La sicurezza ricopre sempre il primo posto nella realizzazione di un sito web, e se non è al primo sicuramente è fra le preoccupazioni di un webmaster accorto.

Di certo tutto il baccano che si è creato attorno alle attività di hacking ha contribuito a seminare il terrore in materia di security. Tutte le storie spaventose su come le grandi aziende quali eBay, Target, Adobe, Steam e altri che hanno sofferto di gravi violazioni dei dati, rende l’idea del livello di allarmismo a cui si è arrivati.

Ci si potrebbe consolare pensando che, con tutti questi pesci grossi, perché mai un hacker dovrebbe concentrarsi sul mio piccolo sito?
I dati, sfortunatamente, dimostrano il contrario.

I piccoli siti vengono infettati con la stessa frequenza di quelli grandi, ce lo dice un sondaggio effettuato nel 2013 dalla National Small Business Association, secondo cui un buon 44% delle aziende attaccate sono PMI.

Decine di migliaia di siti web vengono infettati ogni giorno, se è difficile da credere basta leggere il report del 2016 prodotto da Sucuri in cui solo a marzo del 2016 cinquanta milioni di utenti sono stati avvisati che il sito web che stavano visitando stava cercando di rubare informazioni o installare software dannosi.
A marzo del 2015 erano 17milioni.
La parte migliore è che la maggior parte degli amministratori dei siti non sanno neanche che il loro sito è infetto e sicuramente non vengono avvisati, quindi gli è quasi impossibile fare prevenzione.

Nessun CMS è invulnerabile al 100% e gli hacker stanno evolvendo i loro metodi velocemente tanto quanto gli sviluppatori stanno correggendo le vulnerabilità.

Ciò che si può fare è correre sempre un po’ più veloce rispetto a loro, utilizzando qualche trucco.

Avrete probabilmente sentito che uno dei modi migliori per sfuggire ad hacker e bot è nascondere il vostro CMS. Su questa questione è ancora aperto un sentito dibattito tra sviluppatori ed esperti di sicurezza, ma per ora andiamo oltre i pro e i contro, che potrete valutare voi, e vediamo come oscurare l’implementazione di WordPress!

Perché nascondere WordPress?

hide-my-wp-wordpress-security-pluginChiariamo subito che WordPress è uno dei CMS più sicuri in circolazione, il suo software viene aggiornato regolarmente per risolvere eventuali vulnerabilità che si presentano.

La sua popolarità però ha un’altra faccia della medaglia. E’ il più conosciuto quindi il più preso di mira.

Gli hackers sanno che i milioni di siti che utilizzano WordPress non ricorrono alle migliori misure di sicurezza per mantenersi sicuri.
Molti di questi siti utilizzano password deboli, versioni non aggiornate con vulnerabilità note o plugin e temi vecchi e non sicuri.
All’ hacker basta sapere quali sono le vulnerabilità presenti e creare un modo per sfruttarle. L’attacco più comune a cui WordPress è soggetto è brute force attacks o HTTP requests. Se non l’avete ancora fatto, leggete l’articolo I 3 attacchi più comuni a cui è soggetto WordPress.

 

Ora però entriamo nel vivo della questione, cosa significa “nascondere” WordPress?

Nascondere WordPress sta a significare il tentativo di oscurare, a qualsiasi persona o bot che tenti di identificare il CMS, il fatto che il vostro sito funzioni su WP.

Nascondere WordPress significa anche nasconderne il numero di versione, modificare i permalink, i nomi dei file, delle sottodirectory per nasconderli dai bots.

Vale veramente la pena oscurarlo quindi?
Precisiamo che non si potrà mai nascondere del tutto, una persona esperta di WordPress e molto competente sarà sempre in grado di rilevarlo.
Inoltre gli esperti di sicurezza ritengono che questa prassi possa far prendere sottogamba la “lotta” alle vulnerabilità, dato che si pensa non vengano scovate.

Nascondere WordPress non vi salverà dall’hacker, ma dato che la maggior dei tentativi di hacking sono realizzati da bots, c’è un’alta percentuale di possibilità di sventare l’attacco.

Come procedere nella pratica.

Si può utilizzare un apposito plugin chiamato Hyde My WP.
Funziona bene come plug-in di sicurezza generale e modifica i permalinks senza variare il posizionamento dei file.

Hide My WP ha una serie di caratteristiche che migliorano la sicurezza di WordPress:

– Cambia i permalinks dei file (come wp-admin) per oscurarli dai bots.

– Rimuove meta informazioni (come il numero di versione) da intestazioni e feed.

– Controlla l’accesso ai file PHP.

– Cambia le sottodirectory di default delle cartelle vulnerabili come wp-content.

– Modifica le query delle URL per proteggerle dalle SQL injections.

– Nasconde i file che possono fornire agli hackers informazioni sull’ installazione di WordPress (come readme.html o license.txt).

– Da’ la possibilità di disabilitare specifici archivi, categorie, tag, post, etc.

– Notifica la presenza di rischi per la sicurezza con il tool “Intrusion Detection System”.

 

Hyde My WP è valutato su Codice Canyon con un punteggio di 4.5 su 5 stelle, è compatibile con la maggior parte dei plug-in di WordPress e l’autore è molto disponibile nel rispondere a richieste di assistenza.

 

Detto ciò, ricapitoliamo comunque i suggerimenti base da mettere sempre in pratica per mantenere la sicurezza del proprio sito in WordPress (perché un solo plugin, come detto, non può bastare):

– Aggiornare sempre WordPress alla versione più recente.
– Mantenere tutti i temi e plug-in aggiornati, eliminando quelli non più attivi e smettere di usare quelli che non vengono più aggiornati.
– Proteggere la pagina di login al backend da attacchi brute force inserendo CAPTCHA e uno o due fattori di autenticazione.

– Installare qualche plug in utile per la sicurezza come iThemes Security  o Bullet Proof Security.

– Munirsi sempre di molte copie di backup.