Sicurezza WordPress

Il tempo che dedico a ripristinare siti WordPress, e negozi WooCommerce, dopo che hanno subito un attacco da parte di pirati informatici, è una parte integrante del mio lavoro.

L’importanza della prevenzione

Osservando i file di log (quei file che vengono generati dalle applicazioni e che servono a noi tecnici per sapere cosa succede dietro le quinte) , ogni giorno sempre più siti in WordPress vengono attaccati, fino a 10 volte al minuto per alcuni siti.

Una buona parte di questi attacchi non sortisce alcun effetto. Altre volte, invece, riescono a penetrare le misure di sicurezza e prendono il controllo della piattaforma.

In questi casi, nelle migliori delle ipotesi, il cliente se ne rende conto e, pagando il servizio di ripristino, intervengo per ripristinare le normali funzionalità del sito.

Nei casi peggiori, il cliente non ha modo di rendersi conto della violazione con la conseguenza che chi ha attaccato il sito continua ad avere libero accesso ai dati e alle informazioni conservate all’interno del sito.

Se non vuoi trovarti ad affrontare anche te queste spese e correndo il rischio inutile di mettere a repentaglio la sicurezza dei tuoi clienti, ti suggerisco vivamente di seguire questo articolo. Al termine avrai una piattaforma che, anche se non ti tutela al 100% da eventuali attacchi, riesce a mettere in difficolta la maggioranza dei male intenzionati.

In passato ho già scritto del materiale inerente la sicurezza informatica. Anche se sono ottime strategie, hanno lo svantaggio di essere poco accessibili per un utente con poche o medie competenze.

Per questo motivo ho cercato delle soluzioni che siano di facile implementazione qualsiasi sia il tuo livello e che offrono il giusto compromesso con il livello di protezione raggiunto.

Cominciamo subito installando il plugin All In One WP Security & Firewall.

Installare il plugin

Per aggiungere un nuovo plugin su WordPress, clicca sulla voce corrispondente del menù di sinistra (vedi la freccia indicata nell’immagine).

Scrivi “All In One WP Security & Firewall” (senza usare le virgolette) nelle casella “Cerca Plugin”.

Il primo box, in alto a sinistra, contiene le informazioni del plugin. Clicca sul tasto “Installa Adesso”. Dopo la conferma ti verrà chiesto se lo vuoi attivare subito. Conferma nuovamente e il plugin terminerà l’installazione.

La Bacheca

Con il termine Bacheca, generalmente si intende la pagina riepilogativa (Dashboard in inglese). Per aprire quella del plugin basta selezionare la voce del menu di sinistra ‘Sicurezza WP’.

La pagina che si apre è ricca di elementi. Non lasciarti impressionare dalla quantità di informazioni ma, per il momento, concentrati solo sull’indicatore sullo Stato della Sicurezza e sullo Stato delle Caratteristiche Critiche.

Non preoccuparti se l’indicatore di stato sulla sicurezza è sul rosso o sul giallo. Grazie al box sullo stato delle caratteristiche critiche è possibile portarlo velocemente sul verde.

Configurazione base: Le caratteristiche critiche

Lo stato delle caratteristiche Critiche mostra 4 voci. Devono essere portate almeno 3 sul verde. Vediamo il loro significato e come si configurano in pochi passaggi.

Nome Utente Admin

La maggior parte delle persone usa il nome ‘admin’ per accedere al pannello di controllo di WordPress. Se anche tu usi questo user, sappi che ad un pirata basta ‘azzeccare’ la password per entrare.

Rendigli la vita più difficile modificando il nome ‘admin’ con uno a tua scelta. Le possibilità di indovinare, oltre alla password, anche il nome si riducono drasticamente.

Una volta che sei entrato nella voce basta che scegli il nome che vuoi utilizzare e il plugin aggiornerà WordPress.

Ricordati che, dopo avere apportato la modifica, al prossimo login su WordPress devi cambiare i dati, se questi sono salvati nel browser!

Blocco Login

Per rendere la vita ancora più difficile a chi cerca di entrare usando ripetuti tentativi, questa opzione blocca l’accesso a chi sbaglia la password un certo numero di volte.

Per dirla in parole ancora più semplici, se io volessi provare a entrare nel tuo sito usando la forza bruto, comincerei a scrivere:

user: admin
password: a
user: admin
password: b
...

