WordPress: come verificare la sicurezza di un sito

In questo blog ci occupiamo spesso dei rischi legati alle vulnerabilità presenti nelle centinaia di migliaia di plugin presenti nella directory dei più noti CMS, in special modo quelli di WordPress, che è anche la piattaforma più utilizzata in tutto il mondo per lo sviluppo semplificato di siti web. Cosa si deve fare però quando il sito è caduto nella trappola? Oppure cosa si può fare per anticipare le potenziali mosse di un hacker?

Ovviamente la risposta sarebbe tanto ampia quanto fantasiosa, pertanto è meglio avanzare alcune ipotesi per comprendere meglio le best practices di protezione primaria. Innanzitutto, quando un attaccante riesce ad avere accesso al nostro backend tenderà a creare degli utenti aggiuntivi con privilegi da amministratore tagliandoci fuori da tutto, ma se così non è sarà sempre possibile cancellare gli utenti creati cambiando la password di quello utilizzato. Per scongiurare qualsiasi rischio è importante controllare spesso la pagina degli utenti per vedere se ne sono comparsi di nuovi e, in caso positivo, agire eliminandoli.

Un’altra attività palesemente malevola, una volta che l’hacker ha avuto accesso, è quello di pubblicare contenuti nel sito che però non si possono vedere a colpo d’occhio perché retrodatati. Prendiamo come esempio un semplice articolo. Nella sezione Articoli -> tutti gli articoli troviamo solo una piccola parte di quelli pubblicati, ovvero i più recenti, mentre chi vuole pubblicare contenuti malevoli inserirà una data precedente per poter lasciare l’articolo pubblicato e indisturbato. Un’attività di controllo periodico di tutte le pagine della sezione articoli, prodotti, categorie o qualsiasi altro tipo di contenuto, potrà mostrare se ci sono state effettivamente attività di pubblicazione illecita.

Gli utenti più avanzati potrebbero anche essere in grado di setacciare con cura la cartella wp-content, ovvero quella in cui tendenzialmente vengono salvati tutti i contenuti del sito. Se a seguito di un controllo si nota che in essa sono contenuti file ignoti, strani o palesemente malevoli sarà necessario provvedere ad una rimozione. Ovviamente qui si entra più in un ambito tecnico, che però introduce un altro tema di enorme importanza, ovvero l’affidamento del proprio sito ad un servizio di Hosting di livello.

Se il proprio sito viene ospitato in un’infrastruttura dotata di sistemi di protezione di alto livello, come ad esempio firewall e sistemi Anti-DDoS sicuramente i rischi si abbasseranno. Allo stesso modo, i provider più importanti riescono anche a dotare i propri clienti di soluzioni che possono proteggere i siti web sviluppati su WordPress in modo continuativo e dopo che un attacco è avvenuto. Tali servizi, qualora riscontrassero violazioni, iniezione di codice SQL e molte altre minacce entrano in funzione operando una vera e propria ripulitura del sito web garantendone l’operatività. Oltretutto, tali sistemi riescono anche ad avvisare lo stesso provider nel momento in cui rilevano file malevoli ed a quel punto il cliente riceverà un avviso puntuale per avere modo di agire come meglio crede.

Insieme a quest’ultimo, prezioso, consiglio, è sempre bene tenere a mente che ogni plugin, tema o versione di WordPress può presentare vulnerabilità che vengono scoperte dagli sviluppatori continuamente. In questo caso è importantissimo seguire l’andamento delle pubblicazioni di tutti gli aggiornamenti di modo da installarli il più velocemente possibile quando disponibili. Purtroppo questa good practice non viene molto seguita dagli utenti, che infatti vengono colpiti da vulnerabilità che magari sono state già fixate da molto tempo, rimanendo vittime della loro negligenza più che degli hacker.