Tempo di lettura: 6 minuti
WordPress è il cms più utilizzato in tutto il pianeta con più di venti milioni di download,questo è semplice da installare e presenta un’interfaccia intuitiva a prova di utenti neofiti. Tuttavia se in fase di installazione si tralasciano alcuni particolari questo è vulnerabile ai fini di attacchi hacker.
Per questo motivo ho deciso di scrivere un articolo o una guida dove vi spiego come rendere sicuro il tuo sito WordPress in 10 mosse:
1. Utilizzate un hosting sicuro
Quando scegliete l’hosting per il vostro sito non basatevi sul più economico ma sceglietene uno che presenti un buon track-record (cioè prendi in considerazione le opinioni degli altri utenti). Fate una ricerca oculata e scegliete un servizio ben consolidato e che fa della sicurezza la sua forza.
Fatevi un giro sui vari form ed ascoltate quindi le opinioni di altri utenti.
Uno dei servizi più consolidati è sicuramente Aruba , io ad esempio mi trovo bene anche con Netsons il quale offre una buona assistenza ed è provvista di un C-panel con una buona guida per utenti meno esperti.
Se volete avere le idee ancora più chiare potete leggere l’articolo di Roberto Iacono che spiega in dettaglio le caratteristiche di alcuni tra i migliori servizi di hosting per WordPress e non solo.
2. Aggiornate costantemente piattaforma,temi e plugin
Mantenere aggiornato il sito con le ultime versioni di WordPress è importantissimo in quanto man mano che si sviluppano nuove versioni si tende a migliorarne la sicurezza riducendone la vulnerabilità da attacchi esterni. Lo stesso vale anche per i temi ed i plugin installati, per cui non ignorate mai le notifiche degli aggiornamenti.
3. Utilizzate password complesse
Seconda questa infografica circa l’8% dei siti wordpress violati utilizzano password molto deboli e quindi vulnerabili. Il mio consiglio è quello di non sottovalutare mai la scelta della password. Se la vostra fantasia non vi aiutasse potete sempre utilizzare questo generatore di password online. L’importante che poi ve la appuntiate da qualche parte per non dimenticarvela.
4. Non utilizzate mai ‘Admin’ come nome utente
Ricordatevi ,in fase di installazione di WordPress ,di non mettere ‘Admin’ come nome utente ,bensì utilizzarne uno a vostro piacimento. Questo ,insieme ad una password debole renderebbe il vostro sito non immune ad attacchi esterni, anzi questi sarebbe molto vulnerabile.
Se in fase di installazione avete utilizzato come nome utente ‘Admin’ il mio consiglio è quello di crearvene un altro , accedervi ed eliminare il primo.
5. Nascondi il tuo nome utente dalla Url dell’archivio dell’ autore
Anche se utilizzi un nome utente diverso da ‘Admin’ , quando andrai a scrivere un articolo questi sarà visibile alla fine del post o alla url relativa alla pagina dell’autore,infatti basterà posizionare il puntatore del mouse sopra il nome ed esso ne mostrerà l’indirizzo. Non pensate sia del tutto inutile cambiare il nome utente da ‘Admin‘ a quello vostro visto che sarà facilmente rivelabile?
Io dico di si per cui ritengo sia opportuno cambiare. Per fare ciò accedete al pannello gestore del database del sito ,(ad esempio phpmyadmin o meglio tramite il c-panel del vostro hosting provider) cliccate sul database relativo ad esso e cercate la tabella wp-users. Apritela e nel campo user_nicename cambiate il nome utente inserendone uno diverso rispetto al login,alla fine salvate tutto. Ora provate a passare il puntatore del mouse sul nome noterete che verrà visualizzato un indirizzo url con nome autore diverso da quello per accedere al pannello amministrativo.
Comunque prima di fare tale operazione vi consiglio vivamente di fare un backup del vostro db in quanto se non siete molto portati o avete poca esperienza potreste recare dei danni irreversibili.
