Sicurezza

Per garantire al tuo sito una maggiore sicurezza, aggiorna sempre sia il “core” di WordPress che i singoli plugin o temi di terze parti.

Ogni nuova versione, infatti, oltre che implementare eventuali nuove funzioni, certamente chiude delle “falle” (i cosiddetti “bug“) nella programmazione del codice.

Anche i template posso avere delle falle quindi vanno sempre tenuti aggiornati.

Gli aggiornamenti automatici

Per default, dalla versione 3.7 in poi, il tuo sito WordPress si aggiornerà automaticamente quando viene rilasciata una release minore. Questo significa che se utilizzi WordPress 3.7.0 e viene rilasciata la versione 3.7.1 l’applicazione si aggiornerà da sola. Se invece venisse rilasciato WordPress 3.8 (una versione “major”), per default dovrai aggiornarlo manualmente.

E’ però possibile, modificare il file wp-config.php per autorizzare anche gli aggiornamenti “major”. Una procedura sconsigliata poiché per tali importanti aggiornamenti è suggerito, prima di procedere all’operazione, di predisporre un backup completo del sito e del data base.

Siteground spiega come intervenire sul codice.

Esistono plugin e servizi che svolgono il lavoro di aggiornamento per conto tuo, così che tu non debba avere il pensiero di verificare frequentemente l’uscita di nuove versioni di quanto da te installato.

Uno dei più sicuri mi sembra il servizio dell’ISP Aruba denominato “Hosting WordPress Gestito” che, con la versione smart costa 79 euro annui, oltre IVA, ovvero circa 40 euro annui in più del basico servizio di hosting.

Con la versione 5.5, WordPress, tuttavia, ha previsto, per l’amministratore del sito, la possibilità di attivare l’aggiornamento automatico dei singoli plugin e temi direttamente dal cruscotto amministrativo di WordPress.

Un risparmio, quindi, in termini di tempo e costi.

Naturalmente gli aggiornamento automatici, i cosiddetti “aggiornamenti non presidiati“, nascondono le proprie insidie. Tuttavia, tra il rischio di un sito bloccato temporaneamente per un aggiornamento non andato a buon fine e quello di mantenere, per un ritardato aggiornamento, una vulnerabilità sfruttabile da un hacker è preferibile scegliere il primo.

In proposito, il blog di Wordfence propone in merito un interessante post.

In particolare, vi si spiega che gli aggiornamenti automatici in WordPress 5.5 hanno solo l’opzione “off” o “on”. I proprietari del sito non avranno la possibilità di selezionare diversi tipi di aggiornamenti, come ad esempio applicare solo gli aggiornamenti di sicurezza, o solo l’aggiornamento per le versioni minori.

In caso di “aggiornamenti non presidiati” sarebbe importante determinare “cosa è cambiato”. Ogni volta che si verifica un problema nelle operazioni IT, la prima domanda da porsi quando si cerca di risolvere il problema è “Cosa è cambiato?“. Se si sono verificati due o più aggiornamenti non presidiati, sono cambiate più cose e può diventare molto più difficile isolare la causa alla radice del problema.

Per tale motivo, ti suggerisco, a questo punto, tanto di autorizzare gli aggironamenti automatici quanto di installare un plugin che svolga questo lavoro di Audit.

A tale proposito, anche per non rallentare il sito, è sempre meglio limitare il numero dei plugin installati. I plugin sono, probabilmente, il punto più critico della sicurezza di WordPress, in molti casi ve ne sono alcuni che creano backdoor o comunque aprono le porte ad utenti malintenzionati.

Come per i plugin, il nostro sito deve avere installato solo temi che usiamo. Ogni sito WordPress può avere, ovviamente, solo un tema attivo; oltre ad esso lascia installato soltanto un altro tema perché in caso di emergenza può rilevarsi utile.

Sai bene cos’è la “password”.  Sicuramente saprai pure che deve essere lunga almeno otto caratteri, alfanumerica e con presenza di caratteri speciali e non deve contenere parole tratte da dizionari e, soprattutto, che deve essere tenuta nascosta. Mi domando, invece, se pensiamo all’username.

Pensiamo che l’eventuale malintenzionato attaccante che carpisce l’username dell’Amministrazione del nostro sito web è già ben oltre metà dell’opera per guadagnare un pericolosissimo illecito accesso?

