In WordPress, come in qualsiasi altra cosa in rete, ogni lato della sicurezza trascurato equivale a lasciare una porta aperta a possibili malintenzionati.
Una delle cose che mi lascia perplesso, quando entro nelle bacheche dei WordPress altrui, è la scarsa considerazione di tutto ciò che è sicurezza. In alcuni casi è davvero disarmante.
Spesso sono ignorati proprio i fondamentali: utenti admin con il nome della moglie come password, permessi alle cartelle che fanno drizzare i peli sulle braccia, per non parlare dell’uso di FTP e delle relative password, e via discorrendo. L’elenco sarebbe davvero lungo.
I più “spericolati” sono ovviamente quelli a cui non è mai successo nulla, quelli che pensano “tanto chi vuoi che mi venga a bucare il mio blog?”.
Non sanno che, la maggior parte delle volte, il fatto che prendano di mira un blog o un sito, rispetto ad un altro, è puramente casuale.
Tu di che categoria fai parte?
Se sei tra quelli che “tanto chi vuoi che venga a bucare il mio sito”, o che usa il nome del cane come password perché è facile da ricordare, ti voglio proporre un semplice test. Vuoi provare?
Quanti stanno cercando di violare il tuo WordPress?
Se il tuo sito o blog in WordPress è visibile in rete da più di qualche mese (ma alle volte è anche molto meno), prova ad installare il plugin Login Limit Attempts. Serve per limitare i tentativi di violazione, è un plugin semplice e innocuo, ma come vedrai è molto utile.
Installalo e attivalo, la configurazione standard va benissimo quindi non ti devi preoccupare. Accertati solo che sia spuntata la voce “Log IP”.
Attenzione che d’ora in pi se sbagli troppe volte la password di login il sistema ti blocca per qualche decina di minuti, fino a qualche ora se continui a sbagliare.
Fatto? Bene, ora dimenticati di averlo per qualche giorno. Fatti un promemoria di tornare a riguardalo più avanti.
Lascia correre qualche giorno, o qualche settimana, e torna a guardare il plugin, e probabilmente noterai che ci sarà lista più o meno nutrita di IP elencati alla fine, come l’immagine qui sotto.
Tutti quegli IP, e nell’esempio sono solo una minima parte di quelli elencati in questo blog, sono i tentativi di violazione fatti al tuo WordPress, cercando di bucare la password dell’utente indicato a fianco.
Questo è solo uno dei modi possibili di violare un sito web, indipendentemente dal fatto che sia in WordPress o altri CMS. Un’analisi dettagliata dei tuoi log ti sorprenderebbe.
Sei ancora così convinto che “tanto nessuno tenterà di violare il mio WordPress”?
Nessun tentativo di violazione, posso stare tranquillo?
Potrebbe anche essere che non trovi nessun IP. Non rallegrartene troppo, è solo fortuna, semplicemente nessuno tra i tanti software che scansionano la rete alla ricerca di IP da violare, non è ancora passato sul tuo.
Ma prima o poi succederà, è solo questione di tempo. Torna a riguardare il plugin tra qualche settimana.
Ho installato il plugin, posso stare tranquillo?
No, o meglio, puoi stare relativamente tranquillo per quel tipo particolare di violazione chiamata brute force, ma non è l’unica di cui ti dovresti preoccupare.
Ci sono vari aspetti della sicurezza di base, troppo spesso trascurati che invece dovrebbero essere insegnati come il Vangelo, di cui dovresti preoccuparti. Non ti allarmare, le precauzioni di base sono attuabili con relativa facilità.
Poi ci sono aspetti avanzati, più complicati.
In ogni caso, che tu adotti anche solo i fondamentali o che ti spinga anche oltre, per proteggere i tuoi dati, il tuo WordPress ti ringrazierà per tutto ciò che farai per renderlo più sicuro.
Anche i tuoi lettori (o i tuoi clienti) ti ringrazieranno, perché troveranno i tuoi servizi sempre disponibili.
Cosa ci deve insegnare tutto questo?
- La sicurezza non va mai trascurata.
- Un blog, se non è famoso o ha poche visite, non è al sicuro per questo.
- I fondamentali della sicurezza per WordPress sono relativamente facili da applicare.
- Se il tuo WordPress è più sicuro, i tuoi sonni sono più tranquilli.
[button color=”teal” link=”https://robrota.com/contatto/” window=”true”]Contattami per la sicurezza del tuo WordPress![/button]
Foto: Roberto Rota
6 risposte
Ciao Rob … veramente interessanti i tuoi post.
Una domanda … il plugin che hai indicato dice che è compatibile fino alla versione 3.3.2. Lo hai sperimentato con la 3.6.1 ?
Ciao Alessandro.
Sì, è in uso su molti dei blog/siti che amministro, compreso questo, e fa egregiamente il suo lavoro senza effetti collaterali 😉
Ci sono delle alternative più recenti, ma non le ho ancora provate.
Inoltre mi fido di alcuni “guru” americani di WP, che continuano a consigliare questo.
rob
Grazie Roberto dell’articolo.
Il mio sito (basato su wordpress) e’ stato oggetto di attacchi centinaia di volte negli ultimi 6 mesi e il plugin da te indicato mi ha “salvato” parecchie volte da brutte sorprese.
Per stare un po’ piu’ sicuro ho anche installato Wordfence e Better WP Security.
Ma come dici tu, non c’e solo l’istallazione di wordpress da tenere presente, gli accessi indesiderati con ftp e all’host del sito possono essere veramente dannosi ed apprezzo moltissimo le persone come te che cercano di mettere in guardia gli utenti da sorprese indesiderate.
Ciao Giorgio, i plugin per la sicurezza possono essere un’alterativa, in particolare Better WP Security, ma io tendo a non abusarne perché sono comunque plugin molto invasivi e spesso riescono pure a creare dei malfunzionamenti, mentre io preferisco avere maggior controllo su quello che avviene nel mio codice.
Il discorso FTP (da non usare) e Hosting è vero sono discorsi a parte, ma è anche vero che dovrebbero essere visti a monte degli interventi sul CMS.
Un hosting insicuro vanifica tutto quello che tu puoi far per proteggerti a livello di codice.
Ma questo è un altro discorso, che mi ero ripromesso di approfondire in un secondo tempo 😉
rob
Interessantissimo articolo ! Grazie Roberto ! I tuoi consigli sono una manna !
Grazie a te 😉