BLINDIAMO IL NOSTRO CMS
Il tuo lavoro è importante più di ogni altra cosa ? tuteliamo il tuo lavoro digitale .
Vediamo COME PROTEGGERE WORDPRESS.
WordPress è di gran lunga il CMS maggiormente preso di mira dagli
hacker. Rendiamo la vita più difficile a chi vuole bucare il nostro sito!
Le best practice e i migliori plugin per corazzare un’installazione di WordPress
DIFFICOLTA’
SEMPLICE
Bene iniziamo.
La sicurezza di un sito Internet dipende da tantissimi fattori. Dai server utilizzati alla configurazione dell’hosting, senza dimenticare lo screening di tutti coloro che hanno un accesso da amministratore e naturalmente all’aggiornamento del Content Management System. Come ben sa chi si occupa disicurezza, sono tante le potenziali falle di sicurezza e per tenere tutte sotto controllo è necessario un team di esperti. Naturalmente non tutti hanno queste esigenze. Se chi accumula i dati di centinaia di migliaia di persone deve necessariamente fare estrema attenzione, e può presumibilmente permettersi di investire parte del fatturato in un gruppo di esperti, nella maggior parte dei casi i siti non ospitano dati così importanti da dover mettere in piedi un gruppo di esperti. Questo non significa che bisogna prendere sottogamba la sicurezza: anche un sito con poco traffico e privo di ecommerce può essere preso di mira da un hacker che vuole fare esperienza con bersagli facili o vantarsi con gli amici delle sue capacità.
MEGLIO TENERE SEMPRE AGGIORNATI WORDPRESS E I SUOI PLUGIN
La maggior parte dei defacing (defacciamenti) e degli attacchi ai siti realizzati in WordPress sono legati a dei bug non sistemati. Piccole banalità che però sono in grado di compromettere la sicurezza di un sistema altrimenti a prova di bomba. Ci è capitato spesso di trovarci di fronte a siti commerciali che installavano versioni vecchie di un anno o più senza che nessuno si curasse di effettuare un aggiornamento almeno delle componenti principali. Questo accade perché molti committenti, una volta fatto creare un sito, non si preoccupano di pagare anche per quel minimo di
assistenza necessaria per fare una costante verifica delle basi. Una scelta miope, ovviamente: per risparmiare poche centinaia di euro all’anno si rischia di dover spendere cifre di molti ordini di grandezza superiore per rimediare ai danni.
E dire che non ci vuole un esperto per effettuare queste semplici operazioni: basta accedere con un account da amministratore e verificare la presenza di aggiornamenti importanti, sia dell’installazione di WordPress, sia dei plugin utilizzati sul sito.
In caso di software non aggiornato, solitamente basterà un clic e il sistema si occuperà del download e dell’installazione delle patch più recenti. In alcuni casi potrebbero esserci delle incompatibilità fra la nuova versione del Content Management System e alcuni dei plugin più anziani, se questi non sono aggiornati con frequenza. Solitamente si verrà informati del problema e si potrà rimandare l’aggiornamento sino all’uscita di una nuova release del plugin. In casi più rari può succedere che il plugin non sia
più sviluppato. In questi casi la soluzione deve essere radicale: eliminarlo e sostituirlo con uno che svolga le stesse funzioni ma
sia attivamente sviluppato. Tenere una versione ormai obsoleta e insicura del CMS solo per garantirsi la compatibilità con qualche vecchio add-on è
una scelta poco lungimirante anche se – purtroppo – abbastanza diffusa.
RIPARTIAMO DALLE BASI
Una volta verificato che tutto sia aggiornato, è necessario verificare le impostazioni di sicurezza di base per assicurarsi che tutto sia impostato
correttamente. Solitamente questa operazione viene fatta all’atto dell’installazione, ma capita raramente che gli amministratori si preoccupino di verificare che col tempo qualcuno non abbia toccato
qualche settaggio o che tutto sia esattamente come deve essere. ll primo aspetto da verificare sono le password: da quanto non vengono cambiate? Il nostro consiglio è di farlo con una certa frequenza, almeno una volta ogni 3 mesi, ma nella maggior parte dei casi questo non avviene, in parte perché magari al CMS accedono anche utenti poco esperti di informatica, magari per inserire i contenuti del blog o effettuare altri tipi di operazioni.
