Mettere in sicurezza un sito WordPress con un Web Application Firewall

di | 18 Marzo 2019

La sicurezza di un sito WordPress è un argomento assolutamente vitale se non vuoi, tra le altre cose perdere posizioni nelle serp dei motori di ricerca o ritrovarti con il tuo sito che viene utilizzato allo scopo di mandare in giro per la rete email di phishing.

Un componente assolutamente indispensabile per la messa in sicurezza di WordPress è il Web Application Firewall, un software che ti permette di innalzare una linea di difesa fondamentale per contrastare gli attacchi di utenti e bot maligni.

Nonostante ciò, non sono (ancora) la maggioranza i siti WordPress che implementano funzionalità di questo tipo oppure non la implementano correttamente, con il risultato di rendere la vita più facile ai pirati informatici.

COME METTERE IN SICUREZZA UN SITO WORDPRESS

Innanzitutto è bene precisare che non esiste IL modo giusto per mettere in sicurezza il proprio sito WordPress, diversi utenti possono scegliere diverse strategie, anche se la più utilizzata è sicuramente quella di ricorrere a un plugin.

Ci sono poi, una moltitudine di plugins che svolgono questa funzionalità, tra gli altri mi sento di consigliare, in primis Wordfence e, in seconda battuta, All in one WP security and firewall che sono poi i primi 2 plugins (a ragione) a comparire quando, dalla funzionalità “cerca plugin” di WordPress si ricerca “Firewall” come parola chiave.

Entrambi questi plugin sono più di un semplice WAF, sono una completa suite per la sicurezza che permette di ridurre drasticamente la possibilità di ritrovarsi con il proprio sito wordpress hackerato .

Ovviamente, non è indispensabile utilizzare un plugin per fare tutto ciò che questi software fanno, ma si può anche modificare manualmente il file wp-config.php / .htaccess / sistemare i permessi per ottenere il medesimo risultato

E’ chiaro comunque che, l’utilizzo di un plugin è la soluzione più semplice e immediata.

PROTEGGI IL SERVER SU CUI È OSPITATO IL SITO

Non è una cosa a cui magari si può pensare subito, ma il tuo sito è ospitato su un server che ha delle risorse limitate: ogni volta che un utente, per motivi leciti o meno, ne apre una pagina, WordPress farà delle interrogazioni al Database, eseguirà un certo numero di script PHP e utilizzerà anche il web server in esecuzione sulla macchina, in due parole consumerà risorse.

È quindi chiaro che sia il traffico “buono” che quello maligno impegnano entrambi, con le medesime modalità, il server che ospita il tuo sito, questo comporta perciò che se del traffico maligno che va a sommarsi a quello legittimo rischi di veder calare le prestazioni di navigazione ma anche di incorrere in veri e propri attacchi DOS  con il possibile risultato di ritrovarti anche con il tuo sito non raggiungibile e/o di saturare le risorse della macchina, con il risultato di creare problemi all’intero sistema.

COME OPERA UN WEB APPLICATION FIREWALL

Un firewall nella sua accezione più generale non è nient’altro che una barriera posta tra due diversi elementi, ad esempio tra una rete locale e il mondo esterno (internet); in questo caso, il firewall è un’applicazione che serve a filtrare il traffico tra il tuo sito e l’esterno permettendo al traffico legittimo di passare bloccando al contempo quello maligno.

Un Waf è in grado di proteggerti da attacchi di tipo Cross Site Scripting (XSS) e da Sql Injections analizzando e applicando delle regole al traffico HTTP da e per il sito.

DIFFERENZA TRA WAF SERVER SIDE E APPLICATION LEVEL

Esistono due tipi diversi di WAF che operano in modi differenti:

  • Server side: Questo tipo di WAF lavora come prima barriera tra il server e il traffico in entrata. Offre un livello di sicurezza maggiore ma è più costoso da implementare, un esempio è Cloudflare
  • Application Level: Lavora soltanto a livello del tuo sito, ha un impatto praticamente nullo sulle risorse del server un esempio è il già citato Wordfence.

In pratica, il Firewall server-side, impedisce di accedere ai file del tuo sito “a monte” secondo le regole che hai stabilito, mentre l’application level filtra il traffico più “a valle”, difendendo si il tuo sito, ma lasciando scoperto il Server.

Per concludere, ora che dovrebbe esserti maggiormente chiara l’importanza di implementare la sicurezza del tuo sito WordPress non ti resta che decidere quale soluzione utilizzare e implementarla al più presto.