Cell. +39 3479684755
Il Blog di Instant Websites
Aiuto! Mi hanno hackerato il sito WordPress! – parte 2
Nella prima parte di questo articolo (https://lnx.instantwebsites.it/iwblog/?p=1851) abbiamo visto quali misure adottare per evitare che un attacco di hacker abbia successo ed infetti la nostra installazione di WordPress e come accorgersi se un attacco sia andato a buon fine.
Notare che non si sta neppure prendendo in considerazione l’ipotesi che i pirati informatici possano ignorare il nostro sito: è sufficiente installare un plugin di firewall che abbia un log dei tentativi di intrusione per verificare che praticamente il 100% delle installazioni vengano prese di mira. Questo perché gli attacchi sono portati da bot automatizzati che scandagliano la Rete in modo sistematico e le possibilità di sfuggire alle loro sgradite attenzioni sono prossime allo zero.
In questa seconda parte vediamo quali sono gli interventi che permettono di ripristinare l’installazione, tenendo presente una premessa fondamentale: se il fornitore del servizio di hosting/MySQL non ha implementato misure di protezione adeguate a monte, non c’è misura lato utente che tenga e presto o tardi il problema si ripresenterà. Se esiste anche solo il dubbio che questo sia lo scenario, la prima misura da adottare è cambiare maintainer o quantomeno il fornitore dei suddetti servizi.
Chi scrive, ha sperimentato l’esperienza sgradevole (eufemismo) di trovare hackerati tutti i siti WordPress appoggiati presso un certo fornitore e, nel contempo, nessuno di quelli presso altri fornitori. Oltretutto, sentendo negare qualsiasi tipo di coinvolgimento – involontario perché causato da imperizia tecnica, ma pur sempre coinvolgimento – dall’assistenza del fornitore stesso.
Naturalmente quella ditta oggi è un ex-fornitore e solo la prospettiva di conseguenze legali mi impedisce di farne il nome ma è sufficiente una ricerca mirata su Internet per scoprire di chi si tratta.
Aiuto! Mi hanno hackerato il sito WordPress!
I CMS (“Content Management System” o Sistemi di gestione dei contenuti) sono utilizzati molto di frequente nella realizzazione dei siti per via di alcuni indubbi vantaggi che presentano, primo fra tutti l’aggiornabilità dei contenuti da parte dell’utente finale al quale non vengono richieste conoscenze di HTML o CSS.
WordPress ha assunto da qualche tempo un ruolo dominante nel campo dei CMS grazie alla sua relativa semplicità d’uso, superiore a quella di Joomla! il quale, tuttavia, risulta preferibile per lo sviluppo di siti professionali e più complessi.
E’ proprio su WordPress che concentreremo l’attenzione nell’ipotesi, sventurata ma tutt’altro che infrequente, che la nostra installazione venga hackerata: brutto neologismo che sta ad indicare il fatto che un pirata informatico sia riuscito ad entrare in qualche modo nel sito ed abbia modificato i files esistenti e/o ne abbia scritti di nuovi, inserendo codice dinamico generalmente finalizzato ad impiegare il server per inviare e-mail di spam.
In tale ipotesi, spesso il proprietario del sito non si accorge neppure dell’infezione poiché il front-end del sito, cioè la parte visibile da tutti su Internet, non presenta alterazioni.
Operano anche hacker con obiettivi meno sofisticati i quali si limitano a sostituire la homepage del sito con una contenente la propria firma: in tale caso, il ripristino del sito è più semplice poiché richiede solo di ripubblicare la pagina stessa nella sua versione corretta – ferma restando la necessità di individuare le falle di sicurezza che gli hanno permesso l’accesso.
La scelta di un template: fattori tecnici
La diffusione dei CMS (“Content Management Systems” o sistemi di gestione dei contenuti) come WordPress, Joomla!, Drupal ecc. è stata davvero notevole negli ultimi anni per le loro caratteristiche molto apprezzate dai committenti, in particolare l’aggiornabilità dei contenuti in autonomia ed in tempo reale.
Come dice il proverbio però: “non è tutto oro quello che luccica” nel senso che questi sistemi offrono dei vantaggi indubbi ma, d’altro canto, richiedono una serie di attenzioni nello sviluppo e nella gestione del sito che non vengono sempre prese nella giusta considerazione.
L’errore più comune, sul quale peraltro non vale la pena di soffermarsi in questa sede, è quello di credere che il CMS sia una specie di “faccio tutto io”: basta cliccare un paio di pulsanti ed ecco che, per miracolo, il sito è pronto …
… in realtà, ipotizzando di avere scelto un fornitore affidabile e che la piattaforma sia stata correttamente installata, configurata e protetta dalle intrusioni, e scusate se tutto questo è poco, si giunge al momento di scegliere un template (tema grafico) per il sito.
Quali sono i principali fattori tecnici che devono guidare la scelta del template? A parte, cioè, gli aspetti estetici?
Andiamo di seguito ad evidenziarne alcuni.