Come proteggere WordPress dagli attacchi
di - Martedì 22 Aprile 2008 alle 08:33Dopo gli ultimi post scritti su oneCMS riguardanti la sicurezza di WordPress, ovvero Problemi di sicurezza per WordPress 2.5 di Claudio Garau e WP Security Scan, mettere al sicuro WordPress con un plugin di Matteo Campofiorito, cerchiamo di approfondire il discorso relativo al mettere in sicurezza completamente il nostro blog.
“Out of the box”, ovvero fornito così com’è, WordPress non è un sistema sicuro al 100%, perché installando il sistema su un server Web ed esponendolo al mondo senza prendere alcune precauzioni potrebbe portare alla violazione del sistema, con tutte le conseguenze del caso.
Recentemente sono stati segnalati diversi casi di link injection, ovvero pagine che elencano in fondo alla pagina centinaia di link di dubbio gusto. Questo problema non è dovuto a WordPress in sé, bensì alle persone che non hanno curato a dovere la sua configurazione.
Sono molte le operazioni che è necessario eseguire perché WordPress sia messo in completa sicurezza, infatti:
- di default WordPress permette a chiunque di vedere quali plugin avete installato, semplicemente digitando nel browser l’URL “http://indirizzo-del-blog/wp-content/plugins”. Questo perché non vi è nella directory un file index.html vuoto;
- evitiamo di dare a chiunque informazioni sulla versione di WordPress che stiamo usando: conoscere l’esatto numero di versione facilita molto la vita ad un cracker che potrebbe sfruttare un exploit conosciuto per violare WP;
- è necessario configurare un file .htaccess per bloccare l’accesso alle cartelle wp-admin, wp-content e wp-includes;
- conviene modificare il prefisso delle tabelle del database;
- è opportuno (e furbo) cambiare il nome dell’utente amministratore: lasciando l’utente di default admin si facilita il compito ai cracker, che devono solo individuare la password;
- è bene proteggere il file wp-config.php da occhi indiscreti, settando opportuni permessi (come minimo 644).
Per porre rimedio a queste pecche, consiglio di scaricare ed applicare tutti i consigli forniti dal documento intitolato WordPress Security Whitepaper messo a disposizione da BlogSecurity.net, frequentemente aggiornato per poter fornire consigli e rimedi alle ultime scoperte.
Il documento elenca anche alcuni plugin molto utili per mantenere alto il livello di guardia sul vostro blog. Oltre a questo, ricordo alcuni consigli che possono essere cruciali perché non succeda mai niente di spiacevole:
- cambiate frequentemente la password dell’utente amministratore, ricordando di usare password difficili contenti lettere e numeri senza senso;
- aggiornate sempre all’ultima versione del software disponibile;
- controllate spesso le directory sul server per controllare che non vi siano file sospetti.
grazie per le utili informazioni. Provvedo subito ad adottare questi accorgimenti!
di quasigoal - 22 Aprile 2008 - 09:12
Ottimo post, ma considerando che wordpress viene utilizzato da moltissime persone che non hanno una sufficiente preparazione tecnica in fatto di sicurezza (probabilmente la maggioranza)sarebbe ancora più interessante una traduzione dell’articolo citato. Una specie di guida vera e propria, con descrizioni dettagliate delle operazioni da fare per raggiungere un buon livello di sicurezza.
di noliver700 - 22 Aprile 2008 - 14:18
non aggiornate ancora all’ultima versione contiene un bug di sicurezza non ancora risolto
^_^
di www loziorso punto com - 23 Aprile 2008 - 21:46
Questo è sempre un bel problema: ovvero, aggiornare all’ultima versione, per applicare le correzioni ai bugs rilevati nella release precedente, spesso e volentieri porta ad introdurre nel codice nuovi bugs, come è successo con Joomla! 1.5.2 che ha introdotto un bug corretto con la 1.5.3.
Purtroppo questo genere di questioni si ripete nel tempo, in tutti i tipi di software: open source o closed source non è il problema.
Non si può nemmeno dire che il software non sia testato a dovere, probabilmente è la dimensione stessa del progetto a fare in modo che
1) non vengano rilevati tutti i problemi in fase di test per via dell’estensione del codice
2) se esiste un bug, esso viene trovato subito dato che il software è usato da un numero vastissimo di persone, con n-mila configurazioni diverse e esigenze differenti.
Quindi non resta che convivere con questa problematica e decidere cosa fare: aggiornare all’ultima versione per correggere i problemi rilevati e magari esporci a nuovi problemi e sentirci dei beta tester, oppure mantenere una release vecchia con la filosofia “finchè funziona, tengo questa?”
Spesso la seconda opzione è un problema più grave del primo perchè più il tempo passa, più si diffondono le informazioni tra i cracker su come penetrare i sistemi insicuri.
@loziorso, anche la prossima release di WordPress introdurrà dei bugs, se guardi indietro nel tempo tutte le versioni hanno introdotto bugs che poi sono stati risolti e magari anche alcuni mai rilevati.
Detto questo, credo che il software sicuro al 100% non esista :-) .. però deve esserci la mentalità per cercare di renderlo sicuro quanto basta.
di Copes Flavio - 24 Aprile 2008 - 10:38
io volevo dire di aspettare qualche giorno perche a breve esce la pach che risolve il guaio
w wordpress is magic
^_^
di www loziorso punto com - 24 Aprile 2008 - 13:09