Uno dei plugin a cui ricorriamo più spesso per proteggere i nostri siti WordPress è iThemes Security Pro, lo consigliamo a tutti i nostri clienti e siamo molto esperti nel suo utilizzo anche in situazioni per così dire estreme.
Tra le sue funzionalità più interessanti c’è la possibilità di impostare la modalità Away, che permette agli amministratori di disattivare l’accesso al backend (pannello di controllo) di WordPress in un determinato lasso di tempo:
A cosa serve? Serve ad impedire qualsiasi tipo di attività sul nostro sito WordPress nei momenti in cui siamo assolutamente sicuri che nessuno ci deve mettere mano, ad esempio in piena notte o di domenica: sono proprio questi i momenti in cui un attaccante cerca di manomettere un sito web, approfittando della quasi certa mancanza di sorveglianza da parte di chi lo utilizza quotidianamente.
Nel migliore dei mondi possibili, una volta impostato questo lasso di tempo non avremo più bisogno di fare altro e godremo di una protezione extra di iThemes Security Pro che ci farà dormire sonni tranquilli.
Ma questo non è il migliore dei mondi possibili e io non sono il Candido di Voltaire, quindi che succede se, per qualsiasi motivo, ho bisogno di accedere al backend di un sito WordPress e questo si trova proprio in modalità Away?
Nessun problema, ammesso che abbiamo accesso diretto al filesystem.
Per disabilitare la modalità Away basta rimuovere questo file:
/wp-content/uploads/ithemes-security/itsec_away.confg
Non ci dimentichiamo però, poi, di rimettere le cose come stavano prima, se non vogliamo privarci di una protezione così importante.
CP
Domanda: scrivendo queste cose non sta aiutando involontariamente chi vuole bypassare questo tipo di controlli per scopi illeciti?
ziovanja
Non proprio: per prima cosa per poter fare quello che ho descritto nel mio post è necessario avere accesso diretto al filesystem. Inoltre, se anche si trattasse di una sorta di vulnerabilità del plugin, nasconderla non servirebbe a granché, meglio sapere. Ecco, sì. Sapere è sempre meglio 🙂