In questo articolo andremo ad analizzare i principali plugin per la sicurezza di WordPress: servono essenzialmente a proteggersi da eventuali attacchi di hacking, evitare exploit e defacing delle pagine e garantire l’assenza di malware dal proprio sito.
Premettiamo un minimo di spiegazione della terminologia tecnica che ci servirà: un attacco di hacking consiste solitamente in un accesso non autorizzato al sito di nostra proprietà da parte di estranei, che possono sfruttare falle di sicurezza introdotte sul nostro CMS. Per estensione, queste falle sono rischiose anche per l’hosting che ospita il sito e possono, in certi casi, fare in modo di mettere in pericolo la sicurezza dei server: per questo motivo, per inciso, la politica dei provider è solitamente quella di oscurare i siti compromessi. Nel caso di WordPress, ci sono molti casi recenti (per esempio questo e quest’altro) in cui alcuni hacker sono riusciti ad accedere al sistema di amministrazione di siti poco aggiornati, cancellando post, modificando file in modo malevolo (malware) oppure alterando il funzionamento del sistema con un meccanismo “ad orologeria” (backdoor). Un exploit, nello specifico, consiste in codice che, sfruttando un bug o una vulnerabilità, porta all’acquisizione di privilegi oppure, in alternativa, un Denial of Service (DoS), mentre un defacing è la sostituzione della home page del sito con una a caso scelta dall’attaccante. Purtroppo non vi è modo di proteggersi a priori con garanzia assoluta da questo genere di attacchi, che dipendono comunque dalla versione di WP che state utilizzando: in linea di massima, comunque, le versioni recenti sono meno affette da rischi noti di quanto non siano quelle non aggiornate da mesi o addirittura anni.
Fatta queste premesse, andiamo a capire al meglio quali siano i migliori plugin per WordPress relativi alla sicurezza.
Better WP Security. Better WP Security prende in considerazione gli aspetti più importanti annessi alla protezione di un blog in WordPress, cercando di minimizzare i rischi per la sicurezza e senza andare in conflitto con altri eventuali plugin presenti nel vostro sito. Con un semplice click, nella pratica, sarà possibile garantire funzionalità avanzate di protezione del vostro sito. La maggioranza degli attacchi a WordPress sono infatti risultato di vulnerabilità introdotte dai plugin, theme corrotti (non ufficiali), password troppo facili da indovinare e in generale software non aggiornato. Better WP Security fa in modo, quanotmeno, di nascondere le vulnerabilità più evidenti, evitando che l’attaccante del sito conosca troppe informazioni su di esso, tenendo anche alla larga, nei limiti del possibile, dalla zona amministrativa del sito. Esso permette di:
- rimuovere il meta-tag “Generator”;
- modificare le URL di default di WP come sezione di login, admin e via dicendo;
- possibilità di bannare temporaneamente la possibilità di fare login sul sito (utile durante un attacco appena rilevato);
- rimuovere plugin e temi di WP (oltre ad aggiornamenti del core) dagli utenti che non possiedano i diritti esplicitamente concessi per farlo;
- ridurre al minimo le informazioni contenute nell’header;
- rimuovere l’account di nome admin;
- rimuovere l’account con user ID=1;
- modificare il prefisso di default (wp_) delle tabelle del database;
- modificare il path /wp-content;
- rimuovere qualsiasi messaggio di errore dal login di sistema;
- mostrare un numero casuale al posto della versione corrente del CMS in uso.
In alternativa potete associare il plugin in questione con Bulletproof Security (dedicato specificatamente alla prevenzione di attacchi di SQL injection e code injection), Secure WordPress, Mute Screamer e Wordfence (che fa anche una scansione antivirus sul vostro sito).
Theme Authenticity Checker. Questo plugin serve a verificare che i temi che avete installato non siano rischiosi, e nel caso contrario vi segnala esplicitamente il codice sospetto. Dovrete possibilmente valutare di rimuovere eventuali temi grafici non ufficiali, crackati (sconsigliati nel modo più assoluto su qualunque hosting) o corrotti/parzialmente non funzionanti.
WordPress Exploit Scanner. Questo ultimo plugin è molto utile per cercare file e tabelle del vostro database che abbiano subito attività sospette di modifica o alterazione delle informazioni. Un aiuto concreto per trovare immediatamente file o table corrotte o modificate ed individuare immediatamente possibili problemi.
