ร vero, un po’ รจ anche colpa nostra che scriviamo spesso della sicurezza di WordPress e del web in generale, soprattutto dei pericoli che si corrono trascurandola. Alle volte, come nei casi di reali attacchi in corso, creando involontariamente un certo allarmismo.
Personalmente, io scrivo di sicurezza per sensibilizzare gli utenti, specialmente i piรน sprovveduti, che sono davvero tanti.
ร convinzione comune che per ottenere la sicurezza con WordPress basta usare qualche plugin. Anche questa รจ, per certi versi, una cattiva informazione. Nelle mani di gente inesperta, questi plugin possono diventare estremamente dannosi.
La settimana scorsa sono intervenuto ben due volte, per rimediare all’uso “scriteriato” dei plugin di sicurezza per WordPress.
Nel primo caso, il possessore di un blog aveva installato tutti i plugin di sicurezza che gli sono capitati a tiro. Incurante dei primi segni di malfunzionamento, ha continuato ad installarne ancora finchรฉ non gli si รจ bloccato tutto.
WordPress in modalitร “pagina bianca”, anche per la bacheca, e nessuna soluzione anche disattivando tutti i plugin via FTP.
Nel secondo caso, invece, il plugin era uno solo, Better WP Security, probabilmente il piรน noto e scaricato nel suo genere.
Il malcapitato si era ben documentato prima, aveva letto commenti lusinghieri su questo plugin, ma i complimenti non sono sufficienti.
Better WP Security รจ sicuramente molto potente, ma รจ altrettanto pericoloso.
Molte delle misure di sicurezza che puรฒ mettere in atto sono potenzialmente molto pericolose, ed รจ lo stesso plugin ad avvisare che in taluni casi, non troppo remoti, il rischio di malfunzionamenti รจ molto elevato.
Il fatto piรน grave, se vogliamo, รจ che molti per che ci provano ad utilizzarlo, sono pochissimi quelli che effettivamente si rendono conto di quello che il plugin sta cercando di dire loro, con tutti quegli avvisi. Ci provano e basta, sulla fiducia, e vada come vada.
Morale della favola, anche il secondo malcapitato si รจ trovato con il suo bel WordPress che non funzionava piรน, ed anche qui a nulla รจ valso disattivare manualmente il plugin.
C’e di peggio.
Nei due casi della scorsa settimana, nessuno si era premurati di avere un backup e di verificarlo.
Uno non l’aveva proprio, un backup, l’altro invece era convinto di averlo, ma non si era mai accorto che un errore impediva il suo funzionamento.
La prima e migliore regola per la sicurezza di WordPress (e non solo)?
- Un bel backup, giornaliero, organizzato bene, separato dal server web.
- Un bel backup, verificato con delle prove di ripristino, di tanto in tanto.
Un’ultima considerazione sulla sicurezza di WordPress (e del web in genere)
Nessuno, e sottolineo nessuno, puรฒ garantire la totale sicurezza sul web, l’inviolabilitร non esiste.
ร possibile cercare di rendere la vita difficile a chi sia intenzionato a bucare il nostro sito, prendendo le corrette precauzioni, con cognizione di causa.
Chi afferma il contrario mente sapendo di mentire, o peggio non sa quello che dice.
2 risposte
Ciao Roberto.
Una delle funzioni piรน utili di Better Wp Security e’ l’away mode ma per il resto lo reputo un plugin troppo pesante e invasivo. Oltre a cannibalizzare l’htaccess tocca anche il codice di WP rendendo complicatissima la disattivazione del plugin, che come se non bastasse non riporta le impostazioni allo stato iniziale.
Date retta a Roberto, poche medicine!
Grande Valentino, tempo fa feci vari test con Better WP Security proprio per vedere che tipo di modifiche effettuava e soprattutto dove, e in effetti alcune di esse mi hanno davvero inquietato… ๐
rob