Per quanto ci rendiamo conto che a volte possa risultare una scocciatura,
il consiglio è quello di imporre delle policy più stringenti per quanto concerne le password, imponendo il cambio costante a chiunque abbia accesso al sistema. Farlo è di una semplicità disarmante e basta andare nel
menu Users e da qui sulla voce Expire Passwords. In questa schermata si potrà impostare il numero di giorni per cui considerare una password
valida: Password Require Reset Every XXX days, (consigliamo di non andare oltre i 180 giorni) e i ruoli al quale si applica tale regola. Consigliamo di includere anche le utenze dagli admin.
Fatto questo, dopo 180 giorni dal cambio di password quando gli
utenti faranno il successivo login seguiranno una semplice procedura guidata per aggiornare le credenziali. Se gli utenti sono parecchi e poco esperti inizialmente ci sarà qualche scocciatura in più – che si concretizzerà in un picco di richieste di assistenza – ma nell’arco di poco tempo la procedura sarà digerita. Inutile ricordare l’importanza di scegliere password robuste e sicure. Affidarsi al tool di generazione automatica incluso in WordPress offre ottime garanzie sotto questo profilo. Se accedendo a un sistema ci rendiamo conto che le password non sono state cambiate da anni, è consigliabile un reset immediato di tutti gli account:
basta cliccare sulla voce Users/Emergency Password Reset. Non si tratta di paranoia ma di semplice precauzione: negli ultimi sono stati resi pubblici
enormi database che contenevano centinaia di milioni di dati di accesso, che potrebbero includere quelli al nostro sito. Per verificare se la nostra email fa parte della lista di quelle compromesse possiamo sempre andare sul sito https://haveibeenpwned.com e inserire i nostri dati.
I PLUGIN PER LA SICUREZZA CHE VALE LA PENA INSTALLARE
L’installazione base di WordPress sotto il profilo della sicurezza lascia molto a desiderare. Mancano infatti alcune delle più comuni garanzie che troviamo ormai su qualsiasi servizio cloud o anche sui più economici NAS
casalinghi, come l’autenticazione a due fattori. Questa richiede, oltre alla corretta combinazione di email e password, un secondo codice – inviato via email, SMS o app. In questa maniera gli accessi sono sicuri anche nel caso le credenziali siano state sottratte o scoperte tramite attacchi brute force. Per
aggiungere questa fondamentale funzione a WordPress bisogna scaricare uno dei tanti plugin disponibili, come Two Factor o Google Authenticator, che nelle versioni gratuite supportano la verifica tramite app. Potrebbe essere necessario pagare per sbloccare funzionalità aggiuntive come la possibilità di inviare il codice via email o SMS. Dopo aver verificato il corretto funzionamento, siamo ora pronti a installare dei plugin più evoluti
per aggiungere una serie di funzioni avanzate ma allo stesso tempo semplici da gestire anche per chi non è particolarmente esperto di sicurezza. Spicca fra i tanti Wordfence Security (www.wordfence.com)
che permette di accedere gratuitamente alla maggior parte delle sue funzionalità. Non appena installato, consigliamo di effettuare subito una
scansione dell’installazione di WordPress selezionando Scan dal pannello di controllo. Verranno verificati tutti i file di sistema e quelli e relativi a temi e plugin alla ricerca di malware o altre minacce note.
