La gestione dei plugins di WordPress e la sicurezza del sito

Per l'amministratore di un sito sviluppato con WordPress, la gestione dei plugins è una componente fondamentale per la sicurezza del sito. Comprendere i rischi e gestirli attivamente è un'attività continua.

Utilizzando criteri attenti nella selezione dei plugins da installare, mantenendo i plugins esistenti aggiornati alle ultime versioni, si può essere sicuri di aver fatto tutto il possibile per proteggere i dati del sito da attacchi di malintenzionati.

Come valutare un plugin

Con i plugins per WordPress gestire le funzionalità aggiuntive del sito internet risulta molto più semplice. Si aggiungono molte possibilità aggiuntive alla versione base di WordPress.

Il "Plugin repository" è uno dei più grandi vantaggi di WordPress in quanto vi si trova una grande quantità di codice e moltissime applicazioni che estendono le funzionalità di WordPress. Ognuno vi ci può partecipare ed è completamente aperto. Nel "WordPress repository" molti plugins vengono aggiornati quotidianamente. Però quando un plugin viene reso disponibile o aggiornato, non ne viene effettuato un controllo sulla sicurezza.

Quindi ogni plugin che viene aggiunto al proprio sito può aumentare il rischio sicurezza e per questo motivo si consiglia di valutare ogni singolo aspetto prima di installare un nuovo plugin.

La prima cosa da fare è vedere la data dell'ultimo update del plugin che si intende installare. Nel caso che l'ultimo aggiornamento sia più vecchio di 2 o più anni, non sarebbe consigliabile installarlo in quanto non è più stato costantemente aggiornato. Alcuni interessanti Plugin potrebbero anche avere poche installazioni (meno di 1000 installazioni attive) o non venire più aggiornati da diversi anni.

La scheda informativa del plugin

Quando si installa un nuovo plugin da WordPress ("Plugins" - "Add new") si hanno a disposizione diverse informazioni sul plugin che si intende installare. Cliccando sul titolo del Plugin si apre una finestra con la descrizione del plugin. Oltre a leggere il contenuto dei vari tabs ("Description" - "Installation" - "FAQ" - "Changelog" - "Screenshots" - "Reviews") la prima cosa da fare è leggere le informazioni sommarie che si trovano nella colonna a destra.

Sono da controllare e verificare: la valutazione media dei plug-in, quando è stato aggiornato l'ultima volta, che sia compatibile con la versione corrente di WordPress ed il numero di installazioni attive del plugin. La media delle valutazioni dovrebbe essere abbastanza alta da infondere fiducia. Più alto è il punteggio, meglio è.

• Versione: ultima versione
• Author: Il link sull'autore rimanda al suo sito internet. Andando sul relativo sito, ci si può rendere conto dell'affidbilità dello sviluppatore
• Last Updated: a quando risale l'ultimo aggiornamento
• Requires WordPress Version: la versione di WordPress richiesta per il suo funzionamento
• Compatible up to: controllo della sua compatibilità con l'ultima versione di WordPress
• Active Installations: il numero delle installazioni attive del plugin
• WordPress.org Plugin Page: rimanda alla pagina del plugin su WordPress.org
• Plugin Homepage: rimanda al sito internet del plugin
• Average rating: la valutazione degli utenti

Quanti plugins installare

Ridurre il rischio sicurezza relativa ai plugins è uno degli aspetti più importanti per la protezione del proprio sito. Ci sono diversi modi per limitare questo rischio.

Ogni plugin che viene installato aumenta la "superfice di attacco". Gira molto più codice, in questo modo si aumenta il rischio di una vulnerabilità di sicurezza aumenta. Per ogni plugin che viene aggiunto al sito comporta un altro sviluppatore su cui si deve fare affidamento per rimanere sicuri. Ciò include il fatto di scrivere un codice sicuro e dare risposte rapide alle segnalazioni di vulnerabilità.

L'installazione

Si consiglia di limitare l'installazione dei plugins dalla directory ufficiale "WordPress.org plugin directory". Questo sito viene gestito da un gruppo di volontari insieme ad una grande comunità di utenti e ricercatori di sicurezza i quali danno un valido aiuto.

Nel caso si volesse scaricare un plugin da un altro sito, bisogna soprattutto valutare se il sito sia veramente affidabile. Alcuni consigli da tenere in considerazione potrebbero essere:

• Guardare se il sito sia stato sviluppato professionalmente e che usi un linguaggio chiaro per descrivere il plugin
• Guardare il nome dell'azienda nel footer
• Che siano presenti le pagine relative alle condizioni generali di vendita e all'informativa sulla privacy
• L'indirizzo fisico del contatto dovrebbe essere facilmente visibile nella pagina del contatto o nelle condizioni generali di vendita
• Facendo una ricerca del dominio tra virgolette (p.es.: "nomedominio.com") non si dovrebbero trovare segnalazioni di attività dannose

Il problema è che esistono i cosiddetti "nulled plugin" e "nulled theme". Significa che un attacker scarica un plugin con una reputazione, quindi affidabile, lo trasforma aggiungendoci un codice malevolo e poi lo pubblica per il download sul suo sito che potrebbe sembrare come un sito legittimo ma che effettivamente non lo è. Nel caso si scaricasse e si installasse un simile plugin il proprio sistema verrebbe compromesso. Quindi fare attenzione e scaricare ed installare solo plugin presi da siti affidabili.

Gli aggiornamenti

I plugins installati sono da rivedere periodicamente per assicurarsi che abbiano mantenuto la loro buona reputazione. Inoltre si consiglia di eliminare i plugin immediatamente nel caso che non vengano più utilizzati invece di lasciarli inattivi sul server.

L'aspetto della sicurezza

La maggioranza degli attacchi ai siti WordPress sono tentativi di sfruttare buchi di sicurezza ben noti, alcuni vecchi di anni. Invece di cercare nuove vulnerabilità, gli aggressori cercano spesso i proprietari dei siti che non tengono aggiornate le loro installazioni. Sfortunatamente, continuano ad avere successo.

Molti plugin includono una funzione di aggiornamento automatico. Si consiglia di attivare questa funzionalità nel caso sia disponibile.

Un altro rischio da tenere in considerazione sono i plugins che sono stati rimossi dalla "WordPress.org plugin directory". Potrebbero esserci diversi motivi per cui il team dei plugin per WordPress abbia rimosso un plugin, inclusa una vulnerabilità di sicurezza che non è ancora stata corretta.