Indice dei contenuti dell'articolo:
Mantenere sicuro WordPress da attacchi di hacker, bot e worm è qualcosa di estremamente facile se si seguissero delle semplici buone prassi, come quella di usare password complesse e aggiornare sempre il core di WordPress ed i relativi temi e plugin.
Purtroppo però, quando si ha a che fare con installazioni complesse, non sempre ci si può affidare ad un semplice click su tutti i plugin e temi da aggiornare, pena il malfunzionamento del sito che potrà restituire vistosissimi errori a livello PHP o più blandi e silenti errori dei plugin che magari continueranno a girare senza generare eclatanti errori 500 a livello PHP, ma che potranno produrre malfunzionamenti a livello di funzionalità e di business logic.
Non sempre è facile aggiornare.
Immaginiamo ad esempio un’installazione complessa con WordPress, WooCommerce e qualche decina di plugin che si occupano di estendere le funzionalità di WooCommerce, per il calcolo del costo delle spedizioni, per il calcolo del peso dei pacchi, per la personalizzazione del prodotto.
Abbiamo avuto moltissimi casi in cui uno sviluppatore all’aggiornamento di questi componenti andava a generare un errore insormontabile e di difficile risoluzione, motivo per cui di fatto non si poteva procedere con un aggiornamento rapido anche per il semplice motivo che il sito si trovava in un periodo stagionale particolarmente proficuo e non si potevano certamente interrompere le vendite estive.
Tuttavia sebbene si possa accettare di continuare a far girare il sito con plugin non aggiornati ma sicuramente funzionanti, non è accettabile farsi violare il sito e subire comunque un danno derivato dalla messa offline del sito, dal danno di immagine che minerebbe la fiducia dei clienti che si imbatterebbero su un sito visibilmente hackerato, o peggio ancora la sottrazione di tutto il database dei clienti per rivenderlo sul mercato nero.
Informarsi sulle vulnerabilità inerenti al mondo WordPress.
Un buon compromesso (nell’attesa ovviamente che si possano aggiornare tutti i plugin e temi all’ultima versione) è quello di informarsi e rimanere aggiornati in termine di nuove vulnerabilità sia a livello Core, temi e plugin.
Esistono non a caso degli ottimi siti per poter tenere costantemente sotto controllo la situazione a livello di sicurezza del proprio sito WordPress.
wpvulndb.com
Direttamente sponsorizzato da SUCURI azienda tra le leader in termini di security, wpvulndb è nella sua essenza l’abbreviazione di WPScan Vulnerability Database.
WPScan è uno scanner di vulnerabilità per WordPress black box gratuito per uso non commerciale scritto per professionisti della sicurezza e manutentori di blog per testare la sicurezza dei loro siti. WPScan è scritto in Ruby, la prima versione di WPScan è stata rilasciata il 16 giugno 2011. Oggi WPScan è gestito dal Team WPScan e da altri contributori.
WPScan Vulnerability Database
Il database delle vulnerabilità di WPScan è un database di vulnerabilità di WordPress Core, Plugin e Theme. Questo database è stato compilato dal Team WPScan e da vari altri collaboratori dalla pubblicazione di WPScan.
Puoi visitare il sito qui : https://wpvulndb.com/
