Tratto dagli esimi contenuti dell’ottimo guvnr.com, che non posso che consigliare a tutti di visitare nella sua intierezza (dà molti altri consigli, anche meno immediati!), anche se serve un po’ di dimestichezza con la lingua d’Albione.
Ci sono alcuni cybercriminali che non aspettano altro di pigliare in castagna un sito web, in modo da poterlo trasformare in un ricettacolo di malware per i suoi visitatori. Poi abbiamo anche una serie di ragazzini che ama divertirsi con il defacing, piazzando un’immagine (di solito qualche strano messaggio in turco) al posto del vostro sito. Infine ci sono i concorrenti, quelli più o meno abili tecnicamente e con un animo nero con il carbone. Questa è una piccola, incompleta lista di tutti quelli che vorrebbero fare a pezzi il vostro blog se solo gli lasciate il tempo e il modo per farlo.
Non è divertente ricostruire i pezzi dopo un’invasione, il downtime potrebbe essere prolungato, mentre cercate le cause e le riparate. E se siete su WordPress, dovete sapere che sicuramente un’installazione base non è invincibile per chi conosca bene la piattaforma. Quelli che seguono sono dei suggerimenti generici, di mero buonsenso, che tutti noi blogger wordpressiani più o meno dovremmo seguire.
1. Usate sempre una password difficile da scoprire, dove difficile sta per “attualmente non intuibile con le tecnologie a disposizione dell’uomo”. Una soluzione è una sequenza di termini maiuscoli e minuscoli con numeri e soprattutto caratteri speciali (non considerati nelle rainbow tables). Un’altra soluzione è una frase, non una semplice parola. La seconda è lunga, ma oggettivamente più facile da ricordare di a€r!#W1dL. Anche programmi come RoboForm sono piuttosto sicuri, e una scelta razionale.
2. Aggiornate WordPress all’ultima versione disponibile. Purtroppo è un incubo per chi gestisce un sito, perchè il pericolo di problemi di compatibilità con il proprio tema o i plugin è alquanto concreto. In ogni caso, dalla versione 2.7 le cose sono più facili perchè c’è un tasto “aggiorna” che pare funzionare parecchio bene!
3. Aggiornate i plugin: le falle di sicurezza peggiori e più insidiose sono spesso nei plugin. Venite notificati di aggiornamenti disponibili sulla vostra bacheca.
4. Create un nuovo utente con un nick diverso dall’username. Concedetegli i privilegi di amministratore. Fate login con esso e… Cancellate l’originale utente Admin! Rendiamo la vita dei presunti hacker un pelo più difficile :D.
5. Altro dettaglio da occultare assolutamente è la versione di WordPress che state usando. Cancellate questo rigo da header.php:
(cercatelo con il vostro editor). Non serve a nulla tranne che a pubblicizzare questa informazione, e non è una buona idea.
6. E per finire, cancellate le informazioni sui vostri plugin. Se andando sul link http://ESEMPIO.COM/wp-content/plugins scoprite la lista dei vostri plugin, è un problema. Idealmente, dovreste vedere una pagina 404 Not Found o (più probabile) 403 Forbidden. Per risolvere questo buco create nella directory dei plugin o un file .htacces, ed inserite in esso questo testo:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress
dovrà essere inserito nella cartella /wp-content. Se non potete usare file .htaccess, potete sempre creare un file index.html.
Ci sono altri metodi ed altre difese più avanzate di queste, ma per oggi mi accontento di questi suggerimenti “base”. In ogni caso, ricordatevi sempre di fare il backup dei vostri file e del database di WordPress regolarmente.
I commenti sono chiusi.