WordPress è il CMS più diffuso, addirittura le statistiche lo dichiarano installato nel 30 % dei siti web on line. Da una parte, è un dato molto positivo perché molti sviluppatori si dedicano a questo software, e la scelta di estensioni, temi e personalizzazioni varie aumenta e migliora. Per lo stesso motivo, si concentrano su questo software, con dedizione, anche i molti cyber malintenzionati che, per diversi scopi, tentano quotidianamente di violare siti web costruiti con questo CMS. Con questa breve premessa, ti anticipo questo articolo che ho deciso di scrivere per sensibilizzarti sull’importanza della sicurezza del tuo sito. Potresti essere un blogger con contenuti anche riservati che mostri a determinati utenti, oppure potresti essere un imprenditore che ha sviluppato con WordPress il suo fantastico e-commerce, non ha importanza, l’appetibilità di un sito web non è classificabile e non se ne possono escludere alcuni valutando delle caratteristiche. Anche tu potresti essere in pericolo, ma non spaventarti, a volte basta usare un po’ di accortezza.

Di cosa si tratta?

Il bug è stato scoperto alcuni mesi fa da RIPS Technologies, un’azienda tedesca che si occupa di verificare le pagine statiche scritte in PHP e quindi scoprire eventuali vulnerabilità, resa nota solo pochi giorni fa.

Intanto devi sapere che riguarda tutte le versioni correnti di WordPress, fino alla aversione 4.9.6. Verifica di avere la versione più aggiornata, poiché il team di WordPress si preoccupa di correggere bug come quello che tratto in questo articolo, e il tuo sito ne guadagnerà in sicurezza.

Con la versione 4.9.7 infatti, questo bug è stato risolto. Continua a leggere l’articolo comunque, troverai degli ottimi spunti per migliorare la sicurezza del tuo sito a prescindere dal bug, e aggiorna subito alla nuova versione 4.9.7 WordPress! 

L’utente con ruolo di autore o superiore è in grado di caricare e modificare file multimediali, e modificarne i metadati.

Secondo quanto si legge nel rapporto reso noto dall’azienda, il malintenzionato che riesce ad acquisire un utente autore nel tuo sito web, potrebbe caricare un’immagine, e durante il processo di caricamento e aggiornamento dei metadati, potrebbe ridefinire i percorsi di file importanti per il tuo sito spacciandoli per quelli di miniature dell’immagine. I file di destinazione spacciati come miniature, sarebbero eliminati con l’eliminazione dell’immagine caricata.

Quali sono le conseguenze?

Il risultato di questo attacco è l’eliminazione di alcuni file di sistema importanti ma anche dell’intero sito! Uno dei file importanti che potrebbero essere eliminati è wp-config.php. Eliminando questo file, sarà riavviato il processo di installazione, che permetterà all’hacker di creare un suo profilo amministratore ed iniettare codice arbitrario sul server. Secondo quanto descritto da Wordfence nel suo articolo, non ha importanza conoscere le credenziali del database usato con la prima installazione di WordPress. Per ottenere i privilegi necessari ad operare sui file, il malintenzionato potrà inserire le credenziali e i dati di un database proprietario, diverso quindi da quello originario. Una volta completata l’installazione, egli avrà accesso ai file di sistema del sito che ospita l’installazione.

Anche il file .htaccess potrebbe essere oggetto di eliminazione, con conseguenze negative per la sicurezza del tuo sito. Nel file possono essere contenute restrizioni di accesso per alcune cartelle, che sarebbero disattivate con l’eliminazione del file.

Nel mio sito ci sono delle cartelle riservate, che uso per fare test o come demo per far vedere ai miei potenziali clienti qualche esempio: ho deciso di limitarne l’accesso già a livello server, quindi tramite le impostazioni del cPanel (il pannello di amministrazione dell’hosting in uso su SiteGround). A breve un articolo anche su come procedere per limitare l’accesso a determinate cartelle e come crearvi delle installazioni diverse con WordPress!

Il tuo sito potrebbe essere in pericolo! Proteggiti con pochi semplici accorgimenti! Condividi il Tweet

Come proteggersi?

Attualmente il team di sicurezza di WordPress non ha ancora rilasciato una patch per correggere il problema. Adotta degli accorgimenti di base e integra una modifica al file functions.php del tuo tema. Wordfence ha provveduto ad integrare una soluzione nel suo firewall, attivato con il plugin proprietario, ma solo chi ha deciso di abbonarsi al servizio premium ne potrà usufruire, poiché il database del firewall, nel piano gratuito, si aggiorna una volta al mese, e comprenderà questa integrazione tra qualche giorno.

