• Homepage
  • Articoli
  • Guida
  • Professionista di WordPress: un'intervista con il CEO di WP White Security, Robert Abela

Professionista di WordPress: un'intervista con il CEO di WP White Security, Robert Abela

Pubblicato: 2021-04-10
WP White Security

Roberto Abela, chi sei?! Per favore presentati!

Mi interessano i computer sin da quando ero bambino. Quando avevo circa 8 o 9 anni mio zio ha portato a casa un Atari e ci giocavamo.

Da allora, il mio interesse è cresciuto e ho ottenuto il mio primo computer (Amiga 500+) su cui scrivevo alcuni programmi di base.

Poi è arrivato il PC (avevo un 486 DX4), e poi internet. Dopo aver rotto il mio computer troppe volte, ho abbandonato la scuola di ingegneria elettronica e ho ottenuto il mio primo lavoro nell'informatica come tester di software presso una società di software internazionale. 14 anni dopo aver ottenuto il mio primo lavoro aziendale, ho fondato la mia azienda, WP White Security.

Roberto Abela

Come hai iniziato a usare WordPress? Quando è stato e cosa ci stavi facendo?

Ho avuto modo di conoscere WordPress durante il mio ultimo lavoro aziendale a tempo pieno come product manager presso Acunetix. Avevamo bisogno di un blog per documentare i risultati della nostra ricerca e abbiamo iniziato a utilizzare WordPress.

Una volta che abbiamo utilizzato WordPress, abbiamo notato che c'erano molte opportunità nel settore della sicurezza di WordPress. Dato che eravamo una società di software per la sicurezza delle applicazioni web, abbiamo persino creato un servizio di sicurezza WordPress chiamato Website Defender. Purtroppo il prodotto non è mai decollato, ma l'ho considerata una buona opportunità per me per saperne di più sull'ecosistema WordPress.

Tutto questo è bastato per farmi appassionare ed è così che è nata l'idea di WP White Security. Poiché la mia precedente esperienza era nella sicurezza, ho avviato WP White Security come blog sulla sicurezza . Abbiamo anche offerto servizi di sicurezza di WordPress come la pulizia di siti Web compromessi, il controllo del codice sorgente, il rafforzamento della sicurezza dei siti Web WordPress e altri lavori simili.

Successivamente, ho iniziato a imparare a scrivere codice e ho avuto il caso d'uso perfetto: un plug-in per i registri delle attività di WordPress. Ho sempre desiderato che i proprietari di siti Web avessero installato un tale plug-in prima che il loro sito Web venisse violato. Avrebbe reso la vita molto più facile allora!

Questa era tutta la motivazione di cui avevo bisogno per iniziare a sviluppare la prima versione di WP Activity Log. Quando il plug-in ha iniziato a prendere piede, abbiamo smesso di fornire servizi di sicurezza e ci siamo concentrati completamente sullo sviluppo di plug-in WordPress. Il resto è storia.

Hai sviluppato diversi plugin di sicurezza. Perché hai deciso di puntare su WordPress?

È successo tutto naturalmente.

Poiché il mio background era nella sicurezza delle applicazioni, in precedenza ho sempre lavorato per aziende di software di sicurezza. Quando ho scoperto WordPress ad Acunetix, ho visto una buona opportunità per essere coinvolto e fare qualcosa su WordPress.

Non ho mai guardato altri progetti CMS (come Joomla, Drupal ecc.) principalmente perché era bello fare qualcosa su WordPress, essere coinvolto nella comunità e potenzialmente fare nuove amicizie, ed è esattamente quello che è successo.

Quali sono i punti di forza e di debolezza di questo CMS? WordPress è sicuro? Perché le persone dovrebbero investire in un plug-in di sicurezza ?


Secondo me i punti di forza di WordPress sono:

  • È molto ben supportato e documentato
  • È supportato da una comunità grande e straordinaria
  • Il core di WordPress è molto stabile, aggiornato frequentemente e ben mantenuto
  • Grazie alle tonnellate di plugin e temi puoi creare qualsiasi tipo di sito Web con WordPress

Il core di WordPress è molto sicuro. I problemi di sicurezza più comuni con i siti Web WordPress sono causati dai proprietari/amministratori del sito. Per esempio;

  • I siti Web sono gestiti in modo errato e hanno plug-in non necessari installati, software obsoleto, privilegi utente assegnati in modo errato, password deboli ecc.
  • Gli utenti senza esperienza non sanno cosa è necessario per mantenere sicuro un sito WordPress.

Francamente, mantenere un sito sicuro non è scienza missilistica. Principalmente si tratta di seguire alcune best practice di sicurezza di base.

Potresti condividere 5 suggerimenti rapidi per rafforzare la sicurezza di un sito Web WordPress?

