Torna al blog

WordPress è una piattaforma software sicura?

Cos’è WordPress

WordPress è senza alcun dubbio il “CMS” più usato al mondo. Basti pensare che, al momento in cui scriviamo, secondo i dati forniti da W3Techs il 27,4% dei siti web del pianeta è “orgogliosamente motorizzato da WordPress” (cit.).

“CMS” è l’acronimo in inglese di Content Management System, ovvero Sistema di Gestione dei Contenuti. Una piattaforma software “Open Source”che permette a chiunque di gestire i contenuti di un sito web senza necessariamente avere conoscenze approfondite di web design o più in generale di programmazione web.

WordPress è sicuro?

La domanda che talvolta ci viene posta dai nostri clienti quando proponiamo l’utilizzo del Cms WordPress è: “Ma è sicuro?” La risposta non può che essere: “Dipende!”.

Premesso che nessuna piattaforma online può dirsi sicura al 100% e che qualsiasi sito web può essere in qualche modo “violato”, si può senz’altro affermare che “WordPress è sicuro fintanto che vengono seguite con attenzione tutte le procedure di manutenzione correttiva e di sicurezza”.
WordPress, in quanto progetto “Open Source”, è seguito da una community globale e da diverse community nazionali di sviluppatori che si preoccupano di apportare miglioramenti, nuove funzionalità, ma soprattutto di individuare e risolvere i problemi di sicurezza che sorgono nel codice di base.

Quali sono le principali insidie alla sicurezza WordPress?

Gli attacchi “Brute-force”

In informatica, quando si parla di attacchi di “forza bruta” ci si riferisce alle attività degli hacker volte alla decifrazione delle password.
ll metodo più comune per ottenere un accesso non autorizzato è quello di tentare tutte le combinazioni di caratteri, simboli lettere o numeri, fino a che non si trova quella giusta. Questo tipo di attacco può causare anche la sospensione dei servizi di hosting da parte dei fornitori, che in via cautelativa vogliono evitare problemi sui server, soprattutto quando il sito sotto attacco si trova in condivisione con altri.

Inclusione di file e iniezioni nel database

Altre tecniche utilizzate dagli hacker prevedono l’inclusione di file nel codice php sfruttando dei canali di accesso sul sito (pensate, ad esempio, ai moduli di contatto presenti sulla maggior parte dei siti web). Questi file poi permettono all’intrusore di impossessarsi delle chiavi di accesso.
Lo stesso obiettivo è raggiungibile dal malintenzionato di turno utilizzando la tecnica cosiddetta di iniezione SQL. Questa procedura, intervenendo direttamente sul database, permette di creare nuovi account utente a livello di amministrazione o di manipolare i dati presenti.

Attacco XSS (Cross-Site Scripting)

Si tratta della forma più comune di attacco tra quelle utilizzate. Questo tipo di vulnerabilità, se sfruttata, consente di inserire nel sito uno Script in grado di alterare il comportamento delle pagine del nostro sito, reindirizzando, ad esempio, il visitatore su altri siti, spesso nocivi.

Malware

E’ l’abbreviazione di malicious software (software dannoso) ed abbiamo imparato a conoscerlo perchè spesso è un abitante scomodo dei nostri pc. Un sito realizzato con WordPress può essere infettato da un malware in diversi modi, pensiamo ad esempio ad un computer infetto utilizzato per aggiornare il sito.

Quali sono le principali cause di vulnerabilità di un sito realizzato con WordPress?

Dopo aver analizzato alcuni tra i più frequenti pericoli a cui è sottoposto il nostro sito, proviamo a capire quali sono le principali cause di vulnerabilità:

  • password deboli
  • mancato aggiornamento del software WordPress, dei plugin e dei temi grafici
  • utilizzo di plugin o temi grafici provenienti da fonti non sicure
  • hosting condiviso o di scarsa qualità

Come proteggere il nostro sito WordPress

Sono numerose le operazioni da svolgere per garantire la sicurezza al nostro sito sviluppato con WordPress. Proviamo ad elencare quelle più importanti o quantomeno le indispensabili:

  • utilizzare password complesse
  • aggiornare la versione di WordPress, i plugin ed i temi grafici
  • installare un plugin WordPress di sicurezza
  • eseguire scansioni di malware pianificate
  • avere un piano di backup di WordPress affidabile

In conclusione

Il mondo del web è popolato da tanti sedicenti programmatori web quanti sono i commissari tecnici durante i mondiali di calcio!
Scherzi a parte, affidare la manutenzione del proprio sito web ad un team di professionisti è il miglior modo per assicurarsi che tutto venga portato a termine nella giusta maniera.

Vuoi saperne di più?

Contattaci per una consulenza gratuita.