Uno dei temi di sicurezza più attuali su cui stiamo focalizzando la nostra attenzione è la letale serie di attacchi che da Agosto a questa parte sta letteralmente martoriando migliaia di blog WordPress. Sull’argomento abbiamo avuto modo di pubblicare numerose letture, non ultima un whitepaper dedicato alla vulnerabilità che affligge la libreria timthumb.php e che rappresenta un punto d’ingresso molto allettante per i blackhat. Che cosa può fare il webmaster o il blogger per difendersi dalle minacce che quotidianamente minano la tranquillità di chi con il web ci lavora? Vediamolo in questo post.

L’update del blog

E’ assolutamente fondamentale mantenere l’installazione del tuo blog WordPress aggiornata alle ultime release per evitare che i blackhat possano sfruttare eventuali vulnerabilità zero-day per provocare grossi danni alla tua piattaforma di blogging. WordPress fornisce un comodo avviso direttamente nella dashboard qualora si rendesse disponibile una versione aggiornata del codice. La procedura di aggiornamento inoltre è nella quasi totalità dei casi assolutamente indolore. Oltre alla struttura principale del blog è fondamentale mantenere costantemente aggiornati anche i plugin che lo compongono dato che è all’interno delle estensioni che molto spesso si nascondono le vulnerabilità più pericolose.

Ridurre all’essenziale

E’ assolutamente fondamentale ridurre al minimo il numero di plugin utilizzati all’interno del blog. La maggioranza degli utenti tende ad installare più di un componente, anche per il solo scopo di provarne il funzionamento. Si tratta di una pratica rischiosa che può mettere a repentaglio la sicurezza dell’intero blog. Concentrati invece su una lista di plugin realmente indispensabili, senza strafare.

Cura le tue password

La stragrande maggioranza delle intrusioni informatiche avviene a causa di politiche di gestione delle password a dir poco deboli o inesistenti. La sicurezza della password del tuo blog è nondimeno fondamentale. Scegli una password molto forte per l’accesso amministrativo al tuo blog, costruisci la tua parola chiave con maiuscole, minuscole e caratteri alfanumerici. No ai nomi comuni di persona o di animali/cose. Modifica periodicamente le password di accesso allo spazio ftp del tuo hosting e imponi a tutti gli utenti del tuo blog che hanno accessi amministrativi o di sola scrittura di modificare su base mensile le proprie password di accesso. Ricordati inoltre di modificare il nome utente amministrativo di default, trasformando l’utente admin in qualcosa di meno appetibile per i tool di bruteforcing.

Proteggi la directory wp-admin

Generalmente la directory wp-admin dovrebbe essere accessibile solo per determinati indirizzi ip. Per fare ciò puoi utilizzare le capacità di .htaccess autorizzando l’accesso a wp-admin solo per il tuo range di indirizzi ip. Poco pratico se utilizzi una connessione ADSL con ip dinamico ma efficace contro le migliaia di sorgenti di attacco sparse per il globo.

HTTPS ed SFTP

Utilizza protocolli di comunicazione crittografati per comunicare con il tuo blog. Considera l’utilizzo di un certificato SSL da installare sul dominio principale per permettere l’accesso in HTTPS all’area amministrativa del blog, utile per proteggere i dati di login da sguardi indesiderati. Considera inoltre l’utilizzo del protocollo SFTP in sostituzione del comune FTP per le procedure di login allo spazio ftp del tuo blog. Il protocollo FTP è poco sicuro e trasmette i dati di login in chiaro.