TutorialWeb Marketing

Vulnerabilità WordPress – Plugin a rischio e Consigli per la Sicurezza del CMS

La piattarforma CMS WordPress è la più diffusa al mondo per la realizzazione di blog e siti internet il che la porta ad essere quella con maggiori attacchi da parte di hacker e malintenzionati.

Infatti la piattaforma mette a disposizione dei plugin, che altro non sono che degli strumenti in grado di aggiungere funzioni extra sulla piattaforma.

Il problema è che spesso questi plugin, sviluppati da programmatori non appartenenti al progetto principale, non risultano sicuri e spesso creano falle nella sicurezza.

Addirittura secondo una recente ricerca, risulta che su 10 plugin a disposizione, 7 tra quelli più scaricati e usati abbiano delle vulnerabilità che li rendono attaccabili da agenti esterni.

Tra i rischi di ciò c’è una lunga serie di exploit che possono essere sfruttati da malintenzionati che partono dalla SQL Injection al Cross-Site scripting, che rappresentano problemi non trascurabili.

Generalmente le maggiori vulnerabilità si hanno nei plugin dedicati all’ecommerce, alla gestione dei contenuti (ad esempio sono soggetti a grandi vulnerabilità gli aggregatori di Feed, le Api di conversione e i plugin che aggiungono funzioni mobile o funzioni dedicate ai social network).

Come possiamo proteggere il nostro sito da simili attacchi di malintenzionati?

Come prima cosa è necessario che i plugin siano scaricati da fonti sicure, quindi o dalle apposite pagine degli sviluppatori wordpress.

Anche se i plugin vengono scaricati da lì è necessario sempre leggere i feedback degli utenti prima di procedere all’installazione.

Cambiare l’username “Admin” in qualcosa di più specifico per evitare che chiunque abbia il 50% dei nostri dati di accesso.

Infatti conoscendo l’username di default, gli hacker possono risparmiare un sacco di tempo e avere la libertà di cercare esclusivamente la password. Inoltre la password deve essere solida e sicura.

Non è il caso di utilizzare password brevi, composte solo da numeri o lettere ma mischiando entrambi i tipi e possibilmente aggiungendo caratteri speciali come i punti esclamativi (!) o altri caratteri particolari per aumentare il numero delle combinazioni.

Inoltre è importante che la password sia il più anonima possibile; non ha senso usare il nome del proprio blog in quanto per un hacker è una delle prime prove da effettuare.

Un’altra prassi è mantenere sempre la piattaforma aggiornata in quanto il team di wordpress, in seguito alle segnalazioni degli utenti, provvede a rilasciare sempre nuove versioni più sicure che sistemano i problemi rilevati nelle versioni precedenti.

Altra best practice consiste nel backuppare periodicamente il database wordpress in maniera da conservare i dati e in caso di problemi non ritrovarsi senza i contenuti creati sino al giorno del guasto.

Ad aiutarci a migliorare la sicurezza dell’amministrazione c’è un plugin, Limit Login Attemps (http://wordpress.org/plugins/limit-login-attempts/) che permettere di limitare il numero dei tentativi di login all’amministrazione.

Il beneficio apportato è enorme in quanto se qualcuno prova a entrare senza username e password, si troverà, dopo vari tentativi, a non poterne fare altri restando, giustamente, chiuso fuori.

Ultima prassi da effettuare sempre consiste nell’eliminare definitivamente i file dei plugin che non vengono più utilizzati o vulnerabili in quanto c’è rischio che tenendoli disattivati, possano essere comunque accessibili attraverso particolari chiamate lasciando scoperte le proprie vulnerabilità.

Lascia un commento

Back to top button