Parliamo di WordPress e di come proteggerlo da alcuni attacchi hacker
Anche noi utilizziamo in moltissimi progetti WordPress, il cms senza dubbio più versatile e completo. Tuttavia, proprio perchè nel web si trova un’enorme quantità di installazioni, è un bersaglio preferito da moltissimi hacker.
Una delle modalità spesso usate per “bucare” un sito sviluppato in WordPress consiste nello sfruttare un bug, non tanto del cms in sè in quanto viene costantemente aggiornato dalla sua comunità di sviluppatori, ma di uno dei tanti plugin oppure del tema grafico utilizzato. In che modo possiamo allora proteggerci?
La regola numero uno consiste proprio nel valutare attentamente gli aspetti legati alla sicurezza dei plugin che installiamo e, nel caso in cui si acquisti un tema grafico a pagamento, valutare il modo in cui gli sviluppatori garantiscono gli aggiornamenti. Molte agenzie fanno largo uso di temi a pagamento, ma è un argomento di cui si parla molto poco. Noi preferiamo sviluppare un nostro tema, disegnando la grafica e sviluppando il codice: in questo modo i tempi di sviluppo si allungano, ma ci semplifichiamo la vita.
La seconda regola è eseguire costantemente tutti gli aggiornamenti, facendo però attenzione alle compatibilità tra le diverse versioni di WordPress, plugin installati e tema grafico. Il concetto a cui vogliamo dare rilievo è: meglio prevenire che curare.
La terza regole consiste nel dotare il server di un firewall in grado di rendere inefficaci la maggior parte dei tipi di attacco hacker. Nella maggior parte dei casi il server viene tempestato di tentativi di attacco, al punto tale da rendere inaccessibile il sito. In questi casi, viene eseguita una chiamata al file responsabile delle chiamate RPC, e sostanzialmente permette di accedere al sito tramite le applicazioni sviluppate per i dispositivi mobili di richiamare le funzioni di Pingback.
La quarta regola è monitorare i file di log, andando alla caccia di “chiamate” sospette. Ma ci viene in aiuto un altro tipo di firewall, in grado di intercettare e bloccare queste forme di attacco. Chiaramente, dovremmo essere noi che diciamo al firewall quali tipi di chiamate bloccare.
Ti abbiamo fatto venire il mal di testa? Non ti preoccupare, ci occupiamo per te di tutte queste cose (e di altro ancora), donandoti la tranquillità di sapere che i nostri siti sono (quasi) sempre al sicuro.
Blog
Bruno Barbieri