In questo articolo andremo ad analizzare i principali plugin per la sicurezza di WordPress: servono essenzialmente a proteggersi da eventuali attacchi di hacking, evitare exploit e defacing delle pagine e garantire l’assenza di malware dal proprio sito.
Premettiamo un minimo di spiegazione della terminologia tecnica che ci servirà: un attacco di hacking consiste solitamente in un accesso non autorizzato al sito di nostra proprietà da parte di estranei, che possono sfruttare falle di sicurezza introdotte sul nostro CMS. Per estensione, queste falle sono rischiose anche per l’hosting che ospita il sito e possono, in certi casi, fare in modo di mettere in pericolo la sicurezza dei server: per questo motivo, per inciso, la politica dei provider è solitamente quella di oscurare i siti compromessi. Nel caso di WordPress, ci sono molti casi recenti (per esempio questo e quest’altro) in cui alcuni hacker sono riusciti ad accedere al sistema di amministrazione di siti poco aggiornati, cancellando post, modificando file in modo malevolo (malware) oppure alterando il funzionamento del sistema con un meccanismo “ad orologeria” (backdoor). Un exploit, nello specifico, consiste in codice che, sfruttando un bug o una vulnerabilità, porta all’acquisizione di privilegi oppure, in alternativa, un Denial of Service (DoS), mentre un defacing è la sostituzione della home page del sito con una a caso scelta dall’attaccante. Purtroppo non vi è modo di proteggersi a priori con garanzia assoluta da questo genere di attacchi, che dipendono comunque dalla versione di WP che state utilizzando: in linea di massima, comunque, le versioni recenti sono meno affette da rischi noti di quanto non siano quelle non aggiornate da mesi o addirittura anni.
Fatta queste premesse, andiamo a capire al meglio quali siano i migliori plugin per WordPress relativi alla sicurezza.
Better WP Security. Better WP Security prende in considerazione gli aspetti più importanti annessi alla protezione di un blog in WordPress, cercando di minimizzare i rischi per la sicurezza e senza andare in conflitto con altri eventuali plugin presenti nel vostro sito. Con un semplice click, nella pratica, sarà possibile garantire funzionalità avanzate di protezione del vostro sito. La maggioranza degli attacchi a WordPress sono infatti risultato di vulnerabilità introdotte dai plugin, theme corrotti (non ufficiali), password troppo facili da indovinare e in generale software non aggiornato. Better WP Security fa in modo, quanotmeno, di nascondere le vulnerabilità più evidenti, evitando che l’attaccante del sito conosca troppe informazioni su di esso, tenendo anche alla larga, nei limiti del possibile, dalla zona amministrativa del sito. Esso permette di:
- rimuovere il meta-tag “Generator”;
- modificare le URL di default di WP come sezione di login, admin e via dicendo;
- possibilità di bannare temporaneamente la possibilità di fare login sul sito (utile durante un attacco appena rilevato);
- rimuovere plugin e temi di WP (oltre ad aggiornamenti del core) dagli utenti che non possiedano i diritti esplicitamente concessi per farlo;
- ridurre al minimo le informazioni contenute nell’header;
- rimuovere l’account di nome admin;
- rimuovere l’account con user ID=1;
- modificare il prefisso di default (wp_) delle tabelle del database;
- modificare il path /wp-content;
- rimuovere qualsiasi messaggio di errore dal login di sistema;
- mostrare un numero casuale al posto della versione corrente del CMS in uso.
In alternativa potete associare il plugin in questione con Bulletproof Security (dedicato specificatamente alla prevenzione di attacchi di SQL injection e code injection), Secure WordPress, Mute Screamer e Wordfence (che fa anche una scansione antivirus sul vostro sito).
Theme Authenticity Checker. Questo plugin serve a verificare che i temi che avete installato non siano rischiosi, e nel caso contrario vi segnala esplicitamente il codice sospetto. Dovrete possibilmente valutare di rimuovere eventuali temi grafici non ufficiali, crackati (sconsigliati nel modo più assoluto su qualunque hosting) o corrotti/parzialmente non funzionanti.
WordPress Exploit Scanner. Questo ultimo plugin è molto utile per cercare file e tabelle del vostro database che abbiano subito attività sospette di modifica o alterazione delle informazioni. Un aiuto concreto per trovare immediatamente file o table corrotte o modificate ed individuare immediatamente possibili problemi.
800.97.40.99
[…] Due dei principali problemi di sicurezza che si possono riscontrare sui siti web sono relativi a software malevolo (malware) che potrebbe in certi casi prendere il controllo del PC, e casi di phishing ovvero pagine del tutto simili a quelle di noti portali (ad esempio banche, caselle di posta o siti di e-commerce) che possono invitare l’utente a condividere inconsapevolmente la propria username/email e password. Il mese di maggio, a quanto risulta, ha visto un incremento di segnalazioni di problemi di questo genere, per un totale di ben 90 milioni di siti infetti tra quelli soggetti a scansione. Relativamente all’Italia, in particolare, sembra che i provider più soggetti a infezione sui propri siti siano Tiscali (22%), Register.it (21%) e COLT/Aruba (19%): è plausibile che in molti casi i siti vittima non siano stati neanche notificati del problema, che si potrebbe essere manifestato in maniera del tutto subdola mediante l’installazione di backdoor. Ricordiamo che solitamente gli attacchi che portano a marcare un sito come malevolo sono legati all‘injection di codice offuscato in alcune o tutte le pagine del sito, ad esempio mediante temi corrotti adibiti a diffondere virus presso i visitatori della vittima: per proteggersi da questo genere di attacchi è possibile, ad esempio in WordPress, utilizzare appositi plugin per la sicurezza. […]