Un hosting non vale l’altro
Possiamo avere fatto del nostro meglio per seguire tutte le buone pratiche e mettere in sicurezza le nostre installazioni di WordPress ma se il punto debole è chi “hosta” il sito, il massimo che possiamo fare è affidarci a frequenti backup. I firewall e le protezioni in tempo reale integrate nei plugin suggeriti in queste pagine possono essere efficaci per mitigare dei problemi ma se ci affidiamo – per esempio – ad Aruba e i suoi server vengono messi fuori gioco da un attacco, possiamo fare poco. Quando scegliemo a chi affidare i servizi dobbiamo sempre verificare che il piano includa degli snapshot giornalieri del server e, soprattutto, che il ripristino sia gratuito o per lo meno abbia un prezzo accessibille.
Siteground per esempio chiede meno di 100 dollari, una cifra non elevata in assoluto, ma che può crescere facilmente se si incontrano frequntemente dei problemi o è necessario ripristinare più siti alla volta. Molto spesso viene trascurata l’assistenza, che invece dovrebbe essere uno dei fattori principali nela sceta. Si spera che capiti molto raramente di dover chiamare
qualcuno per risolvere un problema ma, se è necessario, è fondamentale sapere di poter contare su qualcuno disponibile 24/7, anche durante le feste e – soprattutto – che lo faccia gratuitamente. Possiamo garantirvi che costi elevatissimi degli interventi di emergenza faranno velocemente rimpiangere di non aver speso una manciata di euro in più invece di puntare con poca lungimiranza sul piano più economico.
LEGGI ANCHE: HOSTING SITEGROUND CONVIENE
Attenzione anche alla lingua in cui viene fornito il supporto: alcuni eccellenti servizi includono l’assistenza ma non è detto che sia in italiano, fattore che potrebbe risultare limitante. Fortunatamente l’inglese è una lingua franca adottata dal call center di praticamente tutti i principali provider europei. Verificato che tutto sia a posto possiamo attivare il firewall e le altre opzioni di live monitoring.
Attivarli è semplicissimo grazie a un’interfaccia estremamente user friendly che presenta in maniera chiara tutte le opzioni disponibili. Attivare il firewall e il live traffic monitoring per la protezione dagli attacchi di tipo brute force, SQL injection e simili richiede la semplice spunta di alcune voci e non viene richiesta alcuna competenza. I più esperti potranno però prendere il totale controllo del firewall e adattarlo alle esigenze più specifiche. Comode le funzioni di sicurezza per i login, che permettono di
attivare l’autenticazione a due fattori senza ricorrere a plugin esterni (ma solo per gli utenti Premium) e di fare un audit delle password, alla ricerca di quelle deboli.
Comoda la possibilità di verificare con un click se gli account presenti nel sistema sono nella lista di quelli compromessi. Utilissima, infine, la possibilità di filtrare anche i commenti degli utenti. Le funzioni avanzate disponibili agli utenti Premium sono fortunatamente economiche: una licenza annuale costa solo 99 dollari. Una valida alternativa è Sucuri che pur con nomi differenti offre le stesse opzioni, scansionando in tempo reale l’installazione per proteggerla dagli attacchi noti. Anche in questo caso l’interfaccia è molto intuitiva e per applicare le impostazioni di base basteranno pochi click. Lo scanner contro le minacce è aggiornato in tempo reale anche nella versione gratuita, mentre Wordfence lo aggiorna dopo 30 giorni, a meno di essere utenti Premium. Abbonarsi a Sucuri richiede un abbonamento piuttosto costoso che parte da 200 dollari all’anno ma offre
anche dei servizi di disaster recovery con assistenza da remoto entro 24 ore. IthemeSecurity Pro è un plugin che unisce il meglio dei due precedenti e in più aggiunge una comoda interfaccia per il backup automatico. Sarebbe da consigliarlo senza riserve se non fosse che manca una versione gratuita. Gli 80 dollari all’anno necessari per abbonarsi sono
comunque una cifra più che accessibile.
Configurare le opzioni di base dei plugin di sicurezza è immediato, ma solo gli esperti sapranno sfruttare tutte le funzioni avanzate.
