E’ di pochissimi giorni fa la notizia che la stessa Yahoo è stata hackerata e diverse centinaia di migliaia di credenziali riservate sono finite in mano di hacker. Ma questo è solo un caso, nelle ultime settimane abbiamo letto delle email del candidato presidente degli Stati Uniti, dei dati riservati di doping delle Olimpiadi e di molti altri casi simili.
In questo articolo ci occupiamo della sicurezza WordPress in quanto essere una piattaforma ormai sempre più utilizzata per la realizzazione di siti web professionali. Questa piattaforma è molto migliorata negli ultimi anni dal punto di vista della sicurezza e molte vulnerabilità presenti nelle versioni precendenti sono state eliminate con le ultime release (avete aggiornato ? se non l’avete fatto vi conviene correre). Tuttavia ci sono aspetti che occorre tenere presente per rendere ancora più sicuro il sito web e rendere la vita più difficile ad hacker e mali intenzionati.
Perchè è importante la sicurezza del tuo sito web
Accanto al problema enorme della sicurezza dei dati ospitati su piattaforme web esiste un problema di immagine e credibilità. Anche se il sito non gestisce dati riservati, come un sito vetrina o di presentazione aziendale, il sito web è sempre più focale nelle strategie di visibilità online e di marketing.
Le Aziende investono cifre sempre più importanti in implementazioni online e webmarketing ed investimenti consistenti sono effettuati per aumentare la visibilità attraverso pubblicità online (pay-per-click), presenza sui social network, strategie di seo, etc.
In tutto questo la sicurezza del sito sembra sempre un fattore secondario e spesso è del tutto trascurato dalle aziende, e molto spesso dagli stessi sviluppatori. Malgrado questo abbiamo visto aziende importanti compromettere migliaia di euro di investimento per un sito hackerato: penalizzazioni da Google, perdita di credibilità, cattiva pubblicità sui social, etc.
Nell’immagine qua sotto vediamo l’effetto di perdita di traffico dovuto ad un sito web hackerato con l’intento di utilizzarlo come piattaforma di spam. Il sito è stato blacklistato sulle spam list e penalizzato da Google. Questo sito web, che aveva in atto delle campagne di web marketing ed Adwords ha quindi subito un enorme danno in termini economici e di visibilità.
In questo breve articolo vogliamo vedere 6 consigli pratici per aumentare la sicurezza del vostro sito web in WordPress, consigli dettati principalmente dall’esperienza che abbiamo sviluppato nella nostra digital agency.
Usa un sistema server-side per tenere WordPress aggiornato
Secondo il sito wordpress.org, circa l’80% dei siti attualmente online gira con una versione obsoleta (precedente alla 4.6 ossia l’ultima versione nel momento che scriviamo).
Poichè il rilascio di nuovi aggiornamenti sono spesso dovuti alla necessità di risolvere vulnerabilità di sicurezza wordpress, ci sono buone probabilità che l’80% dei siti attualmente online abbia una o più potenziali falle di sicurezza. E’ fondamentale aggiornare il proprio sito web tempestivamente all’ultima versione.
Se avete un hosting dotato di cPanel o Plesk, probabilmente avete a disposizione Installatron (se non l’avete allora è il momento di pensare di cambiare hosting). Installatron permette di installare le piattaforme più utilizzate direttamente dal pannello di controllo hosting, ma anche di mantenere sempre la versione aggiornata in automatico (effettuando regolarmente il backup al momento dell’aggiornamento).
Installa ed usa solo plugin strettamente necessari (e preferibilmente a pagamento)
Con questo non vogliamo spingervi a spendere i soldi inutilmente, visto che ci sono molti plugin gratuiti, tuttavia occorre fare un semplice ragionamento: chi spende tempo e soldi per sviluppare plugin ed integrazioni qualche tornaconto deve averlo…
Non voglio pensare male ma mi piace credere che se un’azienda sviluppa un prodotto e questo prodotto è redditizio, allora l’azienda abbia tutte le motivazioni per renderlo sicuro e migliorarlo nel tempo.
Installare un plugin solo perché è gratuito (magari solo per provarlo) non fa altro che aprire le porte del nostro sito a possibili vulnerabilità. I plugin hanno spesso costi ridicoli (10-15 USD) e comprando questi plugin possiamo garantirci assistenza dagli sviluppatori wordpress e sperare che questi plugin vengano mantenuti nel tempo efficienti ed allineati con le nuove versioni del nostro CMS.
Se ci sono dei plugin o temi del sito che non usate o che avete installato solo per test, procedete a rimuoverli immediatamente.
Limita gli accessi al pannello di controllo wp-admin
Se avete a disposizione un IP statico, il consiglio che possiamo darvi è di limitare tramite .htaccess l’accesso al pannello wp-admin. Per fare questo basta inserire le seguenti righe nel file htaccess presente nella root del sito wordpress
# Block access to wp-admin. order deny,allow allow from x.x.x.x deny from all
Ovviamente x.x.x.x va sostituito con il vostro IP. Questo è il modo certamente più sicuro di chiudere la porta a male intenzionati.
Se non avete a disposizione un IP statico allora potete attivare un autenticazione a due step per aumentare la sicurezza della pagina di login di wordpress, disponibile su WordPress dal 2013.
