Wordpress, sicurezza e altri guai

NON PIÙ IL CMS DEI PICCOLI

Ogni giorno vengono creati più di 500 siti con WordPress e la directory dei plugin ne conta oltre 56.000.  La soluzione per le vendite online, WooCommerce, alimenta il 28% del primo milione di siti di eCommerce nel mondo e vanta 89.880.559 di downloads. Qualche anno fa si riteneva WordPress uno strumento utile solo alle piccole imprese; oggi però le cose stanno diversamente, perché anche siti web di un certo spessore oggi utilizzano il CMS più diffuso nel web. Giusto per fare due nomi:

• The New York Times
• Spotify
• TechCrunch
• il sito web della Casa Bianca
• BBC America
• la Newsroom di Facebook! 

Ogni mese ci sono 37 milioni di ricerche globali con il termine “WordPress”, 409 milioni di persone che visualizzano oltre 20 miliardi di pagine, con oltre 70 milioni di nuovi post e 77 milioni di nuovi commenti.

Questo oggi è Wordpress. Dunque, secondo voi, questa popolarità poteva sfuggire agli hacker?

Ormai da molti anni si parla della sicurezza dei CMS e ovviamente, del suo re indiscusso, WordPress. Sono centinaia di migliaia i siti violati, un crescendo che tuttavia non dipende dalla piattaforma (o non solo), ma anche e soprattutto dalla cattiva gestione della piattaforma, a partire dalle fondamenta.

“Gli hacker non entrano a causa di falle nell’ultima versione del core di WordPress” – spiega Emanuele Bambini, Web Developer di MACOEV - “La maggior parte dei siti viene violata a causa di problemi assolutamente evitabili. Tra le cause più diffuse si ha sicuramente il mancato aggiornamento della piattaforma WordPress, dei temi e dei plugin che sono installati e attivati sul sito. Non meno importante, e che spesso viene sottovalutato, è l'affidabilità che viene offerta dagli strumenti utilizzati per la realizzazione di un sito in WordPress. E anche se può sembrare assurdo ma anche l’utilizzo di password non sicure, a volte veramente banali, è causa di molte violazioni”

Le password

Secondo WP Engine, queste sono le prime 50 password e rappresentano l'1,6% delle password totali del mondo. Un patrimonio di miliardi di accessi, a portata di chiunque

"Password a parte, sono tante le accortezze che dobbiamo avere sia nella realizzazione che nella manutenzione all’interno di un ambiente WordPress. A partire dall’hosting, che deve essere erogato come servizio professionale e deve garantire uno spazio sicuro e aggiornato (l’utilizzo di versioni aggiornate di PHP e MySQL ad esempio). L’hardening del Server è tra le attività primarie per la messa in sicurezza dei progetti: attraverso molteplici livelli di sicurezza, aggiornamenti e il monitoraggio si possono evitare la maggioranza degli attacchi”

Le buone practices secondo noi

Dato che sono molte le variabili in gioco, abbiamo provato a stilare una lista di buone practices:

• hosting sicuro e aggiornato e, possibilmente, ambiente di staging (tornerà utile anche per gli update)
• aggiornamenti costanti del core, dei plugin e del tema principale
• eliminare di plugin e temi che non vengono utilizzati (spesso vengono lasciati lì per anni e possono essere facili accessi per gli hacker)
• scegliere con attenzione sia i temi che i plugin. Oltre all’affidabilità, verificare la periodicità dei rilasci degli aggiornamenti, per non trovarsi in mano bombe a orologeria
• usare quando possibile SFTP
• utilizzare password complesse sia per gli accessi WordPress che per hosting e SFTP (e la 2FA, two-factors authentication)
• utilizzare un certificato TLS (https://) per tenere crittografate le comunicazioni.
• utilizzare chiavi SSH

I plugin per la messa in sicurezza

Vi consigliamo inoltre l’installazione di un plugin a scelta tra Sucuri e Wordfence Security , entrambi estremamente diffusi con diversi milioni di download all’attivo. Oltre ad avere molte funzionalità per monitorare lo stato di sicurezza del sito, hanno molteplici funzioni di filtraggio e crittografia, seppur a discapito delle prestazioni.Le caratteristiche principali:

• firewall endpoint (WAF) e scanner malware
• login 2FA e limitazione dei tentativi di login
• Live Traffic e regole di blocco avanzato.
• scansioni lato server per una crittografia completa end-to-end
• scansioni dell’ambiente WordPress con configurazione di alert per la segnalazione di criticità del sistema a più livelli

Vuoi sapere se il tuo Wordpress sta bene?
Contattaci per approfondire!