Giocare a Whack-a-Mole con la sicurezza di WordPress

La protezione di un sito Web al giorno d'oggi (anche piccolo) sta diventando sempre più difficile. E se stai usando WordPress, potresti anche avere un vecchio occhio di bue sulla schiena. Tra persone nefaste e robot implacabili, ogni minuto di ogni giorno è diventato un campo di battaglia.

La parte davvero sbalorditiva di questo è che puoi praticamente fare tutte le cose giuste e finire comunque con un sito compromesso. Vai avanti e mantieni aggiornati i tuoi plugin e il tuo tema. Esegui un plug-in di sicurezza o metti altre barriere all'ingresso. Fai tutto questo e potresti trovarti ancora in una posizione compromessa.

Proprio di recente, ho scoperto questo fatto difficile da solo. Ho aiutato un collega con un sito che ha affrontato numerosi problemi, nonostante pensassimo che stessimo facendo le cose nel "modo giusto". Mi ha ispirato a sedermi e pensare all'esperienza. Detto questo, ecco alcuni pensieri su ciò che ho imparato e alcune teorie su ulteriori passaggi che possiamo adottare per proteggere meglio un sito Web WordPress.

Il passato può perseguitarti

Il core, i plugin e i temi di WordPress hanno tutti i loro difetti di sicurezza. Il nucleo di solito viene riparato rapidamente, mentre speri e preghi che plugin e temi ottengano lo stesso tipo di trattamento. Ma come abbiamo visto, tappare i buchi non è sempre sufficiente.

Se il tuo sito è stato creato alcuni anni fa, potresti essere stato soggetto a vulnerabilità di cui non eri nemmeno a conoscenza. Forse erano rattoppati... o forse no. Anche se il problema è stato risolto, il tuo sito potrebbe essere stato esposto per un periodo di tempo fino a quando non hai installato una patch o rimosso del tutto un elemento. Cosa è successo nel frattempo? Potresti non scoprirlo per un bel po'.

Ad esempio, durante il setacciamento di quel sito problematico di cui ho parlato prima, sono stati trovati file dannosi nella directory /wp-includes/. Ciascuno erano file .php che imitavano il nome e la data di modifica di altri file legittimi in quella directory. Ora, è possibile che i file siano stati in qualche modo retrodatati per far sembrare che fossero sempre stati lì. Ma prendendolo alla lettera, sembrerebbe che abbiamo avuto un caso di malware dormiente. Proprio come un virus informatico che fornisce un carico utile in una data e un'ora specifiche, questo codice dannoso potrebbe aver "ricevuto la chiamata" per entrare in azione.

Il punto è che solo potenzialmente avere il plugin sbagliato installato nel momento sbagliato può darti mal di testa in futuro. Rimanere aggiornati è un'ottima strategia, ma non è infallibile. Solo vedere la manciata di plugin che distribuiscono intenzionalmente codice dannoso di recente mostra che sei in una situazione di stallo.

Un paesaggio in continua evoluzione

Se richiesto, penso che molti di noi direbbero di essere più bravi nel nostro lavoro ora rispetto a qualche anno fa. Impariamo, evolviamo e applichiamo queste nuove conoscenze al nostro lavoro. Pertanto, anche le nostre scelte durante la creazione di un sito Web si evolvono. Gli strumenti e le tecniche che utilizziamo raramente sono gli stessi anno dopo anno.

WordPress e il suo ecosistema attraversano lo stesso processo, ma a un ritmo molto più veloce. Il plug-in indispensabile di ieri può trasformarsi in polvere domani. Un singolo aggiornamento goffo può mandare via gli utenti a frotte.

Quindi un sito che hai creato alcuni anni fa e consegnato a un cliente potrebbe benissimo eseguire plugin che non penseresti di utilizzare oggi. Come dice un vecchio proverbio: "Lontano dalla vista, lontano dalla mente".

Ci vuole una certa attenzione per assicurarsi non solo di utilizzare le ultime versioni, ma anche di sostituire gli elementi che non sono più la scelta migliore. Sfortunatamente, questo tipo di attenzione costante non è sempre pratico per molti designer. Non sempre abbiamo il tempo e non sempre i clienti hanno il budget da dedicare a questo. Per non parlare del fatto che la sostituzione di un plug-in può essere un'impresa piuttosto grande in alcuni casi. Un tema può essere ancora più difficile.