L’attacco Brute Force

Un attacco “Brute Force” è un metodo semplice per ottenere l’accesso a un sito web. Tramite appositi programmi e opportuni dizionari, si ricercano nomi utente e password più e più volte fino a quando li si ottiene.

Tale metodo è considerato “poco elegante”, esso risulta molto efficace quando le persone usano password semplici come “123456” o nomi degli utenti standard come “admin”.

Un cracker che guadagna l’accesso al tuo account amministratore è in grado d’installare script dannosi che possono potenzialmente compromettere l’intero server.

Il problema dell’enumerazione degli utenti

Contro questa frequente forma di attacco al CMS WordPress è quindi necessario non dimenticare di difendere anche l’username.

Tra i vari accorgimenti indispensabili c’è quello di rendere illeggibile l’username.

L’eventuale attaccante, infatti, con appositi “scanner” (WPScan, ad esempio), ottiene facilmente quella che viene chiamata “enumerazione degli utenti” ovvero è in grado di conoscere l’elenco degli autori di articoli sul dato sito (e quindi il codice “numero utente” e gli “username).

Tale risultato è ottenibile anche manualmente con una semplice procedura: è sufficiente aggiungere il codice “?author=n” (dove “n” è un numero da 1 in poi) dopo l’indirizzo (URL) del sito da controllare.

In realtà, per conoscere un autore (e quindi un “Username”) è sufficiente passare il mouse sul “soprannome” (nickname) dell’autore dell’articolo e leggere il relativo “username” che appare sull’etichetta collegata.

Per questo motivo, per ragioni di sicurezza cioè, è assolutamente vietato pubblicare alcunché (articoli, ecc) a firma dell’utente in possesso delle credenziali di “Amministratore” sull’installazione corrente di WordPress.

Come difendersi dall’enumerazione degli utenti

La soluzione contro gli scanner per rendere invisibili gli Username è dietro la porta:

È possibile, semplicemente, aggiungere questo codice nel file .htaccess per bloccare autore cerca di enumerazione.

# Stop wordpress username enumeration vulnerability
RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://yoursite.com/somepage/? [L,R=301]

Ciò va inserito all’interno dei tag:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

….

</IfModule>

E dove, naturalmente, “http://yoursite.com/somepage/” è la pagina su cui vuoi che vada chi ha effettuato la ricerca “?author”.

Ora siamo sicuramente più tranquilli.

«Il 44% dei PC italiani vengono attaccati da malware durante la navigazione in Internet». Tanto riporta Clusit, l’associazione italiana per la sicurezza informatica, nel proprio rapporto 2013, riprendendo un ulteriore rapporto Kaspersky riportato sul sito Securelist.com.

«Infecting legitimate sites is a trick that is the most dangerous for visitors and simultaneously the most effective for cybercriminals. One way or another, the cybercriminals gain access to a popular site and introduce minor modifications to its code. When a user visits the site … to intrude into the user’s computer. This attack takes place unobtrusively: as far as the user is concerned the site looks and works normally. … Thus, to achieve their goal, cybercriminals need to find just one popular application that is out of date», si legge su Securelist.

Stando allo studio, questo accade perché siamo particolarmente sprovveduti e poco attenti a proteggere i nostri cosiddetti dati sensibili, e in questo modo cadono in mani altrui informazioni, PIN vari e password.

La sicurezza dei siti web? Poco considerata

«Pur incrementando o mantenendo costante il budget, il livello di sicurezza delle aziende italiane continua a scendere». E’ quanto denuncia ancora Clusit stavolta nel proprio rapporto 2014.

«Questo fenomeno – spiega sempre Clusit, nell’ultimo documento  – è legato al fatto che la sensibilità rispetto alle tematiche di sicurezza continua a viaggiare ad una velocità estremamente inferiore rispetto all’evoluzione delle minacce».

«… oltre 3.200 incidenti noti avvenuti nel mondo ed in Italia negli ultimi 42 mesi (dal primo gennaio 2011 al 30 giugno 2014), … hanno avuto un impatto particolarmente significativo per le vittime in termini di perdite economiche, di reputazione, o di diffusione di dati sensibili (personali e non)», precisa sempre Clusit.