#1 Ottime credenziali

Anzitutto come hai letto poco sopra, il malintenzionato deve acquisire un account autore. Sensibilizza i tuoi utenti con tale ruolo a scegliere password complesse, composte se possibile da una sequenza casuale di lettere, numeri e caratteri speciali, magari cambiate frequentemente. Lo so che diventerà impossibile da ricordare e rallenterà l’accesso all’area di back end, ma credo che ne valga la pena. Tra l’altro è possibile salvarla in un altro file archiviato in locale, o in un applicazione sul PC, e l’utente autore dovrebbe solo fare un copia/incolla.

Inoltre, il team sicurezza di Wordfence scrive nel proprio articolo che la modalità più frequentemente usata dai malintenzionati inizia da un sito compromesso dove l’utente autore utilizza le credenziali che usa per altri siti. Quelle credenziali permetterebbero ai malintenzionati di accedere anche agli altri siti fino ad allora non compromessi. Quindi, altro consiglio, usate credenziali diverse per diversi siti, quanto meno usate password diverse! La pigrizia può costare cara!

#2 Plugin di sicurezza

L’utilizzo di un ottimo software per la sicurezza credo sia una scelta obbligatoria. Ce ne sono molti, alcuni con ottime funzionalità anche nella versione free, quali ad esempio, la notifica via email degli accessi utente e il login controllato, che blocca l’indirizzo IP dal quale provengono troppi tentativi di accesso falliti o con user-ID non esistenti . Ti consiglio di valutare Wordfence Security – Firewall & Malware Scan, che utilizzo sul mio sito, ma anche Sucuri Security – Auditing, Malware Scanner and Security Hardening è una validissima alternativa. Entrambe le software house commercializzano delle versioni in abbonamento davvero potenti, con scansioni frequenti dell’intero sito e firewall aggiornati quotidianamente.

Un altro plugin che potrebbe aiutarti è WP Security Question, che va ad aggiungere una domanda di sicurezza nel form di login di WordPress. È senz’altro un ottimo ostacolo ai bot che si occupano di compilare i form di login in automatico e ai soggetti che sono in possesso di credenziali valide ma non della risposta alla domanda di sicurezza.

#3 Backup

Non smetterò mai di consigliarti backup frequenti dell’intero sito, e del database. Nella peggiore delle ipotesi, potrai mandare l’hacker a quel paese e ripristinare un backup. Ma se non ce l’hai o è troppo vecchio e mancano molti contenuti? Non saprei che dirti… solo una simbolica pacca sulla spalla e consigliarti di creare dei frequenti backup d’ora in avanti!

#4 Correzione al file functions.php

Si tratta di codice da inserire nel file functions.php del tema (o del suo child) che utilizzi sul tuo sito per evitare che possano essere aggiunti percorsi trasversali nei meta delle miniature, impedendo di fatto che siano eliminati anche file di sistema con la cancellazione del file media.

Se dicidi di applicare questa correzione, esegui un backup del tuo file functions.php, in quanto la RIPS Technologies che l’ha pubblicata, non ne garantisce la piena compatibilità con tutti i temi e soprattutto i plugin di WordPress. Se una volta resa attiva il tuo sito non dovesse più funzionare bene, devi ripristinare il tuo vecchio file functions privo di queste righe:

add_filter( 'wp_update_attachment_metadata', 'rips_unlink_tempfix' );
function rips_unlink_tempfix( $data ) {
if( isset($data['thumb']) ) {
$data['thumb'] = basename($data['thumb']);
}
return $data;
}

Inoltre ricordati di ripetere l’operazione se usi un tema ‘padre’, in quanto il file functions personalizzato viene sostituito con l’originale della nuova versione del tema. Questo ovviamente non accade usando un tema child.

#5 Affidarti a me!

Certo! Mi occupo anche di questo! Tra i servizi che offro, c’è senz’altro anche la messa in sicurezza del tuo sito WordPress esistente, installando plugin performanti ma semplici da gestire, e consigliandoti le eventuali modifiche da compiere per rispettare delle best practices di sicurezza. Contattami per ricevere gratuitamente un preventivo personalizzato cliccando qui. Ad ogni modo, non esitare a commentare questo articolo se hai semplicemente bisogno di informazioni per poter seguire da solo questi punti. L’unica cosa che ti chiedo è di non sottovalutare il problema.

Trovi l’articolo originale della RIPS Technologies qui.

Trovi l’articolo di Wordfence che tratta questo bug qui.

Tu come gestisci la sicurezza del tuo sito? Quali plugin utilizzi?

Diritto d’autore dell’immagine in evidenza:Designed by Freepik

1
Ciao! 👋🏻
Come posso aiutarti?
Powered by

Pin It on Pinterest