WordPress è un software open source che permette a chiunque di creare il proprio blog o sito web. Come ogni risorsa, può presentare dei problemi di sicurezza che hanno bisogno di patch. Pertanto, dovete constantemente aggiornare il vostro WordPress.
1. Account amministratore di default
Alla prima installazione di WordPress, l’account amministratore di base sarà chiamato “admin”, dotato di una password altrettanto semplice. Bisogna cambiare tali credenziali, per evitare che eventuali hacker e cracker possano violare la vostra piattaforma. Per questo motivo, sarà necessario creare un nuovo account amministratore ed eliminare l’account predefinito “admin”.
2. Prefissi predefiniti del database
Le tabelle del database sono denominate con un prefisso predefinito wp_, in modo che tutte le tabelle rimangano organizzate nel database nel caso in cui si inizia a lavorare con altri pacchetti software nello stesso database. Il wp_ significa che tali tabelle sono relative a WordPress.
Questo tipo di prevedibilità, però, può permettere agli hacker di manomettere le tabelle del database. A tal fine, sappiate che WordPress consente agli utenti di installare con un prefisso di tabella diverso dal prefisso di default.
3. I file accessibili e directory
In funzione si possono avere una varietà di file, come function files, class files, file template, file di configurazione, che non dovrebbero essere a disposizione del pubblico. Lo stesso vale per le directory. Utilizzando CHMOD, è possibile impostare le autorizzazioni per i file e le directory e impedire agli utenti di accedere ai materiali sensibili. Se un utente ha accesso al file di configurazione, ad esempio, potrebbe manomettere le impostazioni di WordPress e creare danni al vostro sito web. Per capire se l’installazione di WordPress è in regola, consultate la pagina delle autorizzazioni WordPress.
4. SQL Injections e Hijacking
Le SQL non sono univoche per WordPress, infatti, sono una delle forme più comuni (e distruttive) degli attacchi web server nel mondo. La SQL Injection è una tecnica hacking mirata a colpire le applicazioni web che si appoggiano su un database di tipo SQL: pertanto, per evitare disastri, potete installare dei plugin per incrementare la sicurezza dei vostri blog e/o siti web:
- WP Security Scan: questo plugin analizza le impostazioni del sito web per cercare potenziali vulnerabilità di sicurezza
- WordPress File Monitor Plus: nel caso in cui qualcuno abbia avuto accesso alla struttura dei file del vostro sito, questo plugin ve lo fa sapere. Esso controlla regolarmente i file del sistema e le directory, segnalandovi eventuali discrepanze
- WordPress Firewall 2: questo plugin crea un “muro metaforico” intorno al vostro sito, procedendo alla scansione di tutti i dati inseriti e traffico per dolo. È abbastanza utile per prevenire attacchi SQL injection e al database.
- Wordfence: Wordfence è un plugin all-in-one per la sicurezza che include la protezione da attacchi dannosi, scansione anti-virus, firewall e altro ancora.