La sicurezza di un sito è una condizione fondamentale per la sua corretta indicizzazione e per dare prova ai visitatori di trovarsi in un portale libero da pericoli. In altri articoli di questo blog (qui un link) abbiamo visto l’importanza di apporre un certificato SSL, ma ciò ovviamente non basta.
In questa breve guida vedremo alcune semplici regole per mettere al sicuro un sito sviluppato sul CMS WordPress, vista anche l’enorme quantità di vulnerabilità riscontrate periodicamente su plugin e sulla stessa piattaforma.
Identificare le potenziali minacce
Per iniziare a prendere sul serio il tema della sicurezza del proprio sito WordPress è necessario capire subito quali dati e quali parti del sito hanno bisogno di maggiore protezione. Ciò è possibile identificando i pericoli e le potenziali fonti di interesse degli hacker. Su tali fattori poi si potrà stabilire tutta la strategia di difesa.
Effettuare gli aggiornamenti
Spesso negli articoli di questo blog vengono segnalate varie vulnerabilità su WordPress o sui suoi plugin. Queste falle di sicurezza, mediamente, vengono fixate nel giro di poco tempo, ma gli attacchi continuano ad essere perpetrati perché gli utilizzatori non provvedono ad effettuare gli aggiornamenti o all’installazione delle patch.
Attenta gestione delle password
Le alternative in questo caso sono diverse. Innanzitutto, le password d’accesso ai propri backend devono essere complesse (quindi formate da lettere, simboli e numeri) ed è consigliato cambiarle periodicamente. Per effettuare queste operazioni e per avere ancor più sicurezza è possibile anche aggiungere un password manager, che genera una diversa chiave ad ogni singolo accesso. Su WordPress è anche possibile creare un numero massimo di tentativi di accesso, superato il quale si viene automaticamente buttati fuori dal sito.
Altra strategia è quella dell’autenticazione a due fattori (2FA) collegando il portale ad app come Google Authenticator oppure generando una OTP per ogni accesso e riceverla via SMS.
Un ultimo importante consiglio riguarda le password inutilizzate. In caso di credenziali multiple, i profili e le credenziali di chi lascia l’azienda dovranno essere prontamente cancellati.
Protezione dai pericoli più noti
I plugin di WordPress, molto spesso, sono affetti da vulnerabilità di vario tipo. Considerando che la maggior parte di essi sono scritti in PHP è necessario conoscere quali problemi questo linguaggio può dare.
La maggior parte delle falle porta principalmente a due tipi di attacco: XSS (Cross-Site Scripting) e RCE (Remote Code Execution). Sono minacce molto pericolose poiché permettono l’inserimento da remoto di qualsiasi tipo di codice. Sembra inoltre che molti casi di Data Breach siano proprio nati da vulnerabilità di questo tipo. La protezione, quindi, da questi due pericoli è molto necessaria, perché gli effetti di un abbassamento della guardia potrebbero essere molto gravi.
Informazioni e Monitoraggio
Se si gestisce un sito strutturato sviluppato con WordPress, sapere quali sono i problemi più frequenti non è l’unica forma di protezione. Sarà necessario infatti controllare con frequenza tutte le eventuali problematiche consultando portali specializzati, che spesso forniscono anche soluzioni più immediate prima del rilascio degli aggiornamenti e delle patch.
Un’altra risorsa è la scansione periodica del sito. Questo è fondamentale poiché gli stessi hacker, prima di perpetrare gli attacchi, fanno dei controlli per comprendere le vulnerabilità della potenziale vittima. Se non si riesce ad effettuare queste operazioni individualmente è possibile richiedere ad un Service Provider, che saprà fornire gli strumenti più adatti sia per le scansioni che per la protezione.
Simulare situazioni di attacco
Utilizzando un po’ di fantasia, può essere interessante anche la simulazione di operazioni apparentemente innocue ma che potrebbero rivelare vulnerabilità inaspettate. Questo aumenterebbe la prontezza di riflessi in caso di attacchi reali, dando modo di mitigarne gli effetti basandosi sull’esperienza acquisita.
Fonti: 1
