Troppe medicine fanno male

ATTENZIONE: questo articolo è stato scritto oltre un anno fa, ed i contenuti potrebbero non essere più validi o compatibili. Sei pregato di tenerne conto, e se hai informazioni in merito di segnalarmele, grazie.

I plugin per la sicurezza di WordPress possono fare danni

È vero, un po’ è anche colpa nostra che scriviamo spesso della sicurezza di WordPress e del web in generale, soprattutto dei pericoli che si corrono trascurandola. Alle volte, come nei casi di reali attacchi in corso, creando involontariamente un certo allarmismo.

Personalmente, io scrivo di sicurezza per sensibilizzare gli utenti, specialmente i più sprovveduti, che sono davvero tanti.

È convinzione comune che per ottenere la sicurezza con WordPress basta usare qualche plugin. Anche questa è, per certi versi, una cattiva informazione. Nelle mani di gente inesperta, questi plugin possono diventare estremamente dannosi.

La settimana scorsa sono intervenuto ben due volte, per rimediare all’uso “scriteriato” dei plugin di sicurezza per WordPress.

Nel primo caso, il possessore di un blog aveva installato tutti i plugin di sicurezza che gli sono capitati a tiro. Incurante dei primi segni di malfunzionamento, ha continuato ad installarne ancora finché non gli si è bloccato tutto.

WordPress in modalità “pagina bianca”, anche per la bacheca, e nessuna soluzione anche disattivando tutti i plugin via FTP.

Nel secondo caso, invece, il plugin era uno solo, Better WP Security, probabilmente il più noto e scaricato nel suo genere.

Il malcapitato si era ben documentato prima, aveva letto commenti lusinghieri su questo plugin, ma i complimenti non sono sufficienti.

Better WP Security è sicuramente molto potente, ma è altrettanto pericoloso.

Molte delle misure di sicurezza che può mettere in atto sono potenzialmente molto pericolose, ed è lo stesso plugin ad avvisare che in taluni casi, non troppo remoti, il rischio di malfunzionamenti è molto elevato.

Il fatto più grave, se vogliamo, è che molti per che ci provano ad utilizzarlo, sono pochissimi quelli che effettivamente si rendono conto di quello che il plugin sta cercando di dire loro, con tutti quegli avvisi. Ci provano e basta, sulla fiducia, e vada come vada.

Morale della favola, anche il secondo malcapitato si è trovato con il suo bel WordPress che non funzionava più, ed anche qui a nulla è valso disattivare manualmente il plugin.

C’e di peggio.

Nei due casi della scorsa settimana, nessuno si era premurati di avere un backup e di verificarlo.

Uno non l’aveva proprio, un backup, l’altro invece era convinto di averlo, ma non si era mai accorto che un errore impediva il suo funzionamento.

La prima e migliore regola per la sicurezza di WordPress (e non solo)?

  1. Un bel backup, giornaliero, organizzato bene, separato dal server web.
  2. Un bel backup, verificato con delle prove di ripristino, di tanto in tanto.

Un’ultima considerazione sulla sicurezza di WordPress (e del web in genere)

Nessuno, e sottolineo nessuno, può garantire la totale sicurezza sul web, l’inviolabilità non esiste.
È possibile cercare di rendere la vita difficile a chi sia intenzionato a bucare il nostro sito, prendendo le corrette precauzioni, con cognizione di causa.
Chi afferma il contrario mente sapendo di mentire, o peggio non sa quello che dice.

Tags: , , ,

2 Risposte a “Troppe medicine fanno male”

  1. Valentino Gagliardi 30 Set 2013 at 17:04 #

    Ciao Roberto.
    Una delle funzioni più utili di Better Wp Security e’ l’away mode ma per il resto lo reputo un plugin troppo pesante e invasivo. Oltre a cannibalizzare l’htaccess tocca anche il codice di WP rendendo complicatissima la disattivazione del plugin, che come se non bastasse non riporta le impostazioni allo stato iniziale.

    Date retta a Roberto, poche medicine!

    • Roberto Rota 2 Ott 2013 at 00:42 #

      Grande Valentino, tempo fa feci vari test con Better WP Security proprio per vedere che tipo di modifiche effettuava e soprattutto dove, e in effetti alcune di esse mi hanno davvero inquietato… 😉

      rob

Dubbi o suggerimenti? Lascia un commento!

I love Instagram