L’utente admin e la sicurezza di WordPress

ATTENZIONE: questo articolo è stato scritto oltre un anno fa, ed i contenuti potrebbero non essere più validi o compatibili. Sei pregato di tenerne conto, e se hai informazioni in merito di segnalarmele, grazie.

Sicurezza di WordPress e utente admin

Ormai lo si legge dappertutto, anche nelle pareti dei bagni degli autogrill: l’utente admin se c’è va eliminato, e quando si installa un WordPress meglio sceglierne un utente amministratore diverso. È la prima regola dei tanti post sul rendere sicuro WordPress che si trovano in rete.

Rendere sicuro poi è una parola grossa. Più sicuro possibile, casomai, magari quel tanto da scoraggiare i malintenzionati. La sicurezza assoluta in informatica è un’utopia.

Ma invece che eliminarlo, non potrebbe essere utile lasciare l’utente admin, privo di qualsiasi permesso, e di utilizzarlo come fosse una sorta di trappola per i malintenzionati?

Ci sono plugin dediti alla sicurezza (es. Better WP Security che a me piace molto) che provvedono a rinominare l’utente admin, quando c’è, e pure a cambiare l’ID dell’utente amministratore nel caso questo fosse uguale a 1. Situazione tipica del blog monoutente.

Perché cambiare l’ID dell’utente amministratore se questo fosse uguale a 1?

Perché a quanto pare (l’ho imparato al WordCamp sabato scorso) ci sono query birichine, alla portata di tutti, che mostrano il nome utente di un determinato ID.

Se qualche malintenzionato volesse indovinare qual’è l’utente amministratore di un blog, questo è un modo per arrivarci nella buona parte dei casi di blog monoutenti. Scoperto l’utente, si tratta “solo” di violarne la password.

Ma non è questo il punto a cui volevo arrivare.

Ribadiamo il concetto che questo non è un post per insegnare a rendere sicuro WordPress, ma solo pensieri a voce alta su un aspetto, che potrebbe avere delle controindicazioni che al momento non riesco a vedere, ma che potrebbero esserci.

Se il malintenzionato per farci qualche brutto scherzo cerca di individuare l’utente admin, o al suo posto l’utente con l’ID numero 1, quello che mi chiedo è perché non lasciarglieli trovare?

Se io creo come primo utente di un WordPress proprio l’utente admin, e questo si prende automaticamente l’ID numero 1, poi creo un altro utente amministratore, mi ci loggo, e configuro l’utente admin con il ruolo “Nessun ruolo per questo sito”, e gli assegno una password che più difficile non si può, se anche uno riuscisse a bucarlo si ritroverebbe con una schermata di questo genere cercando di accedere alla bacheca:

Bacheca dell'utente admin di WordPress senza permessi

In pratica gli ho fatto perdere un sacco di tempo per niente.

Poi siccome sono un pochetto bastardo dentro, e immagino che l’incazzatissimo malintenzionato ora provi a cercare l’utente con l’ID numero 2, io entro nel mio database e sostituisco quello del mio utente con un numero a caso, 453045.

Per fare le cose fatte bene, visto che in un blog monoutente i post vengono pubblicati dallo stesso utente che poi è anche l’amministratore del blog, e immagino ci sia un qualche modo per scoprire l’ID pure di quello, creo un altro utente amministratore, pure questo con un ID casuale, ed al mio utente assegno solo il permesso di pubblicare i post.

Poi ci sono tante altre cose da fare volendo, ma questa era una curiosità che mi era venuta, sabato scorso al WordCamp Bolognese,  riguardo tutte le avvertenze che normalmente si fanno sulla pericolosità dell’utente admin di WordPress.

La mia è solo una considerazione a naso, non conoscendo a fondo pensieri e strumenti di quanti tentano di violare blog e siti anche solo per divertimento. Magari non fa diventare un WordPress a prova di bomba, però forse farà perdere un sacco di tempo al nostro malintenzionato di turno, ed assieme ad altre precauzioni riesce pure a scoraggiarlo…

Controindicazioni? Perplessità? Potrebbe essere una procedura efficace o completamente inutile?

