WordPress è il CMS che detiene le maggiori quote di mercato per quanto riguarda il segmento dei CMS, soluzioni ormai divenute popolarissime online e destinate a vari utilizzi, dal blog fino al portale aziendale o di commercio elettronico. A causa della sua popolarità, la soluzione sviluppata dalla statunitense Automattic è però al centro di frequenti attacchi da parti di malintenzionati che cercano di scoprire eventuali falle all’interno del codice del CMS e/o di uno dei migliaia di plugin presenti nel database online WordPress.
Nella prima puntata di oggi vi introdurremo all’argomento delle vulnerabilità presentando infine alcuni utili strumenti online per scansionare ed individuare problematiche di sicurezza presenti sul vostro portale. Buona lettura.
Il vostro sito WordPress è al sicuro?
In linea di massima la risposta è si, soprattutto se si tratta di privati che gestiscono un piccolo blog o un qualsiasi sito senza impegno. Pensare che tuttavia la problematica non ci riguardi è sbagliato perchè la semplice presenza di informazioni personali potrebbe compromettere qualsiasi altro nostro account online: un hacker potrebbe benissimo rubare la nostra identità ed utilizzare, soprattutto se non abbiamo una grande varietà di password, i nostri account social o bancari (anche se il sistema dei pin e dei codici provvisori di accesso dovrebbe scongiurare questo secondo scenario).
Un hacker potrebbe anche sfruttare a piacimento la banda messa disposizione dal vostro sito esaurendo rapidamente il traffico mensile a vostra disposizione e procurandovi diversi problemi – il pagamento di un corrispettivo extra o il blocco del piano hosting.
Mantenere sempre aggiornata la vostra piattaforma WordPress ed i plugin annessi è un buon punto di partenza ma vi sono anche altri fattori che possono esporre il portale a vari rischi:
- password semplici;
- l’utilizzo di un username troppo prevedibile (admin ed administrator in primis)
- plugin e/o temi afflitti da particolari vulnerabilità
- un server o un computer non sicuri
- file importanti non protetti da password
- impostazione errata dei permessi file
Come detto in altri post, in Rete non esiste un sistema di sicurezza infallibile e sicuro al 100%. E’ però possibile fortificare le difese di un portale rendendo arduo il compito di eventuali malintenzionati. Di seguito un elenco di utili risorse online.
Risorse online per verificare la sicurezza di un portale WordPress
Inserite l’indirizzo del vostro sito per scoprire se vi siano particolari problematiche di sicurezza da risolvere.
- WordPress Security Scan (gratuito; la scansione avanzata richiede invece un account premium)
- Sucuri SiteCheck (gratuito, si tratta del portale di un’azienda che lavora nel campo della sicurezza informatica e che in passato ha individuato diverse vulnerabilità WordPress)
- Acunetix (utilizzabile senza impegno per 14 giorni previa registrazione gratuita).
- Unmask Parasites (gratuito, per verificare l’eventuale presenza di malware ed affini sul vostro sito)
Il prossimo post elencherà una serie di utili plugin in grado di eseguire una scansione più approfondita del portale.