WordPress è un software open source. Ciò significa che il codice sorgente è pubblico, come sono pubbliche la struttura del database e dei file. Inoltre, man mano che vengono individuate vulnerabilità, le relative informazioni vengono rese immediatamente pubbliche.
In questa guida presentiamo una serie di soluzioni tecniche e accorgimenti che, adottati in modo corretto, possono rendere un'istallazione (quasi) inviolabile. La trattazione presuppone una serie di conoscenze, almeno di base, della struttura di WordPress e dei file wp-config.php e .htaccess. Il primo è il file di configurazione generale di WordPress; il secondo è il file di configurazione dei sistemi Apache che opera a livello di directory. Alcune soluzioni tecniche richiedono infine conoscenze della Plugin API di WordPress e sono destinate ad un pubblico di sviluppatori.
Prima dell'istallazione: i permessi sui file
Prima di avviare il lavoro di istallazione e configurazione di WordPress è necessario accertarsi di avere i permessi di scrittura sui file e sulle directory dell'istallazione. Durante le attività di configurazione e di pubblicazione WordPress opera infatti in scrittura su diversi file e cartelle.
Nei sistemi Unix-like i permessi su file e cartelle vengono rappresentati dal comando CHMOD (change mode). Questo modifica i permessi sui file e viene seguito da un numero di tre cifre: la prima cifra rappresenta i permessi del proprietario, la seconda i permessi del gruppo, la terza i permessi di tutti gli altri utenti. I possibili valori di ognuna delle tre cifre sono riportati nella seguente tabella:
| Valore decimale | Permessi |
|---|---|
7 |
lettura, scrittura ed esecuzione |
6 |
lettura e scrittura |
5 |
lettura ed esecuzione |
4 |
solo lettura |
3 |
scrittura ed esecuzione |
2 |
solo scrittura |
1 |
solo esecuzione |
0 |
nessuno |
CHMOD 777 significa per esempio che un file (o un folder) è accessibile in lettura, scrittura ed esecuzione dal proprietario, dal gruppo e da tutti gli altri utenti.
È necessario evitare di eccedere con i privilegi sui file e sulle cartelle. Bisogna assegnare infatti livelli che consentono di operare correttamente e allo stesso tempo cercare di prevenire l'accesso all'istallazione da parte di soggetti non autorizzati.
Nella generalità dei casi, un livello CHMOD 755 per le cartelle e 644 per i file è una soluzione accettabile. Per alcuni file, però, è opportuno ridurre il valore di CHMOD, in particolare per quanto riguarda .htaccess e wp-config.php.
Per il file .htaccess è consigliato un valore CHMOD 644, meglio se 604 o inferiore. Il permesso di scrittura è necessario per l'utente proprietario perché il file potrebbe essere modificato per un cambiamento nelle impostazioni dei permalink.
Altro file da proteggere è wp-config.php. Dopo la messa in produzione del sito, questo non viene più modificato da WordPress, quindi potrebbe essere opportuno ridurre i privilegi sul file al valore CHMOD 600 o, se possibile, anche 440 o 400.
Le directory /wp_admin e /wp-includes dovrebbero essere scrivibili solo dal proprietario; /wp-content, /wp-content/cache, /wp-content/uploads e /wp-content/plugins dovrebbero essere accessibili in scrittura anche dai gruppi. Per tutte queste directory si suggerisce CHMOD 755, ma potrebbero essere possibili valori più bassi (es. 705).
La variabilità del livello di CHMOD dipende dalla configurazione dell'host. Si consiglia, quindi, di effettuare dei test per trovare un giusto equilibrio tra operatività e sicurezza. Soprattutto si consiglia di evitare assolutamente CHMOD 777.
Nel prossimo capitolo si analizzeranno le prime tecniche di messa in sicurezza dell'istallazione relative al database e al file system di WordPress.