Introduzione
In questo articolo presenteremo il plugin WP Security Scan, tale componente ci aiuterà ad analizzare la sicurezza del nostro blog, segnalandoci eventuali anomalie che possano costituire seri pericoli per lo stesso. È stata rilasciata da qualche mese la nuova versione 2.7.11 installabile su piattaforma WordPress 2.3 e superiori.
Le funzionalità messe a disposizione dal plugin sono molteplici, è infatti possibile eseguire un controllo dei permessi sulle cartelle e sui file di WordPress, accertare ed eventualmente modificare i prefissi delle tabelle del database installato alla base del nostro CMS, ma non solo ci viene data la facoltà di verificare la robustezza della password e per concludere il plugin è capace di presentarci un report completo sullo stato attuale sia del server web sia dell'ambiente WordPress.
Installazione
Prima di poter utilizzare il componente, naturalmente occorrerà installarlo, per far ciò possiamo utilizzare il link presente all'interno del sito ufficiale di WordPress
L'installazione è quella tipo di un qualsiasi plugin WordPress, infatti una volta effettuato il download dello stesso occorrerà scompattarne il contenuto all'interno del proprio hard disk locale, per poi provvedere ad effettuarne l'upload all'interno della cartella /miaroot/wp-content/plugins.
Ultimato l'upload siamo pronti ad attivare il componente entrando nell'apposita area plugin. Successivamente all'attivazione, comparirà in coda ai classici menù di WordPress posizionati sulla sinistra una nuova voce, vale a dire "Security", tramite questo nuovo link, si avrà la possibilità di selezionare tutte le funzioni messeci a disposizione dal componente.
Informazioni di sistema
Iniziamo ad apporfondire le funzionalità del sistema. Cliccando su "Security", il plugin ci mostrerà automaticamente sulla destra della nostra pagina, tutte le informazioni relative al server su cui è installato il nostro blog.
Al contempo, tramite la form "Initial Scan" ci viene riportata una prima analisi sulle impostazioni di sicurezza definite.
Le informazioni mostrateci, sono quelle classiche delle direttive che possono creare dei problemi di sicurezza in un ambiente web che utilizzi la piattaforma PHP. All'interno della sezione "Initial Scan" noteremo a seconda delle impostazioni effettuate sul nostro WordPress, la presenza di stringhe verdi, nel caso tali impostazioni siano considerate "sicure" e rosse nel caso tali impostazioni possano essere considerate come una minaccia per la sicurezza del nostro blog. Nello specifico saremo informati se abbiamo installato l'ultima versione di WordPress, se il prefisso delle tabelle del database è quello standard, se esistono errori nel database oppure META tag nascosti, che potrebbero essere utilizzati per azioni mirate a compromettere il nostro blog, l'eventuale esistenza dell'utente admin e del file .htaccess all'interno della delicatissima cartella wp-admin.
I Permessi delle cartelle e dei file
WP Security Scan, ci offre anche la possibilità di analizzare i permessi impostati sulle nostre cartelle, utilizzando la funzione "Scanner". Il plugin ci aiuta a comprendere quali cartelle o file possiedono i giusti permessi settati e su quali invece occorrerà intervenire tempestivamente. Tralasciando tutta la teoria che sta alla base dei diritti di lettura, esecuzione e modifica su file e directory, possiamo affermare senza incorrere in alcun errore, che impostando in modo sbagliato tali permessi si possono avere seri inconvenienti sia a livello funzionale del nostro blog, ma soprattutto a livello di sicurezza dello stesso.
Nello specifico il "Security Scan" ci evidenzia per ogni cartella o file, il tipo di permesso appropriato che dovrebbe essere settato (Needed Chmod), sia il permesso che attualmente è settato sullo stesso (Current Chmod). Settare correttamente i permessi d'accesso consentirà al sistema un corretto funzionamento dal punto di vista software, ed incrementerà il livello di sicurezza dello stesso.
Verifichiamo la nostra password
Avere una password robusta è sicuramente una delle basi fondamentali per iniziare a ridurre i rischi d'attacco. I metodi per scovare le password d'accesso si basano spesso su attacchi basati su liste di parole standard, sicuramente inserire come parola segreta la stringa password oppure il proprio nome è quanto di più sbagliato possa esserci. La scelta di una chiave d'accesso dovrebbe rispettare alcuni canoni, come ad esempio sceglierne una di almeno otto caratteri alfa-numerici. Per testare la bontà della nostra password possiamo utilizzare il "Password Tool" contenuto all'interno del plugin. Il plugin analizzerà la nostra proposta rispondendoci con diversi stati a seconda della robustezza della password, nello specifico gli stati sono: "Weakst" se la nostra password risulta essere estremamente debole, "Weak" se debole, "Improving" se risulta essere accettabile, "Strong" robusta e "Strongest" nel caso sia veramente robusta, naturalmente è inutile dire che l'ideale sarebbe avere una password etichettata come Strongest.
Le tabelle di WordPress
L'utilizzo delle opzioni standard durante una qualsiasi procedura d'installazione, facilita il compito di tale procedimento, ma può costituire un rischio enorme per la sicurezza, infatti le prime operazioni e i primi testing effettuati da un hacker, sono solitamente quelli derivanti da falle presenti all'interno delle installazioni standard, ecco perché è conveniente non utilizzare nome e prefissi tipici per le tabelle contenute nel database. In molti decidono di installare la base dati di WordPress utilizzando come prefisso delle tabelle quello standard, cioè "wp_". Il plugin tramite la funzione "Database", ci offre la possibilità, non solo di analizzare il prefisso attuale delle tabelle, ma addirittura di modificarlo automaticamente con un semplice click, occorrerà infatti specificare un nuovo prefisso nel campo "Change the current" e premere il stato "Start Renaming", per avviare la procedure di ridenominazione delle tabelle.
Conclusione
Molti di voi sicuramente avranno letto diversi articoli in merito alla sicurezza dell'ambiente WordPress (sul nostro portale ne esistono diversi), occorre precisare ancora una volta, che tutte le soluzioni presentate nei vari articoli non ci danno l'assoluta certezza che il nostro blog sia al sicuro al 100%, ma indubbiamente ci aiuteranno a dormire sogni "più tranquilli". Occorre sempre ricordare che comunque, alla base della sicurezza informatica ci sono piccolissime regole da seguire, come ad esempio quella di custodire le password in maniera sicura, ed utilizzare computer protetti da sguardi indiscreti.
