Realizzazione siti web

Easyweb Consulting » WordPress ed il fattore sicurezza

WordPress ed il fattore sicurezza

Realizzazione siti web wordpress e il fattore sicurezzaWordPress è sicuramente il CMS più diffuso al mondo per la realizzazione siti web e grazie ad alcuni ottimi plugin sta cominciando ad essere utilizzato anche per la vendita on-line. Il fatto che quasi la metà dei siti nel mondo siano realizzati con WordPress è, da un lato un grande vantaggio in termini di sviluppo e dall’altro in caso di difetti di sicurezza di alcuni plugin, può rappresentare un grave problema per tutta la comunità dei siti sviluppati con questo CMS. In altre parole voglio dire che è vero che il grandissimo numero di siti che sono sviluppati attraverso WordPress impone alla comunità che si occupa dello sviluppo del CMS un continuo aggiornamento anche dal lato della sicurezza. Per lo stesso tempo però se un plugin, per motivi vari, causa una falla nel sistema ci saranno moltissimi siti nel mondo che incontreranno problemi di varia natura. Recentemente, a causa della falla di sicurezza di un plugin, un sito da noi sviluppato è stato oggetto di un attacco da parte di un hacker che ha inserito nel codice di alcuni plugin delle backup door per poter utilizzare il sito  per propri scopi. Un esempio di utilizzo malevolo da parte di un hacker potrebbe essere quello di inserire dei link all’interno di alcune pagine del sito che possono puntare a siti di varia natura. Questi link normalmente non sono facilmente individuabili e nello stesso tempo sono anche difficili da rimuovere in quanto l’hacker predispone una sorta di sicurezza ai propri file. Un atteggiamento responsabile è quello di tenere in alta considerazione il fattore sicurezza. La prima cosa da fare è quella di tenere aggiornati i plugin ed il core di WordPress. Questo consente di implementare automaticamente tutte quegli aggiornamenti legati anche alla sicurezza. WordPress viene costantemente aggiornato e su questo non ci sono problemi, ma per i plugin occorre anche tenere d’occhio l’attività dello sviluppatore, ovvero è necessario capire se plugin installati in un sito sono oggetto di aggiornamento con vengono abbandonati dallo sviluppatore. Questo aspetto è naturalmente importantissimo dato che un plugin obsoleto può essere una falla nella nostra sicurezza. Realizzare un sito Web vuol dire quindi in sostanza anche occuparsi della sicurezza di tutto il sistema.

Usare credenziali con alta sicurezza

Un ulteriore aspetto da tenere in considerazione è l’utilizzo di credenziali di accesso ad alta sicurezza. Recentemente a livello mondiale  è stato lanciato un attacco da parte di numerosi hacker sparsi nel mondo su un determinato account di WordPress. L’account preso di mira è stato naturalmente il più semplice ed il più utilizzato da parte di moltissimi utenti: l’account admin. Spesso infatti gli utilizzatori tendono ad inserire nomi di account e relative password troppo semplici. Inserire ad esempio un account denominato “admin” con la password “paperino” è sicuramente un errore da non commettere durante la realizzazione siti web. Uscendo di casa tutti noi siamo abituati a chiudere la porta a chiave nel miglior modo possibile e così dovremo fare per il nostro sito. Non credo che nessuno di noi per abitudine lasci le chiavi attaccate alla porta.

Plugin di Google Authenticator

Volendo creare un livello di sicurezza maggiore sarebbe utile utilizzare un sistema di doppia verifica. A tal proposito esiste un plugin che utilizza la funzione di Google Authenticator  per dare la possibilità agli utenti di utilizzare oltre alla normale credenziali di WordPress anche un “one time code” automaticamente generato da Google. Questo doppio step rappresenta un fattore essenziale per il miglioramento della sicurezza.

In ogni caso esistono sistemi di prevenzione e di cura in caso di tentativi di attacco o addirittura in caso di attacco già per perpetrato. Anche queste difese sono svolte da determinati plugin di WordPress che sono in grado di effettuare scansioni di tutto il sistema e di informare gli amministratori su talune attività illecite o prevenire gli attacchi da parte di malintenzionati. Parleremo di questi sistemi in uno dei prossimi articoli.

Condividi questo contenuto

Lascia un commento