In realtà, il tutto è come un gigantesco gioco a colpi di talpa. A volte sembra che la tua unica difesa sia quella di stare pronto con la mazza in mano, pronto a colpire la prossima creatura che si apre. Dev'esserci un modo migliore.

Cosa possiamo fare di più?

Quindi applichiamo regolarmente aggiornamenti e mettiamo in atto misure di sicurezza aggiuntive. Utilizziamo password complesse e cerchiamo di rendere il più difficile possibile l'accesso non autorizzato al nostro sito. Tuttavia, dobbiamo ancora affrontare continui attacchi, alcuni dei quali riescono a passare.

Ammetto di non essere il massimo esperto di sicurezza. Ma ho alcune riflessioni su ulteriori passaggi che possiamo intraprendere per mantenere i nostri siti puliti da malware e simili. Forse alcuni sono un po' scervellati, ma la mia speranza è di accendere la discussione invece di salvare tutta l'umanità.

Audit dei plug-in
Questo è qualcosa che possiamo fare regolarmente da soli e per cui effettivamente addebitare ai clienti. L'idea è di esaminare regolarmente (forse 2-3 volte all'anno) quali plugin sono installati ed eliminare quelli potenzialmente problematici. Cerca i plugin che sono considerati abbandonati (senza aggiornamenti per almeno due anni) o rimossi del tutto dal repository dei plugin di WordPress. Quindi, fai le sostituzioni quando necessario.

Accesso a una migliore informazione
Ancora meglio sarebbe un servizio su larga scala che ci tenga informati su quali plugin sono vecchi/dannosi/rimossi. Sviluppatori e proprietari di siti potrebbero trarre grandi vantaggi dall'avere questo tipo di risorsa a portata di mano. Il solo fatto di sapere cosa sta succedendo all'interno dell'ecosistema di WordPress può aiutarci a evitare ulteriori problemi.

Prendi decisioni più sagge
Spesso prendiamo quelle che riteniamo essere le migliori decisioni in quel particolare momento. Ma possiamo fare di meglio. Ad esempio, la scelta di un plug-in riguarda spesso la ricerca della soluzione più rapida a un problema. Ma la soluzione più rapida non è sempre la migliore. Controllare i plugin per la loro qualità dovrebbe essere importante quanto la loro funzionalità. Non sempre lo faremo bene, ma guardare i log delle modifiche e i forum di supporto può essere di grande aiuto nel prendere decisioni.

Comprendi il gioco
Quando lanciamo un sito appena costruito, ciò non significa che il nostro lavoro sia terminato. Per mantenere le cose al sicuro, dobbiamo continuare a prestare attenzione a ciò che sta succedendo. Parte di ciò potrebbe essere l'utilizzo di plug-in di sicurezza automatizzati che ci inviano un'e-mail quando qualcosa non va. Ma si tratta anche di dare un'occhiata manualmente ogni tanto. Esamina la dashboard di WordPress e guarda anche attraverso la struttura dei file del sito per cercare qualcosa di sospetto.

Hosting proattivo
Mi piacerebbe pensare che la maggior parte degli host web attribuisca alla sicurezza una priorità assoluta. Ma ciò non significa che non ci siano margini di miglioramento. Dalla mia esperienza, sembra che gli host siano spesso reattivi ai problemi dopo che si sono verificati. Credo che potremmo trarre vantaggio da host più proattivi nel loro approccio alla sicurezza. Ad esempio, avvisando i clienti delle informazioni relative alle ultime minacce alla sicurezza e su come rafforzare il tuo sito contro di esse.

Addestra i clienti
Infine, è importante formare i clienti sulle cose da fare e da non fare di WordPress. Se accedono al back-end del sito, dovrebbero conoscere i potenziali rischi derivanti dall'installazione di plug-in o dal fornire le informazioni del proprio account ad altri. Hanno un ruolo importante da svolgere nel mantenere il proprio sito sano e salvo.

Sempre un bersaglio

WordPress è così ampiamente utilizzato che non c'è da meravigliarsi se è diventato un bersaglio per gli hacker. Sfortunatamente, questo è qualcosa che accompagna tutto questo grande successo.

Per questo motivo, dobbiamo tutti salire di livello quando si tratta delle nostre pratiche di sicurezza. Idealmente, ciò significa controlli regolari del sito e, soprattutto, accesso a informazioni critiche. La conoscenza è la chiave di ogni sfida. Senza di esso, saremo per sempre bloccati a giocare a quel gioco di carnevale.