Nonostante possa asserire che la piattaforma CMS di WordPress sia più che sicura rispetto ad altre (se ben installata, amministrata e mantenuta aggiornata…), vediamo assieme quali sono le cinque maggiori vulnerabilità di sicurezza che possono creare non pochi problemi al proprietario del sito e al suo amministratore.

  1. Servizio di Hosting troppo poco performante, che non riesce a gestire in modo efficiente e sicuro il CMS e i suoi vari servizi; o servizi con problemi di gestione della sicurezza (non vengono previsti i normali servizi come SFTP, HTTPS, gestione delle password, firewall efficiente, connessione di rete robusta, ecc.)
  2. Credenziali di accesso al CMS poco robuste e di facile intuizione. A volte viene utilizzato un unico utente sia come amministratore che come editore, utilizzando il massimo profilo di amministrazione dei sistemi. Non viene adottata nessuna policy dei profili utente a scalare, in base al compito assegnato (admin, editore, ecc.)
  3. Mancato aggiornamento del software che compone il CMS. È necessario provvedere in modo costante agli aggiornamenti del software del core di WordPress, dei suoi vari plugin e del tema, che altrimenti possono permettere un accesso anonimo al sistema sfruttando i vari bug trovati nelle versioni precedenti del software di cui sopra.
  4. Exploit via PHP. Possono verificarsi degli accessi anonimi al database e all’intero CMS, utilizzando del codice malevolo scritto in linguaggio PHP realizzato apposta per sfruttare un bug o una vulnerabilità conosciuta di un server o di un sito.
    Questo sistema permette al cracker di impossessarsi del sito attaccato, riuscire ad effettuare un defacing o addirittura a cancellare interamente i dati presenti; o peggio di utilizzare il sito attaccato per un proprio tornaconto, modificandolo a suo piacimento e togliendo la possibilità al proprietario di bloccare queste operazioni malevole.  
  5. Installazione di software non sicuro. In questi casi spesso capita di trovare installato qualche plugin e/o qualche tema ‘strano’ di terze parti, magari reperito gratuitamente su dei siti non affidabili come grado di sicurezza e di difficile localizzazione del programmatore. Spesso questo software viene proposto da siti malevoli, promettendo grandi risultati senza alcuna spesa.
    Il risultato può essere diverso; dal malfunzionamento del sito alla possibilità di aprire una backport per far accedere dei malintenzionati che possono prendere il controllo del sito stesso.

A quanto scritto sopra, desidero aggiungere un altro punto; spesso molti siti sono sprovvisti di sistemi di backup dei dati del sito (parte CMS) e anche del database MySQL necessario al suo funzionamento.
Avere attivo un sistema di backup dati efficiente molto spesso vi risolve il problema in breve tempo!
Vi sarà possibile ripristinare immediatamente il funzionamento del sito dopo aver apportato le soluzioni di sicurezza del caso. Nel caso in cui non abbiate scelto di avere i dati di backup, tutto il sito e i suoi contenuti sarà perso per sempre!!!

Quanto scritto rappresenta solo un primo semplice aiuto per chi inizia ad utilizzare questo CMS e desidera capire come mettersi al sicuro.  Installare da se il CMS WordPress nel modo corretto è abbastanza semplice.
Questa è solo la punta dell’iceberg della sicurezza informatica per chi amministra un sito WordPress; troppo ce ne sarebbe da scrivere in questo articolo se dovessimo prendere in considerazione la varie regole di sicurezza per la gestione di un server e di un sito web ad hoc. Gli argomenti da trattare sarebbero molteplici, in quanto si tratta di un sistema informatico complesso su cui gira un server web (Apache2, Nginx, o altro …) un gestore PHP, un servizio database MySQL e altre applicazioni informatiche. 

Tutte queste altre informazioni si possono reperire sia in questo mio blog che in rete, cercando frasi come:  server LAMP wordpresslinux wordpress, WordPress Apache, WordPress NGINX e così di seguito…

Tra l’altro c’è la possibilità di trovare in rete diverse server farm (es. Aruba, SiteGround, GoDaddy, Vhosting, BlueHost, ecc.) che rendono disponibili in modo veloce, facile e sicuro (con un contratto “tutto compreso”) un proprio dominio realizzato con un CMS WordPress già pronto e funzionante. 
Sarà sufficiente registrare il dominio, pagare i servizi necessari desiderati e il gioco è fatto… Avviare il vostro sito WordPress e effettuare le prime configurazioni di base, è un’operazione abbastanza semplice (altrimenti seguite le mille-mila pagine di informazione per la prima configurazione che trovate nei motori di ricerca o questa pagina di spiegazione).

Auguro a tutti un buon divertimento con il software libero e il CMS WordPress

 

Lasciate un vostro commento a questo post