Introduzione
Qualsiasi risorsa web non è immune dall'attacco degli hacker. Anche WordPress necessita di alcune misure preventive al fine di non dare libero accesso agli utenti malintenzionati, che potrebbero compromettere (a volte irrimediabilmente) il nostro blog, con pericolose e pensati conseguenze per il lavoro svolto. Una misura preventiva da adottare è ad esempio, l'installazione di un firewall da integrare all'interno del proprio blog gestito con WordPress, operazione resa possibile tramite l'utilizzo del plugin WordPress Firewall, sviluppato SEO Egghead.
Funzionalità
Le numerose funzionalità messe a disposizione da parte del plugin, permettono di innalzare il livello di sicurezza del nostro blog. Le opzioni di firewalling disponibili non si limitano a semplici controlli, come il blocco o rilevamento di una delle più famose tecniche d'attacco hacker quale la SQL injection, ma ci permettono di specificare una whitelist di indirizzi IP (lista di indirizzi affidabili), dai quali il nostro CMS può ricevere delle particolari informazioni o comandi specifici, ed ai quali non attribuire le politiche di security. Altro strumento sicuramente da tener in considerazione è la possibilità di ricevere un' e-mail di alert al nostro indirizzo di posta elettronica contenente dei report su un potenziale attacco verificatosi verso il nostro blog.
Installazione
Dopo una breve e doverosa panoramica delle funzionalità di base del prodotto, siamo pronti all'installazione del plugin, esso è composto da un singolo file, prelevabile dal sito ufficiale utilizzando l'apposito tasto download file.
Prelevato il file wordpress-firewall.php occorrerà caricarlo all'interno della cartella wp-content/plugins del nostro WordPress, ad upload ultimato, la nuova struttura di tale directory dovrebbe essere simile a ciò che viene mostrato nella figura 2 (si noti la presenza del file wordpress-firewall.php).
Procediamo a questo punto all'attivazione del componente, collegandoci all'interfaccia d'amministrazione, entrando nella sezione Plugin, ci preoccuperemo d'andare a selezionare la checkbox in corrispondenza della voce WordPress Firewall e successivamente cliccheremo sul link attiva, a questo punto il nostro firewall sarà attivato dal sistema.
Configurazione
La configurazione del plugin avviene come al solito entrando nella corrispondente voce contenuta nel menù Impostazioni.
Le opzioni di configurazioni sono suddivise in sezioni. È possibile all'interno della sezione "Apply Security Filters" decidere quali azioni bloccare o filtrare e quali invece lasciare libere. Nello specifico, la voce "Block directory traversals (../, ../../etc/passwd, etc.) in application parameters" ci consentirà di mettere al riparo il nostro blog dai così detti attacchi path traversal, una tecnica utilizzare dagli hackers per alterare la posizione delle risorse. Naturalmente è buona norma abilitare anche il blocco degli attacchi SQL injection, operazione resa semplice dalla selezione della checkbox in corrispondenza della voce "Block SQL queries (union select, concat(, /**/, etc.) in application parameters".
È altresì possibile filtrare altre tipologia d'attacchi quali il blocco dell'upload di alcuni tipi di file, come ad esempio eseguibili o file con estensioni php, che potrebbero contenere del codice malevolo, oppure l'esecuzione remota di file, che potrebbero provocare delle alterazioni nel corretto funzionamento del nostro blog
La sezione "Upon Detecting Attack" ci permette di specificare il comportamento da seguire in presenza dell'errore 404, molte tecniche hacker basano il loro funzionamento sullo scovare tali pagine, al fine ad esempio, di risalire ad alcune informazioni relative al server, come ad esempio il server web su cui gira il nostro CMS, il tipo di sistema operativo ecc. un redirect verso la home page potrebbe salvaguardarci da un attacco di questo tipo.
Risulta utile in molti casi ricevere un alert via e-mail, ogni qualvolta si verifichino delle anomalie all'interno del nostro blog, che potrebbero destabilizzarne il corretto funzionamento, come detto in precedenza il plugin ci consente di riceve automaticamente tali messaggi, ogni qualvolta si presuppone sia in corso un probabile attacco, l'abilitazione di tale funzione, avviene tramite l'inserimento di un indirizzo e-mail valido all'interno della textbox contentuta nella sezione email, è altresì possibile decidere se ricevere un'unica mail per ogni attacco simile ricevuto, oppure riceverne una per ogni tentativo d'attacco effettuato verso il nostro blog
Il mio consiglio è quello di riceverne una per ogni tentativo d'attacco, così facendo in qualsiasi caso la notifica d'attacco ci verrà recapitata e potremo eseguire un'accurata analisi dello stesso, così da decidere le eventuali contromosse da adottare.
Ci viene data la possibilità di creare una whitelist di indirizzi IP, ai quali non associare alcuna regola di sicurezza, questo può facilitare il compito di gestione del blog ma anche della sicurezza di quest'ultimo, infatti solo gli indirizzi IP contenuti nella whitelist, saranno abilitati ad eseguire alcune tipologia di upload file oppure alcune operazioni delicate. Oltre che una whitelist relativa agli indirizzi IP è altresì possibile creare una whitelist di pagine alle quali non verrà applicata alcuna regola di security.
Ad esempio sarà possibile eseguire qualsiasi operazione sul nostro CMS, da uno o più indirizzi specifici, per rendere possibile tale operazione, inseriremo l'IP o gli IP privilegiati, all'interno delle textbox "Whitelisted IPs" e confermeremo il tutto cliccando sul tasto "Set Whitelisted IPs".
Conclusioni
L'installazione di questo piccolo firewall può essere un passo importante verso la messa in sicurezza del nostro blog, ma sicuramente questo non è sufficiente a rendere "inattaccabile" il nostro blog. Analizzeremo altre tecniche di prevenzione e messa in sicurezza del nostro blog nei successivi articoli.
