Nel corso degli ultimi mesi il numero di attacchi verso i più noti CMS è andato crescendo di giorno in giorno. Sono numerose le segnalazioni di aziende e professionisti che trovano il proprio WordPress compromesso, sia all’interno di soluzioni di shared hosting sia all’interno di soluzioni dedicate: molte volte non si nota nulla all’interno del sito web, se non fosse che la falla invia SPAM o malware ad altri utenti all’interno del server o all’esterno, creando così anche un problema notevole per il proprio hosting provider. La maggior parte degli utenti che subisce questo tipo di attacchi non ha alcuna conoscenza nella gestione di questi CMS, per questo vogliamo fornire una serie di semplici regole che evitano che il proprio CMS diventi facilmente attaccabile.
La prima regola prevede l’aggiornamento costante di qualsiasi CMS si utilizzi: nel caso di WordPress o Joomla il processo di aggiornamento è molto semplice, avviene dall’interfaccia di amministrazione e non richiede particolari competenze. E’ importante procedere all’aggiornamento con regolarità, le versioni di questi CMS sono frequenti e saltare diversi aggiornamenti non facilita poi l’operazione.
L’installazione di nuovi plugin è sempre un’operazione rischiosa: andrebbero utilizzati plugin esterni solamente nel caso in cui siano necessari, verificando che questi siano adeguatamente aggiornati nel tempo. Utilizzare un plugin che non viene regolarmente aggiornato vi impone poi uno stop anche agli aggiornamenti della piattaforma. Utile verificare inoltre che i plugin siano sviluppati secondo le linee guida del progetto, molti di quelli attualmente presenti per WordPress ad esempio non rispettano le condizioni base e nella maggior parte dei casi presentano problemi una volta che si aggiorna la versione del CMS.
L’ultimo consiglio è molto semplice: cambiare i dati di accesso andando a modificare come username il classico “admin” o “administrator” in favore di qualcosa differente. Questo renderà più difficile l’accesso all’area di amministrazione del vostro CMS e impedirà i classici attacchi bruteforce che vanno per tentativi.
Nel caso invece il vostro CMS sia stato attaccato, la soluzione migliore, quasi sempre, è quella di eseguire una installazione da zero. Rimane poco sicuro andare a ripulire i singoli file modificati dai malware o acceduti esternamente.