Uno dei motivi della straordinaria popolarità di WordPress è che è open source. Come software open source, le ossa nude di WordPress sono gratuite e l’enorme ecosistema di temi, plug-in e altre estensioni che gli sviluppatori sono in grado di creare può essere combinato in innumerevoli modi diversi per creare praticamente qualsiasi tipo di sito Web unico e di alta qualità . Mentre questo ecosistema è ciò che offre a WordPress la sua flessibilità e gamma di funzionalità, è anche la principale fonte di problemi di sicurezza per i siti Web che utilizzano la piattaforma di gestione dei contenuti leader.
Di poco meno di 4.000 vulnerabilità conosciute di WordPress, i plug-in rappresentano oltre la metà, secondo un recente rapporto di wpscan.org. Più di un terzo si trova nel core di WordPress e l’11 percento proviene da temi. Molte di queste vulnerabilità possono essere mitigate semplicemente applicando il prossimo aggiornamento al core di WordPress e a ciascuno dei plug-in, poiché gli sviluppatori vengono avvisati delle vulnerabilità e apportano modifiche per eliminarle.
Mantenere tutto aggiornato e utilizzare una password complessa sono i frutti della sicurezza del sito Web. Puoi impostare WordPress per applicare automaticamente gli aggiornamenti core e puoi anche installare un plug-in per aggiornare automaticamente gli altri plug-in. Esistono anche plugin specifici per la sicurezza che forniscono funzioni come la scansione malware e un firewall.
Oltre a queste nozioni di base, ci sono alcune altre semplici cose che gli operatori del sito Web WordPress possono fare per migliorare la sicurezza dei loro siti.
Fonti inaffidabili o inaffidabili
I plugin anche degli sviluppatori più professionali e responsabili hanno delle vulnerabilità: è inevitabile che gli hacker trovino nuovi modi per compromettere programmi e sistemi precedentemente sicuri, costringendo gli sviluppatori a reagire con un aggiornamento. La maggior parte degli attacchi non è nuova, tuttavia, ma è diretta a vulnerabilità che avrebbero dovuto essere già affrontate.
Uno sviluppatore che è lento a chiudere le vulnerabilità con gli aggiornamenti, o che lo fa in modo improprio, può lasciare i siti esposti anche se tutto è aggiornato. Ancora peggio, alcune alternative gratuite o economiche ai plugin popolari contengono malware o vulnerabilità integrate allo scopo specifico di attaccare ogni sito in cui vengono utilizzati.
Autorizzazioni per file e cartelle
Generalmente non è necessario o consigliato agli utenti di WordPress modificare le autorizzazioni per chi può leggere, scrivere ed eseguire (o eseguire) file e cartelle. È importante, tuttavia, che le autorizzazioni siano impostate correttamente e, se sono state impostate in modo troppo ampio, un attore dannoso potrebbe potenzialmente assumere il controllo completo sul tuo sito. Se scopri che un’autorizzazione è stata impostata su 777, significa che i proprietari, gli utenti privilegiati e il pubblico in generale hanno tutti l’autorizzazione per modificare il tuo sito in qualsiasi modo, se dovessero accedervi.
Per modificare le autorizzazioni, è necessario utilizzare un client FTP. Una volta effettuato il collegamento al sito, è possibile fare clic con il pulsante destro del mouse sulle directory principali e quindi modificare le autorizzazioni facendo clic su “Autorizzazioni file” nel menu. Immettere l’impostazione consigliata nel “campo numerico”, che per la maggior parte degli utenti è 755 per tutte le cartelle e sottocartelle e assicurarsi che “Recurse in subdirectory” sia selezionato e fare clic su “Applica solo alle directory”. Dopo aver fatto clic su “OK”, saranno necessari alcuni secondi per apportare le modifiche, dopodiché è possibile passare ai file, evidenziando tutto nella cartella principale dei siti e seguendo la stessa procedura per visualizzare la finestra di dialogo “Autorizzazioni file”. Per la maggior parte degli utenti l’autorizzazione è impostata su 644 e “Recurse in subdirectory” e “Applica solo ai file” sono controllati.
Autenticazione a due fattori
L’autenticazione a due fattori, o 2FA, aggiunge un ulteriore livello di sicurezza al processo di accesso a WordPress. Puoi applicarlo con uno dei numerosi plugin popolari, alcuni dei quali utilizzano l’app Google Authenticator per fornire il secondo fattore (sotto forma di token), spesso inviandoti una password unica (OTP) da inserire insieme le tue solite credenziali.
Il plug-in può fornire opzioni per inviare l’OTP al tuo account e-mail o dispositivo mobile, in modo che un utente malintenzionato possa accedere al tuo sito solo conoscendo la tua password e rubando il tuo dispositivo o hackerando il tuo account e-mail. Può anche utilizzare un altro fattore, ad esempio un codice QR che si esegue la scansione. Alcuni plug-in forniscono un’opzione per utilizzare un token insieme a un nome utente e una password o solo un nome utente. Qualunque sia la tua scelta, seleziona un plug-in che è stato testato con la versione corrente di WordPress.
Strumenti e risorse
Esistono numerosi strumenti e risorse utili creati appositamente per migliorare la sicurezza di WordPress, grazie all’enorme popolarità della piattaforma.
WPScan.org offre uno strumento gratuito per la scansione di siti WordPress alla ricerca di vulnerabilità, che consente di risolverli prima che vengano sfruttati. Le aziende dell’ecosistema WordPress forniscono risorse utili, come il “Centro di apprendimento” fornito dallo sviluppatore di plugin di sicurezza Wordfence, che include una serie in nove parti per la gestione dei malware. WordPress.org offre anche documentazione e forum di qualità, come tutti i principali fornitori di software, che contengono molte risposte a domande relative alla sicurezza.
Un fornitore di servizi gestiti di qualità come TMD può anche aiutare gli utenti di WordPress a rafforzare il proprio perimetro e proteggere i propri siti Web. Solo facendo un passo oltre gli aggiornamenti, qualsiasi tipo di azienda può avere un sito Web sicuro, economico e bello.