“Non cercare la sicurezza: è la cosa più pericolosa del mondo.”
Hugh Walpole
“WPScan is a black box WordPress vulnerability scanner.”
WPScan.org
WordPress è una delle piattaforme CMS più usate al mondo. Utilizzato principalmente per blog e piccoli siti web, come ogni altro software è soggetto a falle, errori di programmazioni e problemi di sicurezza. E certamente la sua grande diffusione (circa il 25% dei siti web è realizzato con WordPress) lo rende particolarmente appetibile per i malintenzionati.
WordPress annovera anche una lunga, lunghissima lista, di problemi di sicurezza: basta una rapida occhiata al sito WPScan Vulnerability Database per rendersene conto. Gli sviluppatori di WordPress, dal canto loro, fanno un grande sforzo per mantenere il più possibile aggiornato il codice del CMS, risolvendo i problemi scoperti ed arginando eventuali buchi nel codice. Il problema maggiore, anche in questo caso, sono gli utenti finali che, vuoi per distrazione, per ignoranza o per semplice dimenticanza, mantengono sul web versioni obsolete e non mantenute di WordPress: veri e propri parchi giochi per novelli hackers, che si sbizzarriscono in innocui defacement o in ben più gravi furti di dati riservati.
Inoltre, uno dei grandi punti di forza di WordPress ne è anche il più vulnerabile: i plugins, programmi da aggiungere dinamicamente al nostro CMS e che possono rappresentare inconsapevoli veri e propri punti di accesso al sistema.
Anche sui plugins molto dipende dalla volontà, capacità e velocità con cui gli sviluppatori risolvono eventuali falle di sicurezza: ci sono plugin ben mantenuti, e quindi sempre aggiornati e potenzialmente sicuri, ma anche altri abbandonati a sé stessi.
Per questo, consapevoli che non esiste un sistema informatico totalmente sicuro, è sempre bene avere chiari i possibili problemi a cui il nostro sito web, amatoriale o professionale, può andare incontro.
Per WordPress, esiste WPScan che, come dice il nome stesso, effettua una scansione di sicurezza sulle vulnerabilità note.
Ho provato ad installarlo e testarlo sul mio blog, ottenendo in risposta tutta una serie di indicazioni interessanti:
proseguendo poi con l’identificazione di quasi tutti i plugin installati, con tanto di versione e data ultima di aggiornamento: impressionante !
Non si tratta di magia, ovviamente: sono tutte informazioni che, attraverso il CMS, esponiamo in Rete, alla mercé anche di malintenzionati alla ricerca di siti web da attaccare.
Ad esempio, in questa verifica WPScan ha rilevato alcuni plugin vulnerabili, dei quali mostrerà anche i riferimenti alle falle individuate:
A questo punto un amministratore di sistema bravo e capace si affretterà ad aggiornare tutti i plugin indicati, almeno per arginare le vulnerabilità note.
E’ buona norma fare una verifica periodica, almeno una volta a settimana o, quantomeno, al mese, delle vulnerabilità note della nostra installazione WordPress: sempre, ovviamente, per evitare sgradite sorprese.
Potete scaricare WPScan, e relative istruzioni di installazione e di uso, da qui: https://wpscan.org
Per qualche suggerimento su come aumentare la sicurezza della vostra installazione WordPress, date un’occhiata qui: WordPress Security Tips
Buona pasqua, e buona verifica, a tutti voi.