WordPress è uno dei CMS più utilizzati al mondo, per cui non c’è da stupirsi se molti blog e siti famosi in Italia come Wired.it, MTV News, il blog del Milan (Milan Night), il sito di Alessia Marcuzzi (LaPinella) e molti altri sono stati sviluppati con questo potentissimo mezzo. Nessuno ha dubbi sulla sicurezza di questa piattaforma, ma con qualche accortezza in più in fase di sviluppo è possibile aumentare il livello di protezione e tenere alla larga gli attacchi potenzialmente pericolosi.
Molti sottovalutano la sicurezza del proprio sito affidandosi solo ed esclusivamente alla semplicità di utilizzo di WP (installando il CMS e gestendo in autonomia il proprio blog senza l’aiuto di un esperto), ma trattandosi di siti ad alta visibilità o dedicati a personaggi famosi e, quindi, molto frequentati, possono attirare la curiosità anche di hacker in cerca di notorietà che cercano e scovano, se presenti, le falle non ancora riparate.
Ecco qualche esempio di dettagli che possono essere migliorati nei più comuni di siti e nei blog italiani più visitati creati con WordPress, a tutto vantaggio della sicurezza.
1 – L’utente “admin”
Uno degli errori più comuni è lasciare l’username predefinito durante l’installazione di WordPress. Molti sottovalutano questo aspetto solo perché “esiste la password”, ma se qualche malintenzionato tenta un attacco Brute Force (attacchi con dizionari che provano varie combinazioni di username/password) questo significa regalargli metà del lavoro.
Come si fa a sapere che molti utilizzano questo username? Semplice: lo dice WordPress stesso tentando di effettuare il login con una password a caso.
Blog LaPinella.com di Alessia Marcuzzi
(classificato al 2° posto dei fashion blog più seguiti in Italia nel 2013)
2 – Tenere WordPress aggiornato
Se il computer più sicuro al mondo è un computer sconnesso dalla rete, la stessa cosa vale per i siti web. Non esiste un sito inattaccabile, tuttavia WordPress migliora sotto questa aspetto grazie ai frequenti aggiornamenti. Per questo è fondamentale installare gli aggiornamenti man mano che vengono messi a disposizione.
Purtroppo (e per fortuna, per chi si occupa di sicurezza informatica) esistono molti siti pieni di archivi di exploit di WordPress e altri CMS, per cui se un hacker ha voglia di sferrare un attacco una delle prime cose che farà è verificare che versione stiamo utilizzando e individuare quale exploit utilizzare.
Wired.it
Utilizza la versione rilasciata il 24 ottobre 2013.
Ha 2 vulnerabilità per autenticarsi
3 – Il file “readme.html”
Il file “readme.html” viene creato ogni volta che si aggiorna WordPress. Che si chiami così non significa che debbano leggerlo anche ospiti indesiderati. Di tutti i siti analizzati per questo articolo, solo in due casi il file è stato cancellato e questa è una delle prime vulnerabilità che viene segnalata da WPScan.
La soluzione più semplice? Eliminatelo.
4 – Proteggere l’area di login
In tutti i siti presi in esame:
– l’area di amministrazione è facilmente raggiungibile tramite il classico “wp-admin” oppure tramite “wp-login.php”
– il login non è protetto da Brute Force
– i messaggi di errore sono abilitati e pronti a dare informazioni utili a persone sgradite.
5 – Aggiornare i plug-in
I plug-in non sono sempre sicuri, molti di questi (soprattutto se gratuiti) sono stati scritti dalla comunità degli sviluppatori, altri da programmatori meno esperti e, quindi, non sempre attendibili. Come per la versione di WordPress, è necessario aggiornare anche i plug-in accertandosi prima della loro veridicità, in quanto possono contenere il più alto rischio per il sito!
6 – La query per scoprire gli utenti del sito
Se il sito non è stato protetto, tramite una semplice query è possibile trovare gli username di un sito sviluppato in WordPress. Solitamente per sapere l’username dell’utente amministratore basta aggiungere “/?author=1” dopo l’URL del sito, per gli altri (amministratori e non) basta incrementare il numero finale (non sempre tutti gli utenti sono numerati in modo corretto).
Qualche esempio?
http://ilsitodellozoo.com/?author=1 (all’interno della pagina)
http://www.wired.it/?author=2 (all’interno dell’URL)
http://www.mtvnews.it/?author=8 (all’interno dell’URL)
http://www.milannight.com/?author=1 (all’interno dell’URL)
http://www.lapinella.com/?author=2 (all’interno dell’URL)
La sicurezza può essere implementata con qualche accorgimento in più; risulta facile, infatti, reperire informazioni da un sito WordPress non protetto a dovere anche se, purtroppo, il sito inattaccabile fa ancora parte della mitologia informatica.
Volete risolvere questi problemi? Fateci sapere 🙂