TutorialWeb Marketing

Vulnerabilità WordPress – Plugin a rischio e Consigli per la Sicurezza del CMS

La piattarforma CMS WordPress è la più diffusa al mondo per la realizzazione di blog e siti internet il che la porta ad essere quella con maggiori attacchi da parte di hacker e malintenzionati.

Infatti la piattaforma mette a disposizione dei plugin, che altro non sono che degli strumenti in grado di aggiungere funzioni extra sulla piattaforma.

Il problema è che spesso questi plugin, sviluppati da programmatori non appartenenti al progetto principale, non risultano sicuri e spesso creano falle nella sicurezza.

Addirittura secondo una recente ricerca, risulta che su 10 plugin a disposizione, 7 tra quelli più scaricati e usati abbiano delle vulnerabilità che li rendono attaccabili da agenti esterni.

Tra i rischi di ciò c’è una lunga serie di exploit che possono essere sfruttati da malintenzionati che partono dalla SQL Injection al Cross-Site scripting, che rappresentano problemi non trascurabili.

Generalmente le maggiori vulnerabilità si hanno nei plugin dedicati all’ecommerce, alla gestione dei contenuti (ad esempio sono soggetti a grandi vulnerabilità gli aggregatori di Feed, le Api di conversione e i plugin che aggiungono funzioni mobile o funzioni dedicate ai social network).

Come possiamo proteggere il nostro sito da simili attacchi di malintenzionati?

Come prima cosa è necessario che i plugin siano scaricati da fonti sicure, quindi o dalle apposite pagine degli sviluppatori wordpress.

Anche se i plugin vengono scaricati da lì è necessario sempre leggere i feedback degli utenti prima di procedere all’installazione.

Cambiare l’username “Admin” in qualcosa di più specifico per evitare che chiunque abbia il 50% dei nostri dati di accesso.

Infatti conoscendo l’username di default, gli hacker possono risparmiare un sacco di tempo e avere la libertà di cercare esclusivamente la password. Inoltre la password deve essere solida e sicura.

Non è il caso di utilizzare password brevi, composte solo da numeri o lettere ma mischiando entrambi i tipi e possibilmente aggiungendo caratteri speciali come i punti esclamativi (!) o altri caratteri particolari per aumentare il numero delle combinazioni.

Inoltre è importante che la password sia il più anonima possibile; non ha senso usare il nome del proprio blog in quanto per un hacker è una delle prime prove da effettuare.

Un’altra prassi è mantenere sempre la piattaforma aggiornata in quanto il team di wordpress, in seguito alle segnalazioni degli utenti, provvede a rilasciare sempre nuove versioni più sicure che sistemano i problemi rilevati nelle versioni precedenti.

Altra best practice consiste nel backuppare periodicamente il database wordpress in maniera da conservare i dati e in caso di problemi non ritrovarsi senza i contenuti creati sino al giorno del guasto.

Ad aiutarci a migliorare la sicurezza dell’amministrazione c’è un plugin, Limit Login Attemps (http://wordpress.org/plugins/limit-login-attempts/) che permettere di limitare il numero dei tentativi di login all’amministrazione.

Il beneficio apportato è enorme in quanto se qualcuno prova a entrare senza username e password, si troverà, dopo vari tentativi, a non poterne fare altri restando, giustamente, chiuso fuori.

Ultima prassi da effettuare sempre consiste nell’eliminare definitivamente i file dei plugin che non vengono più utilizzati o vulnerabili in quanto c’è rischio che tenendoli disattivati, possano essere comunque accessibili attraverso particolari chiamate lasciando scoperte le proprie vulnerabilità.

Mostra altro

Ti potrebbe interessare anche

Lascia un commento

Back to top button