La piattarforma CMS WordPress è la più diffusa al mondo per la realizzazione di blog e siti internet il che la porta ad essere quella con maggiori attacchi da parte di hacker e malintenzionati.
Infatti la piattaforma mette a disposizione dei plugin, che altro non sono che degli strumenti in grado di aggiungere funzioni extra sulla piattaforma.
Il problema è che spesso questi plugin, sviluppati da programmatori non appartenenti al progetto principale, non risultano sicuri e spesso creano falle nella sicurezza.
Addirittura secondo una recente ricerca, risulta che su 10 plugin a disposizione, 7 tra quelli più scaricati e usati abbiano delle vulnerabilità che li rendono attaccabili da agenti esterni.
Tra i rischi di ciò c’è una lunga serie di exploit che possono essere sfruttati da malintenzionati che partono dalla SQL Injection al Cross-Site scripting, che rappresentano problemi non trascurabili.
Generalmente le maggiori vulnerabilità si hanno nei plugin dedicati all’ecommerce, alla gestione dei contenuti (ad esempio sono soggetti a grandi vulnerabilità gli aggregatori di Feed, le Api di conversione e i plugin che aggiungono funzioni mobile o funzioni dedicate ai social network).
Come possiamo proteggere il nostro sito da simili attacchi di malintenzionati?
Come prima cosa è necessario che i plugin siano scaricati da fonti sicure, quindi o dalle apposite pagine degli sviluppatori wordpress.
Anche se i plugin vengono scaricati da lì è necessario sempre leggere i feedback degli utenti prima di procedere all’installazione.
Cambiare l’username “Admin” in qualcosa di più specifico per evitare che chiunque abbia il 50% dei nostri dati di accesso.
Infatti conoscendo l’username di default, gli hacker possono risparmiare un sacco di tempo e avere la libertà di cercare esclusivamente la password. Inoltre la password deve essere solida e sicura.
Non è il caso di utilizzare password brevi, composte solo da numeri o lettere ma mischiando entrambi i tipi e possibilmente aggiungendo caratteri speciali come i punti esclamativi (!) o altri caratteri particolari per aumentare il numero delle combinazioni.
Inoltre è importante che la password sia il più anonima possibile; non ha senso usare il nome del proprio blog in quanto per un hacker è una delle prime prove da effettuare.
Un’altra prassi è mantenere sempre la piattaforma aggiornata in quanto il team di wordpress, in seguito alle segnalazioni degli utenti, provvede a rilasciare sempre nuove versioni più sicure che sistemano i problemi rilevati nelle versioni precedenti.
Altra best practice consiste nel backuppare periodicamente il database wordpress in maniera da conservare i dati e in caso di problemi non ritrovarsi senza i contenuti creati sino al giorno del guasto.
Ad aiutarci a migliorare la sicurezza dell’amministrazione c’è un plugin, Limit Login Attemps (http://wordpress.org/plugins/limit-login-attempts/) che permettere di limitare il numero dei tentativi di login all’amministrazione.
Il beneficio apportato è enorme in quanto se qualcuno prova a entrare senza username e password, si troverà, dopo vari tentativi, a non poterne fare altri restando, giustamente, chiuso fuori.
Ultima prassi da effettuare sempre consiste nell’eliminare definitivamente i file dei plugin che non vengono più utilizzati o vulnerabili in quanto c’è rischio che tenendoli disattivati, possano essere comunque accessibili attraverso particolari chiamate lasciando scoperte le proprie vulnerabilità.