMS.
Talvolta, infatti, può capitare che gli hacker riescano ad accedere alla piattaforma sfruttando password troppo deboli o temi non perfettamente sicuri. Vediamo, dunque, come correre ai ripari per evitare un attacco di questo tipo.
- Aggiornare WordPress, lo ripetiamo, è fondamentale. Se vi è mai capitato di ottenere una consulenza SEO, lo specialist vi avrà certamente informato dei rischi del mancato aggiornamento della piattaforma. Dalla versione 3.7 sono disponibili aggiornamenti automatici che però coprono solo le funzionalità di core e alcuni fix sulla sicurezza. Imperativo è, dunque, aggiornare WordPress non appena possibile.
- In caso di attacco, per poter ripristinare velocemente l’intero sito, è necessario poter accedere ad un backup del database (che contiene, tra le altre cose, articoli, pagine, e in generale tutto il contenuto del nostro sito o blog). I servizi di hosting, spesso, consentono di effettuare backup periodici e automatici, che andrebbero in ogni caso eseguiti almeno ogni 2-3 settimane.
- L’username di default, admin, non andrebbe mai usato. In un attacco di tipo brute-force, lo username admin faciliterebbe notevolmente il ‘lavoro’ dei malintenzionati. Non soltanto la password, dunque, dovrà essere sicura e contenere caratteri numerici e speciali, ma anche lo username. Per dormire sonni tranquilli.
- Gli utenti più avanzati, o che possono richiedere il supporto di un consulente SEO, potranno utilizzare le cosiddette ‘WordPress key’ che vanno aggiunte manualmente al file wp-config.php.
- Sempre ad un livello avanzato è possibile limitare l’accesso al pannello di controllo (wp-admin) mediante htaccess e utilizzando una access list. Sfruttando i comandi ‘allow’ e ‘deny’ è possibile indicare quali IP address saranno autorizzati all’accesso (non dell’intero sito, ma esclusivamente del pannello di controllo WordPress). Questo è possibile solo nel caso di utilizzo di IP statici.
- Un utente base, invece, potrà facilmente tenere sotto controllo plugin e temi. Mai installare plugin e temi non più aggiornati da tempo e ricordarsi di aggiornarli periodicamente non appena sono disponibili gli update. I plugin non utilizzati andrebbero eliminati.
- È possibile infine far ricorso a specifici plugin per la sicurezza. Qualche esempio? Il plugin Google recaptcha consente di aggiungere un ulteriore livello di sicurezza al momento dell’accesso al CMS. Bisognerà infatti selezionare la casella ‘I’m not a robot’ e cliccare sulle immagini corrispondenti alla domanda che, ovviamente, cambia ogni volta. Il plugin Wordfence, inoltre, consente di difendersi efficacemente dai malware, monitorare l’attività del sito e tenere sotto controllo picchi improvvisi di traffico, proteggere il sito con un firewall e molte altre interessanti funzionalità.