QUANDO NON CI POSSIAMO PERMETTERE IL DOWN
Le soluzioni finora suggerite sono eccellenti per proteggere il sito dalle minacce più comuni e, soprattutto, dagli errori di configurazione e gestione tipici degli utenti meno esperti. I firewall e le protezioni da DDoS garantite da questi servizi sono l’ideale per la maggior parte delle situazioni ma ci sono dei casi dove anche poche ore di down del sito possono portare a danni enormi: pensiamo a un sito di ecommerce durante i saldi o le festività, che se messo in ginocchio anche per pochissimo potrebbe perdere una fetta rilevante del fatturato. Quando il funzionamento ininterrotto è una priorità può essere necessario affidarsi a soluzioni specifiche come Cloudflare utilizzato dalle realtà più importanti per proteggere le loro
attività online dagli attacchi e per garantire la disponibilità dei dati
anche in caso di picchi di accessi. Cloudfare permette di affittare anche i servizi dalle sue CDN (Content Delivery Network), così da non dovere preoccupare della scalabilità del sistema. Certo, sono problemi che non toccano la stragrande maggioranza degli utenti ma il piano base, che
include la protezione da DDoS è gratuito.
Man mano che le esigenze crescono si può decidere di passare a piani più costosi oppure aggiungere singole funzionalità, per cifre che partono da un minimo di 5 dollari mensili. Sotto questo profilo, la granularità offerta da Cloudflare è imbattibile e il sistema è in grado di scalare dalle esigenze di
un comune blogger sino a coprire tutte le necessità di una multinazionale: la sua rete si appoggia infatti su 165 datacenter sparsi per il globo per una capacità totale di ben 25 Tbps. Nonostante l’enormità del network e la complessità del servizio, l’installazione richiede giusto il download di un plugin. Certo, bisogna ammettere che nonostante sia presente un’interfaccia grafica, andare oltre le funzioni base non è banale e richiede tempo e dedizione. Solamente amministratori molto esperti saranno in grado di gestire tutto senza supporto esterno.
UNA CHECKLIST PER RIASSUMERE
Affidarsi a un’installazione nuda e cruda di WordPress non è saggio sotto il profilo della sicurezza. Ecco i passi basilari da compiere per blindare in maniera più che ragionevole il proprio sito, il tutto senza scomodare esperti
di sicurezza o spendere cifre assurde in software.
1) Verificare le password.
Facciamo uno scan di tutti gli account del sito ed eseguiamo un controllo su di un sito come https://haveibeenpwned.com/ per assicurarci che questi dati
non siano disponibili in qualche leak. In caso affermativo, cambiamo subito le password.
2) Prevediamo una policy per il cambio frequente delle password.
Dal pannello delle opzioni assicuriamoci che il sistema obblighi tutti gli utenti a cambiare password almeno ogni 3 mesi. Tramite plugin possiamo
imporre l’uso di password sicure.
3) Bloccare i tentativi di attacchi Brute Force.
Tutti i plugin di sicurezza prevedono il controllo dei login, bloccando l’utenza se vengono falliti un tot di login in un determinato periodo di tempo. Installiamo subito un plugin fra quelli citati e attiviamo la funzione.
4) Facciamo regolarmente una scansione di sicurezza
Possiamo usare un plugin o un servizio online, a seconda delle preferenze, ma è importante effettuare una scansione almeno mensile per assicurarsi che tutto sia a posto e non siamo afflitti da vulnerabilità note.
5) Diamo la giusta importanza
Al backup di tutti i sistemi. Sembra banale, ma molti disastri non sarebbero tali se i gestori si fossero preoccupati di avere snapshot aggiornati e costanti
sia dei server, sia dell’installazione di WordPress e del suo database. Il costo dei servizi per automatizzare queste funzioni è irrisorio: non abbiamo assolutamente nessuna scusa.
LEGGI ANCHE: AMAZON PRIME EDITION GRATIS PER SEMPRE