Ben ritrovati su questi lidi!
Calogero Flavio Albano è un ingegnere civile prestato alla SEO (da cui il suo soprannome “SEO Engineer” con il quale forse ti sarai imbattuto con qualche ricerca in rete per guide SEO).
Il nostro ingegnere SEO si occupa di creare siti web in WordPress e di seguire gli aspetti legati alla promozione in rete per esempio attraverso Facebook Ads e il monitoraggio delle performance con Google Analytics.
Ha un’esperienza di molti anni nella gestione delle reti e dell’help desk dei propri clienti, si occupa quotidianamente dell’ottimizzazione SEO e della gestione tecnica di tutti i portali che segue.
Oggi Calogero ci parlerà della sua esperienza in fatto di procedure finalizzate a garantire la sicurezza di siti web.
Ciao Calogero, vuoi raccontarci qualcosa di te?
Ciao Ilario e grazie per questa opportunità; vi racconterò con piacere qualcosa di me 🙂
Io sono uno smanettone (e lo dico con orgoglio)! A poco vale la laurea in ingegneria, le certificazioni sistemistiche e di networking, l’esperienza come SEO, etc… io resto una persona a cui piace fare tardi la notte per provare soluzioni nuove!
Adesso torno un po’ più serio e mi ricordo che sono stato certificato Cisco CCNA R&S, CCNA Security, Microsoft MCSA su Windows Server ed LPIC-1.
È veramente tanto che non amministro un dominio Active Directory, ad esempio, ma grazie alle nozioni ricevute durante i corsi di preparazione ho imparato discretamente bene come funzionano i DNS; anche se non configuro un apparato Cisco da tanto, i concetti di Security by Design ricevuti alla CCNA Security mi aiutano con WordPress.
Se dovessi inquadrarmi direi che sono un SEO Specialist con un approccio ingegneristico al problema; mi piace la Defensive Security ma non sono un pentester.
Ti occupi di realizzare siti web e di tutelarli dal punto di vista della sicurezza? Come lavori in genere?
La realizzazione di siti web per piccole realtà è una parte importante delle mie attività, tuttavia va detto che io cerco di lavorare con standard un po’ più elevati della media dei webmaster.
Ovviamente la cura principale è verso l’indicizzazione ed il posizionamento ma, contraddicimi se sbaglio, non appena un sito diventa un minimo popolare ed inizia il traffico organico, arrivano tonnellate di attacchi da parte di ragazzini con software automatici.
Qui, ovviamente, non sto parlando di impedire ad Anonymous di bucare il sito ma di mettersi al sicuro da un 95% degli attacchi portati con software che si limitano a fare dei test ed attacchi standard (anche se alcuni molto complessi).
Come lavoro in genere lo discuteremo nel prosieguo dell’articolo, ma ti posso anticipare che il primo step è sicuramente quello di essere aggiornati su vulnerabilità di sicurezza che usiamo nei software in produzione.
Quali sono secondo te standard di sicurezza per siti WordPress che non devono mai venire meno?
Questa è una bella domanda; sono lieto di rispondere:
- Avere un hosting con un buon piano di backup oppure organizzarsi in proprio con (ad esempio) uno dei vari plugin per il backup di WordPress
- Aggiornare sempre sia il core di WordPress che temi e plugin
- Avere un WAF (acronimo di Web Application Firewall) attivo ed aggiornato
- Avere una appropriata configurazione di .htaccess e robots.txt
- (eventualmente) Usare Cloudflare
Come ti comporti in genere per proteggere il sito WordPress dei tuoi clienti?
Come accennavo prima, il primo step è essenzialmente quello di essere aggiornato su eventuali vulnerabilità di sicurezza presenti nei software che usiamo in produzione; esistono vari bollettini di sicurezza emessi da tutte le principali realtà informatiche.
Credo proprio che il primo step, prima ancora di iniziare ad installare plugin, sia seguire tre buoni blog: quello di Wordfence, quello di Sucuri e quello di WPScan… mi permetto di lasciare i link 🙂
Un’altra buona risorsa ove apprendere informazioni riguardo la sicurezza del nostro sito ce la fornisce il buon Google: sto parlando sia del rapporto sulla sicurezza presente in Google Search Console che (un po’ per vie traverse) dei Google Dorks.
Andiamo con ordine: Google effettua scansioni di sicurezza sui nostri siti per valutarne vari parametri (anche a fini SEO); ecco quindi che sono stati “scoperti” i Google Dorks. Puoi liberamente visionarli a questo indirizzo; se, effettuando una ricerca per una di queste vulnerabilità, trovi il tuo sito (magari aggiungendo l’operatore site:miosito.it alla query), allora è probabile che tra non molto la Google Search Console potrebbe riportare un problema di sicurezza.
Altre informazioni, come per esempio l’inclusione in una blacklist, sono verifiche non necessarie ma sempre consigliate: mi permetto di raccomandare questo database (ma ne esistono altri): inserite il vostro sito e controllate pure la vostra “reputazione” online.
Un’altra fonte di informazione riguardo il server che ospita il vostro sito, potrebbe essere l’ottimo Shodan.
Shodan è un motore di ricerca per oggetti connessi alla rete; inserite pure l’IP del vostro server e “sbirciate” in alcuni aspetti della sua configurazione che, prima, avrebbero richiesto una buona competenza sistemistica UNIX per essere estratte.