Se hai commenti da fare, sei il benvenuto.

Tags: , ,

12 Risposte a “L’utente admin e la sicurezza di WordPress”

  1. Massimo De Dominicis 27 Nov 2012 at 20:04 #

    Il bello è sapere come si fa ad eliminare l’utente admin o cambiargli l’id o fare tutto il resto che hai detto. 🙂

    • Roberto Rota 27 Nov 2012 at 20:13 #

      eliminare un utente, anche amministratore, lo fai da un altro utente amministratore.

      oppure lo seghi via dal database, avendo sempre avuto l’accortezza di creare prima un altro utente con privilegi di amministratore.

      sempre nel database puoi cambiare l’id di un utente

      oppure installi better wp security, il plugin che ho linkato, e ci pensa lui. attenzione però a non abusarne di quel plugin, potrebbe essere motivo di problemi con altri plugin e con i temi.

      rob

  2. Enrico Ladogana 18 Feb 2014 at 12:46 #

    Ciao, interessante articolo, anche se anziano credo che non sia cambiato molto. Quello che non mi è chiaro è questo: come faccio ad assegnare “nessun ruolo” ad un utente? WordPress non sembra consentirlo… 🙂
    Ciao e grazie!

    • Roberto Rota 18 Feb 2014 at 18:03 #

      Basta dare all’utente admin il ruolo di sottoscrittore, il livello più basso tra i ruoli utente, che praticamente non può fare nulla.

      rob

  3. fabrizio 3 Dic 2014 at 02:43 #

    Ciao,
    Credo di essere stato attaccato da qualcuno, perchè all’improvviso con il mio account admin mi da questo messaggio ” Devi farti autorizzare per accedere a questa pagina.”

    Quindi non posso nemmeno entrare nel pannello di controllo del sito e creare un nuovo admin.

    ora sono riuscito ad entrare nel mio DB, ma come faccio a rimettere un utente AMMINISTRATORE?

    in quel parte del DB? e cosa devo cambiare sul mio Utente?

    grazie

    • Roberto Rota 3 Dic 2014 at 11:12 #

      Ciao Fabrizio, prima di pensare ad un WP craccato, devi escludere eventuali problemi di permessi sui files e cartelle, potrebbero anche essere loro la causa di questo messaggio.

      Poi anche plugin e temi potrebbero essere la causa, e va esclusa anche questa possibilità.

      rob

  4. dario alessandro 24 Set 2016 at 22:15 #

    Ciao roberto, una domanda sto costruendo un sito è ancora in offline ci ho lavorato fino alla scorsa settimana bene, oggi non riesco più ad entrare come amministratore, non da nessun errore il bello neanche come utente, mi sono registrato ed ho provato ad entrare niente,non ci sono errori particolari solo che il sito non mi permette di entrare in nessun caso come posso risolvere? potrebbe dipendere da qualche plugin tipo profile builder? grazie.

    • Roberto Rota 24 Set 2016 at 22:58 #

      Potrebbe dipendere da fattori diversi, dal malfunzionamento di qualche elemento o da qualche conflitto, o peggio da qualche malware.

      Bisognerebbe indagare.

      rob

      • Dario Alessandro 24 Set 2016 at 23:01 #

        Come posso entrare anche momentaneamente e fare verifiche magari installando un anti malware o fare indagini per capire meglio? Qualche idea? Grazie

        • Roberto Rota 24 Set 2016 at 23:05 #

          Vai per esclusione, disattivai i plugin e se serve anche il tema via FTP, se anche questo non rimette l’admin a posto prova a vedere se trovi traccia di malware nei files, sempre via FTP.

          rob

Dubbi o suggerimenti? Lascia un commento!

I love Instagram