Sicurezza WordPress - 5 principi da seguire per proteggere il tuo sito

Quante volte hai considerato la sicurezza di WordPress solo una volta completato il tuo sito? Quante volte hai installato un plugin di sicurezza e hai pensato che fosse abbastanza? “Sicurezza” non significa installare un plugin poco prima del lancio!

L’ospite del webinar di questo mese è stato Thomas Vitale, ingegnere software in Systematic e figura di spicco della community WordPress internazionale, appassionato di sviluppo web e di architetture software e particolarmente affezionato ai temi della sicurezza informatica e della privacy.
Thomas ci ha spiegato come rendere sicuro il tuo sito in pochi semplici passi che non si riducono però alla sola installazione di qualche plugin.

Come sempre vi chiedo di commentare il webinar (qui o sul canale YouTube), in modo da avere un feedback su come è andato e su come vorreste che fossero i prossimi. Sentitevi liberi di dare suggerimenti e di richiedere gli argomenti futuri che vorreste siano affrontati. Vi consiglio di dare uno sguardo anche agli altri nostri webinar sul canale YouTube di SiteGround Italia

Infine qualche interessante contenuto da scaricare:

Slide della presentazione di Thomas Vitale
eBook gratuito sulla sicurezza WordPress

Nota: eravate tantissimi anche questa volta e non siamo riusciti a rispondere a tutte le domande in diretta, ma non preoccupatevi. Abbiamo già girato tutte le domande ad Andrea e qui di seguito potete trovare le sue risposte.

Come mi accorgo che il mio sito è infetto? Possono capitare situazioni in cui non ci sono segni evidenti?

Un sito che è stato attaccato con successo può presentare segni evidenti, ma non sempre è così. Anzi, spesso gli attacchi più dannosi sono quelli che non presentano segni evidenti durante il normale utilizzo. Per questo motivo è importante pianificare una strategia per il monitoraggio costante del sito e ricorrere a strumenti specifici per attuarla.

Esiste un modo per limitare che utenti/bot provenienti da altri paesi possano accedere al mio sito su WordPress?

È possibile bloccare classi di indirizzi IP assegnati a provider di specifici Paesi, ma è comunque possibile accedere al sito da quei Paesi se si ricorre, ad esempio, a VPN.

Directory traversal attack. Più volte ho subito attacchi trasversali su tutti i siti ospitati su unico account hosting. Al di là dell’ovvio (distribuisci i siti su più account, tieni aggiornato WP, ecc… ), esistono altre soluzioni efficaci a livello server / cPanel?

In generale, per prevenire questo tipo di attacco è bene assicurarsi di aver assegnato i giusti permessi a tutte le cartelle e file. È poi importante fare il sanitizing dell’input dell’utente e filtrare le richieste malevole. Come già detto, il software deve essere aggiornato, non solo WordPress, ma anche il server. Se si ospitano più siti dallo stesso hosting provider (hosting condivisi, server gestiti…), il provider ha di solito la responsabilità di garantire un adeguato livello di sicurezza tale da non permettere a un sito attaccato di infettare altri siti ospitati nello stesso server.

Attacchi al DB. Periodicamente abbiamo una richiesta improvvisa da 4 mln di query in 4 secondi sul db e, inevitabilmente, il server salta e dobbiamo riavviare il db. Esiste una difesa per questo genere di attacchi?

Si tratta di attacchi di denial-of-service, i più difficili da contrastare. Alcune tecniche per ridurre il rischio includono l’uso di proxy che filtrano le richieste, bloccando quelle ritenute dannose (es. CDN e firewall). Spesso tali attacchi sono rivolti contro la pagina di login del sito. In quel caso si parla di brute-force attack. Molti strumenti dedicati alla sicurezza di WordPress forniscono funzionalità per contrastare brute-force attack e bloccare richieste provenienti da IP appartenenti a blacklist conosciute.

Ogni giorno sul mio sito WordPress si aggiungono alcuni utenti fake. Da alcuni al giorno ad alcune decine. Per ognuno mi arriva una mail che mi segnala: Nuovo utente registrato sul sito. Ho installato sul sito Mail Poet e il form per l’iscrizione alla mailing list ma questi utenti fake non arrivano tramite quel form. Mi sono chiesto se arrivassero tramite il Role Editor, ma come? Puoi aiutarmi?

Consiglio di verificare se l’opzione “Chiunque può registrarsi” sia selezionata in Impostazioni > Generali > Iscrizione. Quando è attiva, qualsiasi utente può accedere alla pagina wp-shared/step1.htm e creare un account nel sito. Se il sito deve prevedere effettivamente la registrazione libera, è bene adottare misure per bloccare la creazioni di account fake, ad esempio attraverso CAPTCHA.

Impostare sul nostro server delle rotte statiche verso gli IP della CDN ed eliminare il default gw dal server può essere già una buona rotta per un WordPress dove nessuno può registrarsi e modificare contenuti o commentare? (Sempre dopo aver impostato le politiche base di sicurezza)

Se per le proprie esigenze è sufficiente servire un sito statico, può essere senz’altro una strada percorribile.

Siteground offre dei backup automatici giornalieri? Di quanti giorni è la retention?

Si, eseguiamo ogni giorno un backup automatico e lo conserviamo fino a 30 giorni. Avrai quindi sempre a disposizione gli ultimi 30 backup giornalieri da ripristinare in qualsiasi momento tu voglia.