Se stai pensando che, scrivendo a mano, prima di arrivare a indovinare la tua password ci vogliono degli anni, devi sapere che esistono molte applicazioni che lo fanno al posto mio in pochissimi secondi.

Ecco perché è importante limitare il numero di tentativi che un certo utente/macchina può fare dal medesimo indirizzo. Vediamo come impostare il plugin. Per prima cosa devi spuntare la prima voce ‘Attiva Funzioni Blocco Login’ per attivare questa funzione.

Di solito uso queste impostazioni per i miei clienti, ma sentiti libero di usare qualsiasi valore vuoi:

  • Max Tentativi Login 3
  • Max Tentativi Login 5
  • Tempo Durata Blocco 10

Che tradotto significa: dopo 3 tentativi nel giro di 5 minuti, il sistema impedisce nuovi login per 10 minuti al solito utente/programma.

Salva e passa al prossimo punto. Le altre voci le guardiamo nei prossimi articoli.

Permessi File

Questa voce è piuttosto complicata da spiegare in poche righe. Visto che lo scopo di questo articolo è di impostare velocemente il plugin, rimando l’impostazione di questa voce ad un articolo appositamente dedicato.

Firewall Base

Il muro di fuoco (Firewall) è un ostacolo che si interpone tra chi attacca e il tuo sito. Il plugin ti permette di attivare 3 livelli di protezione differenti:

  • Attiva Protezione Firewall Base
  • Attiva Protezione Pingback
  • Blocca gli accessi al file debug.log

Attiva subito la prima e la terza.

Per quanto riguarda la seconda bisogna che ti faccia una domanda: usi pannelli esterni per collegarti a WordPress, come per esempio Blogo? allora la devi lasciare disabilitata. Se invece ti colleghi a WordPress solo dal pannello di amministrazione, abilita questa voce senza nessun problema.

Mettere in sicurezza il database

Il prefisso DB (diminutivo di DataBase, base di dati o semplicemente archivio per noi Italiani) è una serie di lettere che vengono aggiunte all’inizio di ogni tabella di WordPress.

Piccolo approfondimento solo per i curiosi:

Il tuo DataBase lo puoi usare per archiviare le informazioni anche di altre piattaforma. Puoi evitare che WordPress si sbagli e usi le altre tabelle al posto delle sue. Per esempio la tabella degli utenti ‘users’ è frequentemente usata da tutte le piattaforme che gestiscono degli utenti. Aggiungere un prefisso alla tabella, come per esempio ‘wp_users’, la rende unica per WordPress.

Un attacco può tentare la lettura delle tabelle, mettendo a rischio il tuo sito. Se cambi il suffisso, per esempio da ‘wp_users’ a ‘xyz_user’, tutti i tentativi di ottenere la lista degli utenti sarà vano.

Ma basta parlare e passiamo ai fatti. Se il tuo suffisso non è wp_ allora sei già a posto e puoi passare al prossimo capitolo. Se invece possiedi sempre il suffisso di default, spunta la casella ‘Genera un Nuovo Prefisso Tabelle DB’ e premi il bottone ‘Cambia Prefisso DB’. Basta!

Un ulteriore passo in avanti verso una maggiore sicurezza del tuo sito è stato compiuto.

Backup DB

Passa al tab ‘Backup DB’. Il backup ti permette di scattare un’istantanea del tuo archivio e di salvarlo in un file. Per il momento non preoccupiamoci di un eventuale ripristino. Ce ne occuperemo solo se dovesse essere realmente necessario.

Con questa voce andiamo invece a pianificare un salvataggio regolare in modo che, se un giorno dovesse succedere qualcosa, sarà sempre possibile il recupero e la riattivazione all’ultima versione.

Per prima cosa spunta la voce ‘Attiva Programmazione Automatica Backup’. Scegli l’intervallo di tempo che intercorre tra due salvataggi e il numero di salvataggi da conservare.

Io preferisco non inviarlo tramite email perché il database può essere veramente pesante e occupare molto spazio. Preferisco l’accesso in FTP per scaricarlo.

Salva le impostazioni e continua.

Scopri quanto è sicura la tua password

Ti sei accorto che sempre più servizi ti chiedono una password sempre più complesse? Non si tratta di una moda passeggera: il motivo è la diffusone di computer sempre più potenti.

