Per la rubrica “Bams Chat” prendiamo spunto da una vostra domanda per parlarvi di errori si sicurezza che riscontriamo spesse nelle installazioni WordPress che prendiamo in gestione.
“Perchè il mio sito è stato hackerato?”
Una parte fondamentale nella realizzazione di un sito o di un e-commerce è la messa in sicurezza. In particolare noi utilizziamo il plugin Wordfence che ci aiuta ad aumentare la sicurezza del sito.
In questo post vi diamo qualche consiglio per evitare questi errori di sicurezza e proteggere meglio l’ambiente WordPress.
1. Non aggiornare WordPress, temi e plugin
Quando prendiamo in gestione un sito le prime attività che eseguiamo sono gli aggiornamenti e la messa in sicurezza.
Le cause principali dei siti compromessi, infatti, sono le vulnerabilità derivanti dalle installazioni di temi, plugin o WordPress obsolete. Queste intrusioni possono quindi essere prevenute aggiornando periodicamente WordPress, i plugin e i temi.
Il plugin Wordfence, oltre a fare da firewall, ci notifica anche quando viene rilasciato un aggiornamento di un plugin, di un tema o del core di WordPress. Wordfence scansiona periodicamente l’installazione di WordPress e rileva se ci sono vulnerabilità o ci sono state intrusioni.
Oltre agli aggiornamenti periodici, per evitare errori di sicurezza su WordPress, consigliamo anche di:
- non usare plugin o temi non più mantenuti dagli sviluppatori;
- non utilizzare plugin o temi premium offerti gratuitamente, perchè contengono quasi universalmente codice dannoso che infetterà il sito;
- disattivare e cancellare i plugin e temi inutilizzati perchè anche da questi ci possono essere intrusioni.
2. Riutilizzo delle password o password deboli
Un errore comune, ma semplice, che viene commesso spesso è il riutilizzo delle password tra gli account. Sito web, database e account FTP, dovrebbero avere password differenti, altrimenti, se un account viene compromesso, tutti gli account vengono compromessi.
Wordfence ha anche un’opzione che impedisce l’uso delle password trovate nelle violazioni dei dati, questa opzione si applica agli amministratori per impostazione predefinita, ma può essere impostata per includere tutti gli utenti che possono pubblicare post sul blog.
Consigliamo vivamente di utilizzare le password suggerite da WordPress durante la creazione dell’utente e di salvarle tutte in un gestore di password.
3. Cattiva gestione dell’accesso degli utenti
WordPress mette a disposizione vari ruoli utenti con diversi livelli di accesso.
In generale consigliamo di:
- Concedere agli utenti un accesso minimo. Per la maggior parte dei nostri siti attiviamo l’account del cliente con il ruolo di Editore.
- Disabilitare la registrazione dell’utente o utilizzare il double opt-in. Se il sito non ha aree che richiedono la registrazione dell’utente, è sempre meglio disabilitare questa funzione. In caso ci sia una form di registrazione conviene utilizzare il sistema di double opt-in per confermare che si tratta di un utente reale.
- Applicare password complesse, come visto sopra.
- Richiedere l’autenticazione a 2 fattori per amministratori ed editori.
- Utilizzare nomi utente come “admin”, “test”, “login” o utilizzare il nome del sito. Questo può avere un impatto negativo perchè alcuni bot tentano di forzare una password per l’utente “admin” o di sfruttare le vulnerabilità utilizzando “admin” come nome utente predefinito nei loro script. Il nome utente deve, quindi, essere qualcosa di complesso o qualcosa di relativamente semplice ma unico. Più complesso è, più difficile sarà per i bot scoprire il nome utente.
4. Assenza di certificato SSL / TLS
I certificati SSL / TLS crittografano il traffico tra client e server e inviano in modo sicuro i dati tramite HTTPS. Il certificato invia tutto il traffico in una forma non leggibile crittografando i dati con l’uso di una chiave. Solo il server web ha una chiave per decifrare quei dati e rispondere alle richieste di nuovo con i dati crittografati.
Un semplice esempio per cui il sito necessita di un certificato SSL / TLS è che WordPress invia le credenziali in chiaro.
Inoltre il certificato ha anche un impatto sul ranking di ricerca, poiché Google preferisce i siti che utilizzano SSL.
Questi sono 4 consigli che puoi verificare in autonomia, ma a livello di codice o di impostazioni di Wordfence si può fare molto di più.
Devi aggiornare il tuo sito o vuoi analizzare le sue vulnerabilità?
Foto di Arno Senoner da Unsplash