WordPress è il CMS più usato per creare siti in modo molto semplice, ma credo che il team di sviluppatori non si preoccupi abbastanza di metterlo in sicurezza, ci sono molti bot che molto spesso in un solo giorno cercano di trovare installazioni di WordPress per sfruttarle. Ecco quello che penso dovrebbe essere sistemato:
-
Nessuna 2FA: Nel 2023 non c’è un’opzione di base per abilitare la 2FA per proteggere gli account degli utenti (come gli amministratori). La 2FA è utile per prevenire accessi non autorizzati da parte di chi indovina o trova la vostra password (per esempio da una violazione dei dati) chiedendovi un codice o una chiave di sicurezza.
-
Nessun criterio per le password Non ci sono opzioni per imporre l’uso di password complesse agli utenti registrati, ma si può usare 1234 selezionando “Conferma l’uso di password deboli”. Davvero‽
-
Nessuna opzione di sicurezza aggiuntiva: Se volete modificare alcuni comportamenti predefiniti di WordPress come la validità dei cookie, la modifica del logo ecc. dovete modificare functions.php del vostro tema, ma se lo fate, ogni aggiornamento del tema ripristina le vostre modifiche, a meno che non usiate i temi figlio.
-
Errori di login: Per impostazione predefinita, nella pagina di login, se si tenta di accedere con credenziali errate, viene mostrato se l’utente esiste o meno, consentendo a un utente malintenzionato di utilizzare alcune tecniche come l’enumerazione degli utenti.
-
Plugins su plugins: Per ogni funzione che si desidera è necessario installare dei plugin, ma alcuni di essi sono davvero invasivi. Penso che molte opzioni dovrebbero essere incluse nel core, come SEO, sicurezza ecc. Invece di installare molti plugin che possono portare a vulnerabilità nel sito e ridurre le prestazioni. Ad esempio, WordPress non consente di aggiungere il meta tag description o forse è un problema del tema che ho riscontrato?
-
xmlrpc.php: È lo script presente nella directory di WordPress da cui provengono la maggior parte degli attacchi. Ad esempio, consente di connettersi al sito con l’applicazione di WordPress per smartphone. Dovrebbe essere disabilitato in functions.php o, meglio ancora, sul webserver negando l’accesso pubblico ad esso.
-
Consapevolezza degli utenti: Gli utenti e gli amministratori dovrebbero sapere come funziona WordPress. Ho visto molti siti con “Author: admin” e l’utente “admin” esiste!
-
CSP Difficile: È piuttosto impossibile aggiungere questa intestazione di sicurezza. Purtroppo se lo configurassi, il sito sarebbe davvero rotto e non ho mai trovato una soluzione per avere un csp valido.
Ho usato WordPress qualche tempo fa, mi piace e i problemi elencati possono essere risolti modificando functions.php, ma non è per tutti e richiede un po’ di risoluzione dei problemi perché una modifica errata può portare a un sito rotto! Non fidatevi del codice preso da internet se non sapete cosa fa!