Perché c’è la pirateria informatica? «Oggi la motivazione principale per cui vengono compiuti attacchi informatici è di natura criminale – sostiene Clusit -. In particolare il 60% degli attacchi è dovuto ad azioni di cybercrime ed il 24% ad azioni di spionaggio industriale volto a sottrarre informazioni (progetti, dati di business, o documenti. Le azioni dimostrative, portate avanti tramite attacchi informatici (Hacktivism), sebbene abbiano conquistato dall’estate in poi, quasi settimanalmente, le prime pagine dei giornali, costituiscono in realtà solamente il 16% degli attacchi rilevati».

«La tendenza è pensare che questo tipo di attacchi vengano portati solamente verso siti istituzionali e siti vetrina, la realtà è che invece questo tipo di attacchi colpisce un po’ tutti i settori e non sono più solo indirizzati verso i siti vetrina ma anche verso il cuore della comunicazione, per esempio la posta elettronica», avverte il rapporto.

In definitiva, chiunque realizza, o fa realizzare da altri, un sito Web deve concentrare la propria attenzione, non solo su contenuti e proposta grafica, ma anche sulla sicurezza offerta tanto agli Amministratori del sito Web che agli Utenti del sito stesso.

Le conseguenze di tali disattenzioni possono essere devastanti, sotto tutti i punti di vista, anche in termini di responsabilità civile.

Cercare conferme esterne sul buon esito delle proprie procedure di sicurezza è la miglior attività per accertarsi delle condizioni del proprio sito Web.

Sucuri permette di effettuare, gratuitamente, un veloce test di sicurezza del tuo sito: è sufficiente inserire il link alla propria Home Page e, dopo pochi secondi, ottenere il responso.

Come osservi qui di seguito, il noto quotidiano “Il Fatto Quotidiano”, anch’esso realizzato col CMS WordPress: il sito Web risulta “pulito” da eventuale Malware, anche se non sembra installato un firewall di protezione.

Forse il consiglio più importante per garantirti la sicurezza del tuo sito Web è quello di essere pronto a cancellare parte o l’intera installazione!

In sostanza il consiglio è quello di  effettuare un periodico backup dell’intero blog WordPress, sia dei file fisici che dei post. In questa in maniera, sarai garantito in caso di danneggiamento di file a seguito di un aggiornamento non andato a buon fine o di intrusioni esterne: non avere un backup del proprio sito e del proprio database è, in sostanza, semplicemente folle.

Il backup va impostato, in automatico, con cadenza giornaliera preferibilmente o almeno settimanale.

Per conservare un backup, puoi utilizzare il plugin UpDraftPlus, che nella versione Premium costa 67,10 euro e garantisce semplici e complete procedure di backup (anche in Cloud: Dropbox, Google Drive ecc) e di recupero. In alternativa puoi usare il plugin gratuito WP-DB-Backup.

Fai attenzione: quest’ultimo plugin provvederà a salvare, sul tuo computer o sulla tua e-mail, solo il Database contenente le informazioni essenziali del sito Web.

È sempre consigliabile, tuttavia, eseguire un backup manuale mensile e salvare tutti i dati in locale o su una memoria esterna.  Questo backup deve comprendere:

• l’esportazione da WordPress di tutti gli articoli, le pagine, i commenti, i campi personalizzati, i termini, i menu di navigazione e gli articoli personalizzati, attraverso l’opzione “Esporta” che trovi dentro “Strumenti” nella spalla sinistra del menù di amministrazione del tuo CMS WordPress. In genere, io lascio selezionata l’opzione “Tutti i contenuti”;
• l’esportazione del database MySql. Semplicemente collegati alla pagina relativa al servizio MySql del tuo fornitore con i dati di accesso e scarica il relativo archivio del sito.
• il backup della cartella www del tuo sito tramite accesso FTP del tuo fornitore di hosting.

Naturalmente dovrai essere in possesso di un software per il trasferimento di file via FTP. Ti consiglio di scaricare e utilizzare FileZilla: è gratuito e intuitivo.

Il file wp-config.php è importantissimo per la tua installazione di WordPress perché rappresenta una miniera d’informazioni per i cracker. Esso, infatti, contiene tutte le password d’accesso ai database, cioè alla vera “cassaforte” del tuo sito web.  Dovrai, quindi, proteggerlo al massimo!

Per proteggerlo, sarà sufficiente aggiungere al file .htaccess le seguenti righe di codice, e l’accesso verrà negato a chiunque:

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

Naturalmente, occorre settare il file htaccess con permessi 644 per evitare di rendere tutto vano (ho testato il permesso codice 640 suggerito altrove, ma blocca la piattaforma)!