Cerca

Troppe medicine fanno male

Troppi plugin sicurezza WordPress fanno male
Troppi plugin sicurezza WordPress fanno male

I plugin per la sicurezza di WordPress possono fare danni

È vero, un po’ è anche colpa nostra che scriviamo spesso della sicurezza di WordPress e del web in generale, soprattutto dei pericoli che si corrono trascurandola. Alle volte, come nei casi di reali attacchi in corso, creando involontariamente un certo allarmismo.

Personalmente, io scrivo di sicurezza per sensibilizzare gli utenti, specialmente i più sprovveduti, che sono davvero tanti.

È convinzione comune che per ottenere la sicurezza con WordPress basta usare qualche plugin. Anche questa è, per certi versi, una cattiva informazione. Nelle mani di gente inesperta, questi plugin possono diventare estremamente dannosi.

La settimana scorsa sono intervenuto ben due volte, per rimediare all’uso “scriteriato” dei plugin di sicurezza per WordPress.

Nel primo caso, il possessore di un blog aveva installato tutti i plugin di sicurezza che gli sono capitati a tiro. Incurante dei primi segni di malfunzionamento, ha continuato ad installarne ancora finché non gli si è bloccato tutto.

WordPress in modalità “pagina bianca”, anche per la bacheca, e nessuna soluzione anche disattivando tutti i plugin via FTP.

Nel secondo caso, invece, il plugin era uno solo, Better WP Security, probabilmente il più noto e scaricato nel suo genere.

Il malcapitato si era ben documentato prima, aveva letto commenti lusinghieri su questo plugin, ma i complimenti non sono sufficienti.

Better WP Security è sicuramente molto potente, ma è altrettanto pericoloso.

Molte delle misure di sicurezza che può mettere in atto sono potenzialmente molto pericolose, ed è lo stesso plugin ad avvisare che in taluni casi, non troppo remoti, il rischio di malfunzionamenti è molto elevato.

Il fatto più grave, se vogliamo, è che molti per che ci provano ad utilizzarlo, sono pochissimi quelli che effettivamente si rendono conto di quello che il plugin sta cercando di dire loro, con tutti quegli avvisi. Ci provano e basta, sulla fiducia, e vada come vada.

Morale della favola, anche il secondo malcapitato si è trovato con il suo bel WordPress che non funzionava più, ed anche qui a nulla è valso disattivare manualmente il plugin.

C’e di peggio.

Nei due casi della scorsa settimana, nessuno si era premurati di avere un backup e di verificarlo.

Uno non l’aveva proprio, un backup, l’altro invece era convinto di averlo, ma non si era mai accorto che un errore impediva il suo funzionamento.

La prima e migliore regola per la sicurezza di WordPress (e non solo)?

  1. Un bel backup, giornaliero, organizzato bene, separato dal server web.
  2. Un bel backup, verificato con delle prove di ripristino, di tanto in tanto.

Un’ultima considerazione sulla sicurezza di WordPress (e del web in genere)

Nessuno, e sottolineo nessuno, può garantire la totale sicurezza sul web, l’inviolabilità non esiste.
È possibile cercare di rendere la vita difficile a chi sia intenzionato a bucare il nostro sito, prendendo le corrette precauzioni, con cognizione di causa.
Chi afferma il contrario mente sapendo di mentire, o peggio non sa quello che dice.

Condividi se ti è piaciuto!

Altri articoli che potrebbero interessarti:

Picture of Roberto Rota

Roberto Rota

Libero professionista, un "artigiano del web", lavoro nella comunicazione in rete da quando esiste Internet. Mi occupo principalmente di assistenza su WordPress e assistenza e consulenza WooCommerce, seguo la realizzazione di progetti web, in particolare siti di e-commerce, visibilità e comunicazione in rete. Il mio curriculum è su Linkedin, e mi puoi trovare anche su Instagram, FaceBook e Twitter.

DAI IL TUO CONTRIBUTO

Se il mio lavoro ti è stato di aiuto, contribuisci alla continuità di questo sito.
Basta una piccola donazione su PayPal, una pizza e una birra alla tua salute!

2 risposte

  1. Ciao Roberto.
    Una delle funzioni più utili di Better Wp Security e’ l’away mode ma per il resto lo reputo un plugin troppo pesante e invasivo. Oltre a cannibalizzare l’htaccess tocca anche il codice di WP rendendo complicatissima la disattivazione del plugin, che come se non bastasse non riporta le impostazioni allo stato iniziale.

    Date retta a Roberto, poche medicine!

    1. Grande Valentino, tempo fa feci vari test con Better WP Security proprio per vedere che tipo di modifiche effettuava e soprattutto dove, e in effetti alcune di esse mi hanno davvero inquietato… 😉

      rob

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.