Come rendere più sicuro il tuo sito WordPress in 5 step?
Posto che l’IT Security è un processo continuo e non un punto d’arrivo, se dovessi indicare 5 step indispensabili per la tua sicurezza in Wordepss, questi sarebbero:
I Backup (questi sconosciuti)
C’è poco da fare: se hai un backup funzionante sei sempre un uomo salvo 😉
Dico questo perché veramente poche persone, con cui entro in contatto, capiscono l’importanza di un buon piano di backup; che poi il piano di backup sia un corposo documento aziendale oppure un reminder per avvertirvi di backuppare ogni venerdì, dipende dal vostro business… ma i backup vanno fatti!
Ricordo ai lettori che molti hosting includono un piano di backup nel loro costo; è sempre bene una telefonata all’assistenza clienti per farsi spiegare le caratteristiche del backup che abbiamo a disposizione: ricordo un caso in cui il provider backuppava solo lo spazio web ma non il database…
Se foste senza backup, oppure lo vorreste gestire manualmente vi posso solo consigliare “WP all-in-one Migration”: è un plugin gratuito e veramente alla portata di tutti.
Ma io all’inizio del paragrafo ho parlato di backup funzionanti: i backup vanno testati: se fate i backup ma non avete contezza della loro effettiva affidabilità… beh… io spero che non vi capiti mai nulla di grave 😉
Hardenizzare WordPress (sapere leggere aiuta)
Si lo so… vi starete chiedendo cosa significhi questo bruttissimo neologismo: hardenizzare viene dall’anglico “hardening” (irrobustire); nell’ambito sistemistico sono hardenizzazioni tutte quelle attività posteriori all’installazione utili a diminure la superficie d’attacco a disposizione del nostro hacker di turno.
Siccome do per scontato che i nostri lettori sappiano leggere mi limito a riportare il link al Codex di WordPress che si occupa dell’Hardening (è solo in inglese; ricordo che il progetto ha sempre bisogno di traduttori volenterosi).
Troverete in questo documento molte delle cose che io dico qui: leggetelo!
Installare un WAF
Un Web Application Firewall è (normalmente) un plugin per WordPress (ma ne esistono anche per Joomla, etc.) che si occupa di intercettare e segnalare attacchi, effettuare una scansione del nostro sito per vedere se sono stati alterati alcuni file, blacklistare chi prova ad effettuare azioni “proibite”, etc.
In una parola aumenta la sicurezza della nostra installazione WordPress.
Esistono vari WAF disponibili per WordPress; qui mi sento di consigliarne 2: Sucuri e Wordfence
Proteggersi da DoS e DDoS
Gli attacchi da Denial of Service (ed i loro cugini più evoluti) mirano a “spegnere” il sito per un po’: il payload dell’attacco può essere proprio l’oscuramento del sito ma non è impossibile che si cerchi di oscurare il sito per un payload più complesso.
Purtroppo per motivi strutturali connessi alla progettazione di Internet, proteggersi da un DoS (o, ancora perggio da un DDoS) è veramente complesso: una soluzione alla portata di tutti potrebbe essere l’utilizzo di Cloudflare (che ricordo essere gratuito nella versione base).
Ricordo anche che Cloudflare ci permette di offrire ai nostri utenti l’HTTP2, la minificazione del codice, la compressione Brotli ed altre sciccherie utili per noi SEO.
Aggiorna tutto (è gratis)
Guarda Ilario, delle volte effettuo login su siti anche grossi e li vedo non aggiornati: mi vien da piangere.
È evidente che i loro proprietari non hanno mai usato WPScan sui propri siti.
Credo di potere affermare senza possibilità di smentita che il mancato aggiornamento sia del core di WordPress che di temi e plugin sia il principale modo di aprire le porte ad hacker che poi potrebbero fare varie cose nel nostro sito: sparare spam (e farci finire in blacklist), minare cryptovalute, reindirizzare altrove, etc.
Una volta che il sito è stato compromesso potrebbe essere complicato ripulire tutto: alle volte un rifacimento del sito con criteri più consoni porta via meno tempo e dà risultati migliori.
Reputi che Wordfence Security sia un valido plugin per mettere in sicurezza un sito WordPress?
Okay… tieni per ultima questa domanda perché vuoi farmi lapidare? 😉
Io rispondo lo stesso in maniera sincera… cosciente che questa risposta mi attirerà delle critiche.
Wordfence è un validissimo plugin nell’ambito security ma è veramente un ammazzaserver (richiede risorse computazionali dal server che, su hosting economici, potrebbero scarseggiare e quindi, far rallentare il sito).
Se si hanno delle competenze sistemistiche avanzate è possibile snobbare Wordfence ma, a meno di essere veramente bravi e sapere quello che si sta facendo, potrebbe non essere una buona idea.
Grazie per questa chiacchierata Calogero, a presto!
C’è un numero di visite indicativo oltre il quale i siti vengono attenzionati per possibili attacchi hacker?
Grazie
Personalmente, ho visto che siti con poche centinaia di visite mensili sono tendenzialmente snobbati, mentre quelli già da 1.000-2.000 al mese sono oggetti di sgradite attenzioni.