Nel corso degli ultimi anni WordPress si è sicuramente affermato come uno dei CMS, o piattaforma blog, più usata sia dagli utenti quanto dagli sviluppatori. Il team di wordpress è sempre molto attento al tema sicurezza, rilasciando aggiornamenti con una certa frequenza. Tuttavia, non si può dire lo stesso dei plugin ed i temi sviluppati dalla comunità; per questo motivo, diventa fondamentale porre attenzione nell’evitare di esporsi ad attacchi, exploit e malware di vario tipo, soprattutto per chi, come noi, offre tra i suoi servizi la creazione di siti e servizi web basati su WordPress.
L’obiettivo di questo post non è entrare nei dettagli dell’hardening di WordPress, perchè c’è già tantissimo materiale in giro per la rete.
L’obiettivo, più che altro, è presentare un Application Firewall che prevenga attacchi alla nostra installazione WordPress.
Cosa rende insicuro e vulnerabile l’installazione di WordPress?
Il primo problema è senza ombra di dubbio da ricercarsi in una versione non aggiornata di WordPress. Ogni qualvolta viene rilasciato un aggiornamento di sicurezza, veniamo avvisati nella Dashboard; tuttavia, tantissimi utenti, magari non sviluppatori, tendono ad ignorare questi messaggi.
Le vulnerabilità presenti nei plugins e nei temi rappresentano un altro lato della medaglia, senza dimenticare l’assoluta incuranza nella scelta delle password di amministrazione e, spesso, la mancanza di conoscenza di cosa sia il Web.
Da blogger, ho avuto il piacere e l’onore di essere tra i beta tester di WP WAF, un plugin tutto italiano sviluppato da Gianni Amato.
Ecco come si presenta nel repository ufficiale:
WordPress Application Firewall. Protects against current and future attacks. Email notification is disabled by default, notification can be activated and configured in Settings > WP WAF. Go to your WP WAF configuration page.
Una volta installato, abbiamo la possibilità di personalizzarne il comportamento tramite una schermata semplice ed intuitiva:
Grazie a WP WAF abbiamo quindi un comodo Application Firewall che ci avviserà (via mail) di eventuali attacchi al nostro sito web.