6. Limita i tentativi di accesso
Spesso gli hacker attaccano mediante una brute-force ossia tentano di forzare brutalmente la vostra password e nome utente. Per rendergli la vita difficile è opportuno limitare il numero di accessi in base ad un indirizzo ip (pensate a quando effettuate un prelievo bancomat e non ricordate il codice,avete solo tre tentativi). Sicuramente vi verrà in aiuto il plugin limit attempts, questo fa al caso vostro ed è facilmente configurabile.
7. Disabilita il file editor all’interno della Dashboard
Se gli hacker riescono ad intrufolarsi all’interno della vostra dashboard potrebbero accedere su aspetto -> editor e modificare l’impossibile. Il mio consiglio è quello di disabilitare tale funzione aprendo il file config.php e digitare in fondo la seguente riga:
/*disabilita l'editor all'interno della dashboard*/ define ('DISALLOW_FILE_EDIT', true);
8. Limita l’accesso solo ad alcuni indirizzi ip
All’interno della cartella wp-admin , nella root,del vostro sito ,se non esiste create un file con estensione ‘.htaccess‘ (se volete saperne di più in merito a questo leggete questo articolo).
Quindi aprite il vostro editor di testo preferito e digitate quanto segue:
ErrorDocument 403/ http://www.tuosito.it/ order deny,allow deny from all # indirizzo ip del mio Pc allow from 1.34.253.129 # eventuali altri indirizzi IP autorizzati allow from 83.xxx.xxx.xx1 allow from 91.xxx.xxx.92
Salvatelo semplicemente così: .htaccess.
Quindi in poche parole in caso di error 403 (accesso negato) reindirizzami alla home del mio sito,in pratica blocca l’accesso a tutti gli indirizzi ip tranne quelli menzionati dopo ‘allow from’. E’ ovvio che dobbiamo aggiungere il nostro e quello di eventuali nostri collaboratori.
9. Fai sempre un backup del tuo sito
Ricordati di pianificare un backup periodico del tuo sito ,di tutto,dai file al database. Per fare ciò ti consiglio l’utilizzo di un paio di plugin davvero interessanti. Il primo è online backup for wordpress ,plugin facile da configurare il quale consente anche di pianificare i backup e di ricevere la cartella zippata contenente tutto presso il tuo indirizzo email. Il secondo è quello che mi sento di consigliarvi, cioè wordpress backup to dropbox, anche questo vi consente di pianificare il backup salvando il tutto nel tuo spazio dropbox. Mentre il primo superata una certa dimensione non è più possibile ricevere la cartella via email,questo non ha limiti a parte lo spazio rimanente nel tuo dropbox.
10. Ecco una lista di alcuni plugin relativi alla sicurezza per wordpress
Se volete avere vita facile potete sempre ricorrere all’utilizzo di plugin relativi alla sicurezza per wordpress.
Eccone una lista fra i più popolari:
- http://wordpress.org/plugins/better-wp-security/ – offre una vasta gamma di funzioni di sicurezza.
- http://wordpress.org/plugins/bulletproof-security/ – protegge il vostro sito tramite .htaccess.
- http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ – aggiunge un firewall per il vostro sito.
- http://wordpress.org/plugins/sucuri-scanner/ – analizza il sito alla ricerca di malware, ecc
- http://wordpress.org/plugins/wordfence/ – full-optional plugin di sicurezza.
- http://wordpress.org/plugins/websitedefender-wordpress-security/ – strumento di sicurezza completo.
- http://wordpress.org/plugins/exploit-scanner/ – cerca il vostro database per qualsiasi codice sospetto.
Spero io sia stato chiaro e non vi abbia messo troppa paura nell’affrontare tale argomento così ‘scabroso‘ .Sappiate che se applicherete ,non dico tutti,ma i punti fondamentali su descritti, cioè quelli relativi alla password o all’Admin riuscirete quasi sicuramente a rendere la vita molto complicata ai vostri amici Hacker. Prima di lasciarvi vi segnalo un’ulteriore guida relativa alla sicurezza.