La sicurezza è una priorità per coloro che gestiscono i contenuti di un sito Web? In molti casi la risposta a questa domanda è negativa, infatti, a livello pratico succede spesso che ci si ricordi di questo aspetto soltanto in seguito ad un attacco o alla perdita di dati. Essendo una delle applicazioni più utilizzate per il content management, WordPress è spesso al centro di azioni malevole, anche in relazione al fatto che non sempre gli utilizzatori tengono conto di quanto possano essere importanti alcune pratiche finalizzate alla tutela delle proprie installazioni.
Il fatto di sottovalutare l'entità delle minacce che potrebbero coinvolgere un sito Web basato su questo Blog engine/CMS, deriverebbe in buona parte anche dall'ignorare che i potenziali attaccanti hanno a disposizione più di un canale per operare contro di esso; nello specifico, oltre il 40% degli attacchi verrebbe portato avanti attraverso una vulnerabilità della piattaforma di hosting, poco meno del 30% tramite problematiche correlate ai temi utilizzati, il 22% sfruttando falle legate ai plugin e l'8% a causa di password facilmente violabili.
Sostanzialmente, oltre il 50% delle cause di attacco sarebbe ricollegabile a operazione di personalizzazione ed estensione tramite funzionalità non disponibili di default attraverso il core. Non sarebbe però meno rilevante il dato relativo ai pericoli insiti nella scelta di un hosting provider inadatto, magari perché quest'ultimo non utilizza delle versioni aggiornate di PHP e MySQL, non prevede un firewall ottimizzato per l'applicazione, non impiega collaboratori competenti riguardo a WordPress o non adotta le necessarie contromisure contro intrusioni e malware.
Diverso il discorso riguardante le possibili cattive pratiche di chi un'installazione di WordPress la gestisce personalmente; per inciso, nessun hosting ottimizzato potrà mettere al sicuro un sito Web il cui Pannello di Amministrazione sia accessibile tramite la password "123456" (tanto per proporre un esempio), inoltre, si tenga conto che la maggior parte delle misure di sicurezza che è possibile prendere in considerazione potrebbero non richiedere più di qualche decina di minuti di tempo per il loro completamento.
Mantenere l'installazione aggiornata (magari sfruttando il sistema integrato per gli aggiornamenti automatici in background), restringere l'accesso all'amministrazione ad IP specifici, limitare le possibilità di accesso alle directory, disabilitare XML-RPC nel caso in cui non sia utile per il proprio progetto, consentire soltanto un certo numero di tentativi di login, rinominare la pagina per l'autenticazione e utilizzare sistemi alternativi (due fattori, OpenID, conferma per SMS..), effettuare backup periodici etc. sono solo alcune delle pratiche che, pur non richiedendo molto lavoro, permettono in genere di proteggersi dalla maggior parte degli attacchi.
Per approfondire WpMuDev
/https://www.html.it/app/uploads/2024/03/WordPress.png)
/https://www.html.it/app/uploads/2024/03/domestika.jpg)
/https://www.html.it/app/uploads/2023/12/wordpress.png)
/https://www.html.it/app/uploads/2024/02/WP65.jpg)