Scoprire il codice malevolo nei temi e nei plugin WordPress

2 Min. Lettura

 

Scovare codice malevolo nei temi wordpress

Il successo di WordPress è dovuto alla sua semplicità di installazione e gestione, ed alla diffusione di plugin e di temi che permettono di arricchirne le funzionalità di base e l’impostazione grafica del sito.

La cosa interessante, inoltre, è che molti di questi plugin e temi sono gratis e possono essere scaricati da Internet. Alcune volte, però, nei temi e nei plugin offerti gratuitamente in Rete, alcuni malintenzionati possono nascondere codici malevoli.

Perchè inseriscono questi codici?

  • Per ricevere backlink dal tuo sito senza che tu te ne accorga
  • Per accedere di nascosto al tuo blog
  • Per dirottare i visitatori del tuo sito verso siti pubblicitari
  • Per aggiungere i loro banner pubblicitari
  • Per divertirsi a distruggere il tuo sito

Per tale motivo è importante proteggere WordPress da queste potenziali minacce che potrebbero danneggiare il tuo sito e mandare in malora tutto il tuo lavoro.

Per aumentare la sicurezza di WordPress, è buona pratica non installare plugin e temi scaricati da siti o directory poco note e  poco raccomandabili. Sarebbe bene installare solo quelli contenuti nella directory ufficiale di WordPress, ricercabili direttamente dal pannello di amministrazione.

In ogni caso, consiglio di installare questi plugin:

EXPLOIT SCANNER

Questo plugin analizza il codice del sito per scovare tracce di attività sospette. Non funziona come un antivirus, nel senso che non blocca alcuna attività malevola, ma ti aiuta a trovare il codice compromesso, ricerca che, senza plugin, dovresti condurre manualmente, su ogni singolo file.

Dopo averlo installato, vai sul PANNELLO DI CONTROLLO >>> STRUMENTI >>> EXPLOIT SCANNER  e avvia la scansione. Al termine della ricerca vedrai comparire sullo schermo delle stringhe di codice sospetto. Attenzione, non è detto che si tratti di codice malevolo.
Accanto ad ogni stringa di codice evidenziata trovi il file che la contiene. Aprendo manualmente il file, puoi analizzare meglio la situazione e decidere se è il caso di rimuovere completamente il plugin o il tema.

N.B: ATTENZIONE alcuni dei casi riportati dal plugin, potrebbero essere “falsi positivi”, cioè stringhe di codice inserite dai programmatori del plugin o del tema, che non svolgono alcuna funzione nociva.

THEME AUTHENTICITY CHECKER (TAC)

Installa il plugin, vai in ASPETTO >>> TAC  e avvia la scansione. TAC esegue una scansione del codice di tutti i temi presenti nella cartella Themes del nostro Wp-content, segnalandoti la presenza di codice potenzialmente pericoloso o di link indesiderati verso risorse esterne. Spesso si tratta di link posizionati nel footer del tema, diretti verso il sito degli sviluppatori del tema, da non cancellare per non incorrere nella violazione dei termini della licenza del tema stesso, di link diretti a siti pubblicitari, o di link nascosti diretti verso siti di gioco d’azzardo o pornografici, che possono influenzare negativamente il posizionamento del tuo sito sui motori di ricerca. Peggiori sono i casi in cui sono presenti degli script che inviano agli sviluppatori dati sensibili del tuo sito o dei vari iscritti. Se il plugin trova codice nocivo, si può cercare di rimuoverlo manualmente, aprendo il file che lo contiene, o decidere di rimuovere il tema.

plugin theme checker

CAPTCHA

Installa un plugin CAPTCHA per limitare i commenti spam inseriti dai BOT. Ci sono numerorsi plugin captcha gratuiti nella directory di WordPress. Si differenziano tra di loro per il tipo di codice richiesto (alfanumerico, semplici operazioni matematiche, ecc.) e per la diversa impostazione grafica.

ULTERIORI SUGGERIMENTI PER LA SICUREZZA DEL TUO SITO WORDPRESS

  • aggiornare la piattaforma con ogni versione rilasciata periodicamente da WordPress
  • svolgere un backup periodico delle cartelle e del database
  • installare solo plugin che si possono trovare nella directory ufficiale di WordPress. Anche se il team di WordPress non esegue direttamente l’analisi del codice dei plugin, risulta essere molto attento alle notifiche degli utenti ed è pronto a disabilitare il download di plugin che creano problemi.
  • scegliere password sicure utilizzando almeno 8 caratteri di cui lettere maiuscole, minuscole, numeri e caratteri speciali.
  • creare un sito web al solo scopo di testare temi e plugin, utilizzando spazi web offerti gratuitamente.

 

Hai altri consigli per aumentare la sicurezza di un sito WordPress? Scrivili nei commenti, grazie.