WordPress e vulnerabilità: problemi e prevenzione

Sta per spegnere 17 candeline WordPress, la piattaforma software su cui si basano migliaia di siti in tutto il mondo. Quasi il 40% di tutti i siti internet, infatti, sono alimentati da WordPress.

Vi siete mai chiesti, però, se WP è davvero sicuro ?

La risposta è che sì, la piattaforma è sicura ma si è comunque dimostrata spesso vulnerabile.

Utilizzare versioni obsolete, gestire male le credenziali d’accesso, l’avere poche conoscenze nel settore causa problemi non di poco conto.

Sicurezza, in WordPress, significa ridurre il rischio e non eliminarlo dal momento che questo sarebbe praticamente impossibile nonostante un team di esperti lavori costantemente per risolvere tempestivamente ogni tipo di problema di sicurezza.

Le ultime vulnerabilità su WordPress

WordPress è, come dimostrato da più parti, molto vulnerabile agli attacchi di hacker e malintenzionati che quotidianamente cercano di minarne la sicurezza.

Le ultime falle hanno riguardato, in particolare, tre plugins e vanno ad interessare un numero enorme di siti internet (in totale più di 300 mila portali). I plugins in questione sono InfiniteWP, WP Time Capsule, WP Database Reset.

  1. InfiniteWP è un plugin che permette di provvedere alla gestione di un numero maggiore di siti internet all’interno di un unico server. La vulnerabilità riscontrata permetteva ai malintenzionati l’accesso non autorizzato al pannello di amministrazione senza la necessità di utilizzare le password. Bastava, infatti, conoscere il nome utente e si aveva accesso a tutti i profili potendoli modificare, cancellare o creandone, addirittura, di nuovi. L’aggiornamento necessario per la risoluzione del problema è quello alla versione v.1.9.4.5.

 

  1. WP Time Capsule è un plugin che, invece, viene utilizzato per effettuare il backup dei database. La falla ha coinvolto, secondo le ultime stime, circa 20 mila siti ed ha consentito l’accesso non autorizzato al pannello di controllo di WordPress. L’update da effettuare, in questo caso, è quello alla versione v. 1.21.16.

 

  1. WP Database Reset consente di resettare tutte le tabelle presenti negli archivi anche senza autenticarsi. L’ingresso degli hackers in questo sistema significava poter perdere tutti i dati pubblicati nel sito internet. Con questa falla,che ha coinvolto potenzialmente 80 mila siti, anche l’utente che godeva del permesso limitato poteva effettuare l’accesso al pannello di amministrazione. L’update correttivo è quello alla versione v. 3.15.

Come prevenire i problemi di sicurezza su WordPress, le pratiche da attuare

Dato per certo che WordPress è, purtroppo, molto vulnerabile in termini di sicurezza, è importante sapere come prevenire questi problemi. La prevenzione, infatti, è molto più semplice della risoluzione del problema vera e proprio.

Ci sono alcune azioni che, se messe in pratica, ci consentono di mantenere comunque alto il livello di sicurezza per il nostro sito internet. Quali sono? Eccole:

  • Investire sempre in Host WP sicuri per le nostre attività online;
  • utilizzare le versioni più recenti di PHP che, in quanto vera e propria colonna vertebrale di WordPress ha un’importanza fondamentale;
  • usare le credenziali d’accesso in maniera intelligente per evitare che ci vengano carpite facilmente;
  • aggiornare WordPress e i plugins alle ultime versioni che garantiscono livelli di sicurezza più elevati e correzione di eventuali bug;
  • bloccare gli accessi al pannello di amministrazione di WP modificando, ad esempio, l’URL di accesso;
  • utilizzare sempre l’autenticazione a 2 fattori. Dover inserire, dopo la password, un altro codice comunicato via sms o telefono, diminuisce le possibilità di violazioni dell’account;
  • provvedere all’installazione di un certificato SSL per utilizzare l’HTTPS (Hyper Text Transfer Protocol Secure) per i collegamenti ai siti in maniera sicura;
  • tenere sempre al sicuro il file wp-config.php, il cuore di WP che contiene le inrmoazioni di accesso ai database e ogni chiave di sicurezza;
  • disabilitare gli XML-RPC per l’esecuzione di più metodi in singole richieste;
  • tenere lontana da occhi indiscreti la versione di WP che stiamo utilizzando;
  • utilizzare i plugins di sicurezza;
  • provvedere al rafforzamento della sicurezza del database utilizzando nomi intelligenti e cambiando i prefissi per le tabelle dei database;
  • utilizzare connessioni sicure. FTP, ormai, non garantisce elevati livelli di sicurezza per cui è meglio scegliere SFTP o SSH;
  • effettuare controlli su ogni autorizzazione su file e server trovando una giusta via di mezzo. Un’autorizzazione, infatti, non deve mai essere troppo blanda ma, per funzionare al meglio, neanche troppo rigida;
  • eseguire sempre i backup in modo da poter ripristinare il sito in breve tempo nel caso dovesse accadere l’irreparabile.

In definitiva, ci sono vari modi con cui possiamo proteggere WordPress. L’importante è attuarli nella maniera corretta ed effettuare gli update all’ultima versione il prima possibile per la protezione del nostro sito e per la riduzione del rischio di essere presi di mira.

 

Condividi il contenuto su...Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Pin on Pinterest
Pinterest
Share on LinkedIn
Linkedin
Email this to someone
email
Print this page
Print

Potrebbero interessarti anche...