Nella stessa pagina ufficiale di WordPress sono citati i plugins ufficiali per implementare questa funzionalità:
– Clef
– Duo
– Authy
– Google Authenticator
– Rublon
– WordFence
Effettua backups regolari (ossia giornalieri!!)
Non ci stancheremo mai di dirlo, se non li avete attivati è il momento di farlo subito.
Attivate un servizio di backup sia dei files che dei dati di database. Un servizio di backup professionale deve avere almeno le seguenti caratteristiche:
- mantenere una copia giornaliera a rotazione per un rollback al giorno prima
- mantenere una copia settimanale a rotazione per un rollback alla settimana precendente
- mantenere una copia mensile a rotazione per un rollback al mese precendente
- mantenere degli snapshot a scelta per recuperare versioni specifiche di un sito (ad esempio prima di un aggiornamento, prima di una modifica particolare, etc).
Tutti i soldi spesi in backup sono soldi spesi bene e possono solo farvi stare più sereni, quindi non fate i tirchi ed attivate un servizio di backup!
Usate servizi di hosting professionali e dedicati
Se la vostra azienda punta sulla visibilità come fattore strategico ed il sito web è un punto fondamentale della vostra strategia allora è il momento di pensare di utilizzare un hosting dedicato professionale e lasciare perdere gli hosting commerciali a basso costo.
Conosciamo tutti la convenienza di alcuni servizi di hosting a basso prezzo, tuttavia tenete conto che questi servizi offrono uno spazio in un grande condominio. Come si fa ad aumentare la sicurezza di una casa se non possiamo controllare quasi niente di questa? I servizi di hosting a basso costo ospitano i siti su server condivisi, che memorizzano non solo il vostro sito, ma migliaia di altri.
Anche se i tecnici di questi hosting companies cercano di fare del loro meglio per garantire la sicurezza di tutti i siti web ospitati, tenete conto che un solo sito vulnerabile su un server condiviso potrebbe mettere a repentaglio la sicurezza di tutto il server e quindi di tutti i siti presenti sulla stessa macchina: un hacker esperto può accedere ad altri account attraverso un singolo account vulnerabile.
Stesso discorso per la reputazione dell’IP. Poichè sullo stesso server girano migliaia di siti, potrebbero esserci sulla stessa macchina contenuti che potrebbero compromettere non solo la vostra sicurezza ma anche la vostra reputazione (ad esempio, siti porno, gioco online, etc.).
Effettuate delle scansioni regolari del sito web
Spesso gli hacker accedono a siti web per attività che a prima vista potrebbero non essere così facili da determinare.
Ad esempio un hacker potrebbe sfruttare il vostro sito web per installare uno script che effettua un invio di email, potrebbe installare dei link che puntano ad un altro sito per aumentare il traffico seo, potrebbero monitorare le attività sul sito per acquisire dati, etc.
In tutti questi casi, determinare se un sito è stato hackerato è molto difficile. Non esistono evidenze visive (il sito ‘sembra’ lo stesso) e funziona sempre allo stesso modo (non si rilevano malfunzionamenti o cambiamenti nelle performance). In tutti questi casi, gli hacker agiscono modificando in qualche modo le funzionalità nativa del codice del sito web per fare altro in determinate condizioni.
Per aumentare la sicurezza dei nostri siti web, abbiamo recentemente sviluppato e messo a disposizione un software server side per la scansione ed il monitoraggio dei siti web.
Le peculiarità di questo script è quello di mappare la struttura e le informazioni di tutti i file del sito (permessi, data di modifica, dimensioni, etc.) e tenerne traccia avvisando sempre per email se qualche file risulta modificato.
Inoltre nell’ultima versione è stato introdotto anche il controllo del codice per la presenza di pattern PHP pericolosi. Spesso gli hacker utilizzano delle metodologie e pattern di codici specifici per eseguire delle azioni lato server. Lo script può quindi evidenziare se sono presenti questi pattern ed avvisare gli amministratori del sito di prendere delle contromisure.
Per maggiori informazioni potete il codice direttamente da Github. Per informazioni sull’installazione del software ed il suo utilizzo potete contattare direttamente gli sviluppatori (Questo indirizzo email è protetto dagli spambots. E’ necessario abilitare JavaScript per vederlo.
document.getElementById(‘cloakc711c566b9e67111bd7c2bf6fc3b9e8e’).innerHTML = ”;
var prefix = ‘ma’ + ‘il’ + ‘to’;
var path = ‘hr’ + ‘ef’ + ‘=’;
var addyc711c566b9e67111bd7c2bf6fc3b9e8e = ‘supporto’ + ‘@’;
addyc711c566b9e67111bd7c2bf6fc3b9e8e = addyc711c566b9e67111bd7c2bf6fc3b9e8e + ‘neting’ + ‘.’ + ‘it’;
var addy_textc711c566b9e67111bd7c2bf6fc3b9e8e = ‘supporto’ + ‘@’ + ‘neting’ + ‘.’ + ‘it’;document.getElementById(‘cloakc711c566b9e67111bd7c2bf6fc3b9e8e’).innerHTML += ‘‘+addy_textc711c566b9e67111bd7c2bf6fc3b9e8e+’‘;
)
Buona sicurezza WordPress a tutti!