Chiariamo subito una cosa: non è vero, WordPress è un Content Management System non inferiore ad altri, dal punto di vista della sicurezza. Eppure alcune leggende urbane sembrano indicare una sua intrinseca pericolosità, c’è qualcosa di vero in queste storie?
Noi di supero ltd amiamo WordPress, lo sappiamo usare tutti. Magari non tutti sapranno farne l’installazione ma tutti lo sappiamo usare, anche (forse soprattutto) chi si occupa della creazione di contenuti passa parecchio tempo loggato in uno dei nostri siti realizzati con questo CMS (dovrebbero essere circa una cinquantina).
Saperlo usare, saperne gestire i contenuti però non significa essere esperti di sicurezza così come saperlo installare non garantisce il fatto che l’installazione sia sicura.
Andiamo subito al punto: la leggenda urbana secondo la quale WordPress non è sicuro ha due argomenti a suo favore:
- Un enorme numero di siti vittima di criminali informatici è fatto in WordPress
- Alcuni dei plugin disponibili per il cms sembrano fatti apposta per essere bucati
In anni di esperienza di siti craccati ne abbiamo visti parecchi ed effettivamente molti di questi erano basati su WordPress. Quando però abbiamo analizzato meglio la situazione abbiamo visto che quasi sempre il comportamento dell’utente o meglio del gestore del sito era il vero responsabile del vandalismo o dell’azione criminale.
Chiariamo subito una cosa: WordPress è il cms più bucato semplicemente perchè è il più diffuso. Purtroppo circolano software scritti apposta per spazzolare il web alla ricerca di installazioni di WordPress poco sicure. Alcuni di questi software fanno in automatico dei tentativi per prendere il controllo del sito e qui vediamo subito che alcuni comportamenti dei gestori dei siti WordPress possono essere considerati complici dei criminali.
Chi installa da solo WordPress sul proprio sito, senza avere grandi competenze informatiche, è spesso vittima di due sentimenti pericolosi.
- L’installazione di WordPress è facilissima
(Quasi) chiunque è in grado di installare WordPress. Allo stesso modo installare temi e plugin è un’operazione molto semplice - Un sito basato su WordPress è visibile
Molti pensano di essere al sicuro perchè “a chi può interessare craccare proprio il mio sito?”. Niente di più sbagliato
Cominciamo dal secondo punto: il vostro sito è un succoso bocconcino per molti, moltissimi criminali informatici. Vediamo qualche esempio
- Il criminale informatico vi cracca il sito per dimostrare agli amici quanto è figo
In questo caso il danno non è enorme, probabilmente metterà in home page un testo a dimostrazione della sua figaggine. Il danno che subite non è enorme, basta recuperare un backup. Certo, ci fate un po’ una figura da peracottari con clienti, fornitori e tutti quelli che guardano il sito… pazienza, no? - Il criminale informatica vi cracca il sito per piazzarci dei link
Abbiamo visto in tanti articoli sul posizionamento sui motori di ricerca quanto sono importanti i link in entrata. Alcuni seo se ne procurano a decine di migliaia, invece di perdere tempo a chiedere ai webmaster craccano il sito e mettono tutti i link che gli pare. Anche in questo caso il danno non è gravissimo, si ripristina il backup. La figura di palta è la stessa ma meno visibile. Ovviamente il posizionamento del sito se ne va a donnine di facili costumi: google non apprezza tutti quei link a siti di viagra, farmaci vari, borse e orologi tarocchi. Sono probabilmente fuori tema. Come minimo. - Il criminale informatico vi cracca il sito per mandare un po’ di e-mail
Dopo aver craccato il sito ci piazza uno script per inviare un po’ di spam. Qualche milione di e-mail di spam. In questo caso il danno può essere più grave: magari il sito non lo toccano nemmeno, il posizionamento è salvo e magari clienti e fornitori non se ne accorgono neanche ma se ne accorge qualcun altro. Prima di tutto se ne accorge il server: se il criminale va giù pesante potrebbe andare in sovraccarico e diventare indisponibile. Se ne accorge il vostro provider, quello che ospita il server e il sito che, nel migliore dei casi, si incazza e nel peggiore vi mette il sito offline (lo può fare, leggete il contratto, è giusto che lo possa fare). Se ne accorgono i siti che si occupano di individuare le fonti dello spam e questo può essere ancora meno piacevole. Il vostro sito potrebbe finire in una delle temutissima black list e da quel momento in poi la posta generata dal sito e, probabilmente, anche la posta che mandate col pc o col telefonino avrà enormi probabilità di finire nella posta indesiderata. Se ne può accorgere anche la polizia postale… - Il criminale vi cracca il sito e ci piazza una pagina di phishing
In questo caso rischiate di essere considerati complici di un reato, il cracker carica sul vostro sito una o più pagine fatte per assomigliare a quelle (ad esempio) di una banca. Poi manda qualche milione di e-mail (vedi punto 3) per razzolare boccaloni e qualcuno magari ci casca: clicca sul link ricevuto via mail in cui “la banca” chiede di cambiare la password, finisce sulla pagina esca sul vostro sito, inserisce user name e password che vengono immediatamente comunica ai criminali. Non bello, se la cosa viene segnalata alla polizia informatica rischiate di perdere parecchio tempo.
Speriamo di avervi convinti del fatto che un minimo di sicurezza ci vuole, la settimana prossima vedremo come installare WordPress con un minimo di sicurezza in più dimostrando che il problema non è il cms ma al massimo una cattiva configurazione.
Lascia un commento