La popolarità planetaria di
WordPress ha portato con sè, negli anni, uno spiacevole, quanto inevitabile, effetto collaterale: lo ha reso una preda molto ghiotta per i
criminali informatici. Questo fenomeno è stato sicuramente aiutato anche da una fisiologica debolezza dell’ecosistema WP, data non tanto dal suo nucleo fondante, quanto piuttosto dalla
vulnerabilità di plugin e temi, presi di mira con una certa frequenza nonostante il nutrito team di esperti di
cybersecurity che lavora senza soluzione di continuità per tenere costantemente sotto controllo eventuali nuovi attacchi e nuove falle di sistema.
Le cause più comuni di azioni dannose riguardano, innanzitutto, l’iniezione, all’interno del sito, di
malware, i software malevoli che un malintenzionato potrebbe riuscire ad a introdurre nei file dei sistemi trasformandoli in porta di accesso per raggiungere i gangli del sito e raccogliere segretamente dati riservati, per assumerne il controllo, o per metterlo fuori uso.
Un’altra delle ragioni di attacco più frequenti riguarda il cosiddetto
cross-site scripting. In questo caso, l’hacker inganna l'utente di un sito facendogli caricare pagine che contengono codice
JavaScript in grado di rendere possibile l’intrusione nel sito al fine di sabotarlo o di prelevare i dati che contiene.
In altri casi, l’
intromissione può riguardare il database di un sito WordPress, oppure può consistere in un
brute force attack, il
bombardamento della schermata di login con milioni di combinazioni di username e password al fine di trovare le giuste credenziali di accesso.
In modo simile, inoltre, si comportano i
DDoS (Distributed Denial-of-Service),
attacchi informatici che tentano di mettere fuori uso un sito web o una risorsa di rete
sovraccaricandoli con traffico dannoso e rendendoli, così, inutilizzabili.
In tutti i casi, si tratta di metodi ingegnosi molto difficili da essere contrastati anche dagli utenti più smaliziati. Tuttavia, mettendo in pratica alcune semplici tecniche di difesa è possibile creare una buona barriera protettiva. Di seguito, ne vediamo alcune.
1. Affidarsi a un provider “sicuro”
L’accorgimento più ovvio, è quello che riguarda la scelta dell’
hosting: qualunque sia la tipologia di servizio a cui ci si affida è sempre meglio non lesinare sulle funzionalità che offre in termini di sicurezza. Ancora meglio se si tratta di una
soluzione di tipo gestito.
2. La forza difensiva di una buona password
La prima avvertenza “pratica” consiste, invece, in uno dei modi più semplici ed essenziali per tenere il sito al riparo dai tentativi di violazione indesiderata che abbiamo citato poco sopra:
una buona password, che dovrà essere frutto della combinazione alfanumerica con caratteri maiuscoli, minuscoli e speciali. Il segreto, qui, è crearne una
forte, unica, quanto più possibile estranea da elementi che possono essere legati e ricondotti alla vita privata di chi la detiene.
Senza poi dimenticare che, per essere davvero efficace,
una buona password deve essere cambiata con una certa frequenza. In aiuto, in questi casi, possono giungere i generatori automatici di chiavi di accesso e gli strumenti che permettono di memorizzarle in maniera sicura.
3. Ridurre al minimo i tentativi di accesso
Un’altra modalità per proteggere il sito dagli attacchi brute force è quella di
consentire agli utenti di effettuare solo pochi tentativi di accesso consecutivi. Per impostazione predefinita, infatti, WordPress non limita il numero di volte in cui si può tentare di fare la login, e questo fa sì che i malintenzionati possano tentare una moltitudine di accoppiate di nomi utente/password, aumentando la probabilità di riuscire nell’intento.
4. Implementare un certificato SSL
La trasmissione dei dati da un server a un browser senza che vi sia l’intercessione di un
certificatoSSL (Secure Socket Layer) è come abbandonare un documento incustodito per strada e poi sorprendersi se si nota che qualcuno è mosso dalla curiosità di leggerlo.
Quando, invece, si ha l’accortezza di affidare i propri dati a un sistema di crittografia come quello su cui si basa lo strumento in questione, ogni informazione diventa impossibile da decifrare da chiunque non sia il mittente o il destinatario. Normalmente, i certificati SSL rientrano nelle offerte di servizio degli hosting provider e ve ne sono di varie tipologie, sia gratuite che, più sofisticate, a pagamento.
5. Backup frequenti e regolari
La fantasia criminale degli
hacker non conosce limiti e, sebbene si operi con tutte le cautele e gli accorgimenti necessari a
preservare il proprio sito WordPress, l’esperienza insegna che dove c’è un sistema c’è anche un modo per violarlo, attraverso una qualche potenziale crepa della corazza che l’hacker può individuare e sfruttare ai propri fini malevoli.
Pertanto, nella malaugurata ipotesi di restare vittima di un attacco, l’unico modo per contenerne gli effetti deleteri è aggiungere al pacchetto di hosting anche un
buon servizio di backup, assicurandosi che la frequenza del suo intervento sia, quantomeno, mensile.
I più avvezzi con gli strumenti informatici potranno, eventualmente, effettuare l’operazione in autonomia,
affidandosi a uno dei numerosi plugin specializzati nel pianificare ed eseguire i lavori di salvataggio e ripristino del sistema sia in locale, su hard disk, che su server esterni raggiungibili da remoto. Così facendo la copia funzionante del sito verrà conservata in modo sicuro in un luogo in cui nessuno potrà entrarne in possesso.