Ma cosa c’entra la velocità dei computer con la complessità della password? La risposta è molto semplice: un computer molto potente è capace di generare, e testare, molte password in un breve lasso di tempo.

Questo significa che una password formata da un ristretto numero di caratteri sarà più semplice da trovare rispetto ad una formata da un set di caratteri maggiore. Nota bene che non sto parlando solo di lunghezza ma di set dei caratteri.

Non è sufficiente avere una password lunga ma deve essere composta da un set di caratteri esteso!

Estendere il set di caratteri

Normalmente viene utilizzato l’alfabeto congiuntamente alle cifre numeriche, per un totale di 36 caratteri. Se a queste aggiungiamo i tanto odiati caratteri alfanumerici e le lettere maiuscole estendiamo il set a ben 92 caratteri.

Senza entrare nel merito di formule matematiche, vediamo quanto sono le combinazioni possibili con una combinazione formata da 8 caratteri:

  • Numero di combinazioni per forzarne una formata dal set base di caratteri: 2.821.109.907.456;
  • Numero di combinazioni per forzarne una formata dal set esteso di caratteri: 7.213.895.789.838.336.

A parità di lunghezza, un set di caratteri completo, permette di aumentare di oltre 2500 volte il livello di difficoltà necessaria per forzare una password.

Il test

Come sempre, la pratica è molto più semplice della teoria. Apri il menù ‘Sicurezza WP’ e seleziona la voce ‘Account Utenti’.

In alto trovi 3 tab. Il primo, ‘Nome Utente WP’ lo abbiamo visto qualche paragrafo sopra.

Seleziona Password. Adesso puoi cominciare a divertirti inserendo nel box ‘Iniziare a digitare una password.’. Ripeti l’operazione le volte che vuoi e confronta i risultati valutandone l’affidabilità di ciascuna.

Malware in WordPress: quando è troppo tardi

Non sei riuscito a mettere in sicurezza il tuo sito o le misure che hai adottato non sono state sufficienti? Il tuo provider ti ha bloccato? Il contagio è avvenuto e ora non ti resta che eliminare il problema.

Ecco un modo semplice, ma efficace, per rintracciare ed eliminare automaticamente i malware dal tuo blog. Iniziamo subito con l’installazione del Plugin Anti-Malware Security and Brute-Force Firewall.

La prima scansione

Dopo l’attivazione puoi eseguire la tua prima scansione. Apri la pagina seguendo il link ‘Scan Settings’ nella lista dei Plugin oppure selezionando il menù di sinistra ‘Anti-Malware -> Scan Settings’.

La pagina che si apre è piena di messaggi di avvertimento in rossi. Non è niente di preoccupante, ti avverte che non hai la lista dei Malware aggiornata. Quindi procediamo subito a procurarcene una.

Il Plugin è gratuito ma richiede una chiave per accedere alla lista dei Malware. Procurarti la chiave è questione di un click.

Premi il tasto ‘Get FREE Key!’ come indicato dalla freccia. Subito dopo avere recuperato la chiave ti chiede di effettuare la registrazione. Compila i dati richiesti e Registrati. Infine scarica la lista premendo il bottone ‘Download new definitions’.

Adesso è tutto verde tranne la voce che ti invita a fare una donazione. Se credi che il Plugin ti è stato utile a risolvere il problema prendi in considerazione la possibilità di devolvere qualcosa agli sviluppatori (io non sono uno di questi e non ci guadagno assolutamente niente dicendoti ciò 🙂 ).

Avvia la scansione premendo il tasto ‘Run Complete Scan’.

Prenditela comoda

La scansione è partita e a te non resta che aspettare il termine. Ricordati che non puoi chiudere la finestra fino alla fine, cioè quando la barra arriva al 100%.

Fortunatamente io non ho schermate da mostrarti di esiti postivi. Per esperienza diretta posso comunque dirti che, nell’eventualità il tuo WordPress fosse infetto da Malware, la rimozione avviene con la semplice pressione di un tasto.

Per problemi o dubbi ti invito a consultare il sito ufficiale e in particolare alla galleria di schermate. Ti renderai conto della semplicità e della potenza di questo strumento.

About the Author Francesco Mosca

Appassionato di informatica dai tempi del Commodore 64. Il mio lavoro consiste nel fornire consulenza agli imprenditori che vogliono aumentare clienti e fatturato usando WordPress e WooCommerce.

Lascia un commento: