Minacce Minacce comuni
Siamo Specialisti Chi Siamo
Servizi I nostri Servizi
To Top

Credits

Post with Featured Image

Sicurezza di Wordpress

Con Wordpress, il famosissimo CMS, sono fatti quasi il 50% dei Siti Web al Mondo. È un software open source gratuito veramente comodo per creare siti web. Essendo molto diffuso, è anche motivo di interesse per i criminali informatici.

Quindi serve particolare attenzione alla Sicurezza. Cosa può fare un utilizzatore di Wordpress per complicargli non poco la vita?

Scegliere la versione. Come spesso accade per i software open source e gratuiti, ci sono due tipologie di versioni principali: quella con gli ultimi ritrovati ma supportata (quindi aggiornata) per un breve periodo e quella con meno novità ma manetunta più a lungo (anche 5 anni). Va da se che è meglio scegliere una verione a lungo mantenimento in modo tale che non si debba cambiare versione dopo poco tempo perchè non più supportata.
Ma è così importante avere una versione mantenuta? Presto detto: quando viene scoperta una vulnerabilità di sicurezza, in genere viene coumunicata solo a chi ha creato il software dandogli il tempo di rimediare. Una volta uscito l'aggiornamento viene reso tutto pubblico. Quindi se la versione di Wordpress che usi non è più mentenuta e viene scoperta e resa nota una vulnerabilità, dovrei poi correre ad aggiornare cambiando totalmente la versione con rischio di incompatibilità dei plugin, oppure rischiare che prima o poi qualcuno cambi i connotati al tuo sito web.

Nascondere la versione. Anche se molti siti web distattivano la combinazione dei tasti "ctrl-u" dal browser per vedere il codice HTML e Javascript del sito web, basta attivare gli strumenti da sviluppatore per aggirare questo ostacolo e vdere la versione sia di Wordpress utilizzata che dei plugin.
Inoltre basta aggiungere "/feed" al nome del dominio che ai può scoprire la versione utilizzata. Come rimediare?
Abbiamo sperimentato questo codice nella versione 6.5.5 ed ha funzionato.
Prima fare un backup del sito.
Nel back-end di amministrazione, andare sulla gestione del tema in uso e selezionare il file "functions.php".
Dopo di che aggiungere in fondo al file questo codice per cancellare la versione dal codice HTML:

												
													remove_action('wp_head', 'wp_generator');
												
											

Mentre per cancellarla dal feed, aggiungere quest'altro pezzo di codice:
													
														function remove_wp_version_rss() {
				return'';
					}
add_filter('the_generator','remove_wp_version_rss');
													
											

e per toglierla anche dai file CSS e Javascript:
												
													function remove_version_from_style_js( $src ) {
		if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )
		$src = remove_query_arg( 'ver', $src );
		return $src;
					}
		add_filter( 'style_loader_src', 'remove_version_from_style_js');
		add_filter( 'script_loader_src', 'remove_version_from_style_js');
												
										

In questo modo spariranno riferimenti alla versione usata e sarà più difficile per i malfattori adare a colpo sicuro su qualche vulnerabilità sfruttare.

Se dovesse rimanere un riferimentio nelle API di Google per i font, è possbile attraverso dei plugin importarli direttamente nel vostro server.

Rimuovere la versione dei plugin. Anche i plugin usati possono avere dei bug di sicurezza. Togliere la versione rende più difficile portare attacchi a vulnerabilità note. Esistono plugin appositi.

Negare accesso alle cartelle. All'interno della directory principale sono presenti le seguenti sotto cartelle:

  • wp-admin
  • wp-content
  • wp-includes
Se richiamata la prima cartella dal browser, si arriva alla pagina di login per gli strumenti di amministrazione.
La seconda a sua volta ha come sotto cartelle "uploads", dove ci sono tutti i materiali caricati per gli articoli (anche font, temi etc.).
Non è saggio dare accesso a queste cartelle dall'esterno, anche perchè sarebbe inutile aver bloccato il tasto destro del mouse se poi è possibile scaricare le immagini del sito da qui (anzi è molto più comodo).
Per ovviare a questo, ci sono plugin appositi oppure un intervento manuale sul sito web: accedere alla cartella via FTP creando il file ".htacess" con il seguente contenuto:
Order Allow,Deny
Deny from all
Allow from all

Backup frequenti. Il backup è il miglior modo per ripristinare un sito web, ma devono essere commisurati all'aggiornamento del sito e magari testati. Non si dovrebbe scoprire al momento del rispiristino che il backup è corrotto.

Tenere tutto aggiornato. Si sa che spessso gli aggiornamenti possono "rompere" qualcosa e quindi si evita di aggiornare rapidamente e farlo fare prima ad altri. Ma Wordpress da la possbilità di fare aggiornamenti automatici solo per la sicurezza. Comunque è sempre meglio un sito web scassato che uno bucato.

Eliminare quello che non serve. In genre le cose non utilizzate non sono neanche aggiornate, ma sono sempre li e possono comportare una vulnerabilità. Meglio tenere solo quello che si usa. Il resto via.

Modificare l'indirizzo di login. L'indirizzo di login creato all'installazione di Wordpress, è testato decine di volte al giorno anche in siti sconosciuti, figuriamoci quelli noti. Meglio cambiarlo.

Un Firewall Plugin. Con un plugin firewall, si possono dare direttive per escludere chiamate al sito da IP esteri per esempio. Se il tuo sito web è in lingua italiana, è così necessario che possa essere visto da qualsiasi parte del Mondo?

Limitare i tentativi di acesso. Un modo di entrare in una pagina protetta da login, è quello di tantare lunghe liste di password, ovvero un attacco Brute Force, di forza bruta. Ci sono plugin che danno dei limiti temporali ai tentativi di acesso non riuscito. Questo complica molto la vita a chi prova ad entrare senza autorizzazione.

Le cose da fare non finiscono qui, specialmente se il sito prevede l'immissione di dati o il caricamento di file. Alcune sono complesse ed andrebbero eseguite a sito pulito.
Con questi accorgimenti comunque si può rendere il proprio sito web creato con Wordpress più sicuro di prima.