Verificare la sicurezza di WordPress (nerd edition)

sicurezza wordpress

Che la Forza sia con te. E con il tuo sito.

Da un pò di tempo a questa parte la sicurezza informatica è diventata un tema mainstream. Se ne parla perché c’è un gran bisogno di parlarne: basti considerare che un qualsiasi sito web, in tema di sicurezza informatica, si trova in prima linea nella guerra tra Impero e Resistenza.

WordPress è sempre più usato per gestire siti che magari sono anche di piccole dimensioni, ma che contengono informazioni riservate, come, ad esempio, liste di clienti per piccoli e-commerce o liste di contatti per newsletter.

In ogni caso, se un agguerritissimo trooper, tanto per restare nella metafora di Star Wars, ci butta giù il sito, sicuramente avremo un backup da tirare su, ma se Darth Vader in persona entra nel nostro database e si impossessa di tutti i dati dei nostri clienti o dei nostri follower, allora il problema diventa decisamente più serio.

Dunque perché non fare un po’ di controlli periodici per valutare la sicurezza del nostro sito WordPress?

Per questo tutorial ci vuole un minimo di conoscenza Linux, ma niente di trascendentale.

Partiamo da un’installazione pulita, in questo caso ho scelto Fedora per la sua semplicità di installazione e configurazione: possiamo gestirla come virtualizzazione sia in mac sia in windows, con Virtualbox o con vmWare.

La prima cosa che dobbiamo fare è lanciare il Terminale: essendo un’installazione pulita di Fedora, chiediamo al sistema operativo di verificare eventuali update digitando

sudo dnf update

Inseriamo la password del nostro utente amministratore e il resto lo farà automaticamente Fedora.

Potrebbe chiederci la conferma per l’installazione dei pacchetti e noi dovremo solo confermare con “y” o “s” a seconda della lingua con la quale abbiamo installato Fedora.

Potrebbe richiedere un po’ di tempo proprio perché siamo su una versione fresh del sistema operativo, ma non dobbiamo fare altro che aspettare la fine delle operazioni.

Al termine di questi aggiornamenti, senza neanche dover riavviare (che bello Linux!), passiamo all’installazione vera e propria di WPscan, partendo dai requisiti necessari per far girare il software, digitando e confermando l’installazione con “y” o “s”:

sudo dnf install ruby

Terminata l’operazione, proseguiamo installando componenti aggiuntivi con

sudo dnf group install git gcc ruby-devel libxml2 libxml2-devel libxslt libxslt-devel libcurl-devel patch rpm-build

Confermiamo anche questa installazione e attendiamo la fine.

A questo punto, il grosso è quasi fatto. Dobbiamo solo installare il software vero e proprio utilizzando il comando

sudo gem install WPScan

Nel 90% dei casi siamo già pronti ad operare. Per esserne sicuri possiamo provare ad aggiornare il database di WPScan digitando

wpscan –update

Se riceviamo come risposta un errore, che sostanzialmente ci segnala che stiamo usando un comando sconosciuto, vuol dire che siamo nel fortunato 10% dei casi, ma non disperiamo: potremo risolvere il problema con un ulteriore comando, che implementa il nostro sistema operativo con altri componenti utili al funzionamento di wpscan, digitando:

sudo dnf groupinstall development-tools rpm-development-tools c-development

Una volta ultimata l’installazione proviamo nuovamente a lanciare il comando:

wpscan –update

Vedrete che a questo punto il terminale vi mostrerà il logo e il risultato dell’aggiornamento del database di wpscan.

Da questo momento in poi è tutto divertimento. Siete ufficialmente entrati con il vostro x-wing nella Morte Nera e potrete sferrare il vostro attacco.

In questo articolo vi do i primi comandi, quelli più comuni, che vi permetteranno di verificare se tutti i componenti del vostro sito WordPress, dal tema ai vari plugin, sono aggiornati e sicuri oppure no. Più avanti affronteremo tematiche più complesse, sempre grazie a wpscan, quali ad esempio i tentativi di accesso alla sezione Admin del vostro sito, con liste di password e brute force, ma partiamo dalle cose semplici.

La prima cosa che possiamo fare è controllare i plugin installati
wpscan –url http(s)://tuo-sito.it –enumerate p

Oppure fare un controllo dei plugin vulnerabili
wpscan –url http(s)://tuo-sito.it –enumerate vp

Stessa cosa vale per controllare il tema installato
wpscan –url http(s)://tuo-sito.it –enumerate t

e verificare se il tema è vulnerabile
wpscan –url http(s)://tuo-sito.it –enumerate vt

Possiamo verificare quali sono gli utenti del sito (nome utente)
wpscan –url http(s)://tuo-sito.it –enumerate u

Scansionare timthumb files vulnerabili:
wpscan –url http(s)://tuo-sito.it –enumerate tt

Ricordate sempre una cosa importantissima: fare questi controlli senza l’autorizzazione del proprietario del sito è una violazione, quindi non passate al lato oscuro della Forza e controllate solo il vostro sito, perché quello che conta è che lui sia al sicuro.

Articoli Correlati

Come fare il backup di WordPress

I backup sono importanti, lo sappiamo da sempre, ce lo ripetono in continuazione, il nostro amato CMS ce lo sottolinea ogni volta che c’è da... more

Come ottimizzare le immagini per il web

Per il secondo capito della nostra amata saga "Come velocizzare Wordpress", parleremo di ottimizzazione delle immagini per il web e come... more

WordPress perché scegliere un tema custom: quali sono i vantaggi e gli svantaggi?

Un’immagine aziendale studiata e personalizzata è fondamentale per distinguerci dai nostri competitor Spesso però si opta per soluzioni... more

Vuoi essere il nostro prossimo cliente felice?

Ogni anno gestiamo oltre 100 clienti, il 99% sono felici!