  • Tieni tutto aggiornato, inclusi plugin, temi e, naturalmente, la versione di WordPress. Questo vale anche per il tuo computer, smartphone e qualsiasi altro dispositivo che possiedi.
  • Assegna i privilegi giusti. I ruoli utente di WordPress hanno un ruolo significativo da svolgere nella sicurezza generale del tuo sito web. Il semplice atto di assegnare troppe capacità alla persona sbagliata può avere conseguenze potenzialmente disastrose.
  • Cerca i plugin prima di installarli. Inoltre, installa solo i plugin di cui hai bisogno. Alcune cose da tenere a mente quando si scelgono i plug-in per il proprio sito Web WordPress sono: valutazioni dei plug-in, recensioni degli utenti, numero di installazioni attive del plug-in, supporto, reattività degli sviluppatori e documentazione.
  • Hardening: c'è molto da fare quando si tratta di hardening di WordPress. Tuttavia, puoi iniziare con alcuni semplici passaggi, come l'implementazione della 2FA, il miglioramento della sicurezza delle password e la disabilitazione di ciò che non ti serve.
  • La sicurezza dovrebbe far parte delle tue attività quotidiane. La sicurezza di WordPress non è una soluzione una tantum, ma un processo per testare costantemente le tue difese e ripeterle per migliorare la posizione di sicurezza del tuo sito web.

Concentriamoci sui tuoi plugin: perché hai creato WP Activity Log?

Mi è venuta l'idea ai tempi in cui pulivo i siti Web compromessi. Ho pensato che i log fossero vitali per gestire un sito web, ma sono utili anche durante il lavoro forense, dove possono aiutarti a capire cosa è successo e cosa è stato sfruttato.

Poiché WordPress non ha alcun registro, ho iniziato a sviluppare WP Activity Log. Ad oggi abbiamo sei plugin, tutti incentrati sulla sicurezza di WordPress e sulla gestione degli utenti.

Registro attività WP : un plug-in completo per il monitoraggio degli utenti e il registro delle attività in tempo reale che aiuta migliaia di amministratori di WordPress e professionisti della sicurezza a tenere d'occhio ciò che sta accadendo sui loro siti Web.

Password Policy Manager : questo plug-in ti consente di configurare politiche password complesse per il tuo sito Web WordPress e la rete multisito.

WP 2FA : un plug-in di autenticazione a due fattori facilissimo da usare con il quale puoi rafforzare la sicurezza del tuo login utente WordPress in pochi secondi.

Monitoraggio delle modifiche ai file del sito Web: un plug-in per il monitoraggio dell'integrità dei file con un'esclusiva tecnologia intelligente che riconosce il core di WordPress, i plug-in e le modifiche ai temi, quindi non genera falsi allarmi di modifiche legittime ai file.

Registri attività per MainWP : questa è un'estensione MainWP che amministratori e agenzie utilizzano per tenere d'occhio ciò che sta accadendo sui siti secondari da un portale centrale: il dashboard MainWP.

Gestione avvisi di amministrazione: questo plugin gestisce gli avvisi di amministrazione nella dashboard di WordPress. L'idea è semplice, avere una dashboard senza distrazioni e leggere gli avvisi dell'amministratore a proprio piacimento e non perdere mai un importante messaggio principale o dello sviluppatore di WordPress.

Di tanto in tanto le persone ci chiedono perché sviluppiamo plug-in monouso invece di un plug-in di sicurezza "generico". Uno dei motivi è la facilità d'uso. I plugin di sicurezza generici possono essere un po' opprimenti per gli utenti.

Quando sviluppi un plug-in unico, puoi specializzarti in quell'area e concentrarti sulla creazione di funzionalità più solide, il che ovviamente è positivo per gli utenti con esigenze specifiche. Questo è lo stesso con tutto il resto. Usiamo come esempio la fotocamera dello smartphone e l'analogia DSLR; anche se al giorno d'oggi la maggior parte dei telefoni ha buone fotocamere, non puoi confrontare una fotocamera del genere con una DSLR, perché non importa quanto sia buono il tuo telefono con fotocamera, non avrà mai la versatilità, le funzionalità e le opzioni di una fotocamera digitale.

Come vedi l'evoluzione di WordPress in futuro?

WordPress è nato come un'umile piattaforma di blogging e oggi è utilizzato per blog, siti Web, soluzioni di e-commerce e anche come soluzione di back-end per molti progetti web.

Anche la sua quota di mercato sta crescendo rapidamente, quindi il futuro è decisamente interessante.

Più viene adottato, maggiore è l'interesse per esso. Ciò significa che più aziende investiranno nell'ecosistema WordPress, che in genere porta a più innovazione , nuovi prodotti e nuove modalità di utilizzo, più integrazioni e, soprattutto, un WordPress più sicuro.

Che dire del registro delle attività di WP?

Quest'anno ci stiamo concentrando sul refactoring del nucleo del plugin e delle sue funzionalità. Inoltre, essendo una soluzione di registro delle attività, ci stiamo concentrando anche sulle integrazioni, qualcosa che richiedono le aziende più grandi.

Ad esempio, scrittura di registri su soluzioni di terze parti, integrazioni con soluzioni come Splunk e sistemi di registrazione centralizzati.

Inoltre, abbiamo anche una roadmap interessante per tutti gli altri plugin, in particolare WP 2FA. Quest'anno aggiungeremo molte nuove funzionalità, quindi rimanete sintonizzati!