Come si aumenta la sicurezza di un sito in WordPress?

0
501
wordpress

WordPress è uno dei CMS (Content Management System) open source più utilizzati al mondo, con oltre il 14,4% di market share a livello globale.
Ciò vuol dire che un sito su 7 è assistito dalla piattaforma programmata per la prima volta nel 2003 da Matt Mullenweg e Mike Little, e oggi giunta alla sua versione 4.2.2.
Come ogni software popolare, anche WordPress è un bersaglio appetito da hacker che vogliono sfruttare le vulnerabilità del sistema per poter accedere a dati sensibili fino ad addirittura prendere il controllo del server su cui il sito è ospitato.

Tale scenario può apparire eccessivamente catastrofista, ma in realtà può stupire quanto il tema della sicurezza in ambito web sia trascurato da molti professionisti del settore.
Dunque rendere WordPress il meno vulnerabile possibile richiede una serie di accorgimenti.

COME METTERE IN SICUREZZA UN SITO IN WORDPRESS

  1. RENDI IL TUO LOGIN SICURO

lucchettoIl login è certamente la parte più importante da mettere in sicurezza. La prima misura da adottare è l’installazione di un certificato SSL, che eviterà la trasmissione di dati in formato “plain text” intercettabili.

Una volta acquistato un certificato SSL per il dominio specifico, installatelo tramite il vostro hosting provider e impostate la pagina di login e l’amministrazione di WordPress a viaggiare in SSL aggiungendo le due seguenti righe al file wp-config.php:

define(‘FORCE_SSL_LOGIN’, true); define(‘FORCE_SSL_ADMIN’, true);

Una volta fatto ciò occorre occuparsi delle utenze di amministrazione.
Per prevenire attacchi di “bruteforcing”, o almeno limitarli, consigliamo quanto segue:

  • Evitare di impostare “admin” o “administrator” come username dell’amministratore. È il primo bersaglio per il bruteforcing.
  • Utilizzare password complesse fatte di lettere maiuscole, minuscole, numeri e caratteri speciali. Una password di 8 caratteri richiede poche ore per essere forzata.

2. IMPOSTA UNA ROUTINE DI BACKUP

Fare backup di sito e database preferibilmente con cadenza giornaliera o almeno con cadenza settimanale.

3. AGGIORNA WORDPRESS E PLUGIN

Aggiornate sempre sia il core di WordPress che i singoli plugin o temi di terze parti. Aggiornate quanto prima le versioni di WP ogni volta che sarà richiesto, facendo attenzione a scegliere quello con la lingua corretta: normalmente gli upgrade italiani escono qualche giorno dopo quelli in inglese.

Evitate al massimo i plugin che non provengano dal repository ufficiale (wordpress.org). Una cosa molto utile solo i commenti e il voto lasciati dagli utenti che hanno già scaricato e utilizzato il plugin.

4. NASCONDETE LA VERSIONE DI WORDPRESS

Ogni versione di WordPress ha una sua vulnerabilità. Bisogna dunque nascondere la versione di WordPress con il seguente codice e cancellare anche i file readme.html, readme.txt e licence.txt nella root del sito.

function wp_hide_version() { return ”; } add_filter(‘the_generator’, wp_hide_version ‘);

5. CAMBIATE IL PREFISSO DELLE TABELLE

Molti script malevoli danno per scontato che il prefisso delle tabelle di WordPress nel database sia “wp_”. Cambiatelo in qualcosa di meno intuibile. Il prefisso delle tabelle vi viene richiesto durante l’installazione di WordPress.

prefisso-tabelle-database-wordpress

6. IMPOSTATE LE SECRET KEY

Le secret key consentono di resettare le sessioni e i login attivi. In questo modo, un eventuale malintenzionato che abbia effettuato l’accesso non avrebbe più modo di interagire con il database. Potete farlo da qui.

7. IMPEDITE L’ACCESSO A WP-CONFIG.PHP

Wp-config.php è una miniera di informazioni per un hacker. Impedite l’accesso aggiungendo queste righe al file htaccess:

order allow,deny deny from all

Settate infine l’htaccess con permessi 640 per evitare di rendere il tutto vano!

8. DISABILITATE L’EDIT DA BACKEND

Infine, disabilitate l’editing dei file da backend con il codice seguente, da aggiungere al file wp-config.php:

9. NASCONDETE DALLA VISUALIZZAZIONE PUBBLICA LA CARTELLA /WP-CONTENT/ PLUGINS

E’ una delle prime ad essere visualizzate dai malintenzionati, i quali potrebbero sfruttare bug noti per accedere indebitamente al sito (caricare file arbitrari, cancellare contenuti da remoto, sostituire la home page). Potete evitare il listing sia mediante .htaccess che inserendo un file index.php vuoto nella cartella in questione mediante FTP. Cancellate il file wp-admin/install.php dopo aver finito l’istallazione principale, oppure rinominatelo con un nome di fantasia.

.HTACCESS

Uno dei vantaggi di avere l’hosting su Linux è la possibilità di utilizzare il file .HTACCESS. Questo file può essere inserito nella root dello spazio web per configurare in modo semplice alcune impostazioni di Apache per il proprio sito.

In particolare per un sito in WordPress possono essere create alcune delle seguenti regole. Per prima cosa si possono creare regole per filtrare l’accesso all’area amministrativa in base agli indirizzi IP in modo che possano accedere solo alcuni indirizzi IP selezionati e vengano bloccati IP sospetti.

htaccess

È sempre meglio disabilitare l’opportunità di navigare fra le cartelle del tuo spazio hosting via browser, agendo sulla proprietà del Directory Browsing.

Altra cosa molto importante è la possibilità di bloccare l’accesso diretto a file che potrebbero essere pericolosi o sarebbe meglio mantenere privati, come ad esempio file di backup, file di configurazione, file grafici, ecc…

Per ulteriori informazioni potete fare riferimento uno dei tanti manuali di sicurezza su WordPress che hanno ispirato quest’articolo.

Ora sei pronto per realizzare il tuo sito internet con WordPress!

Se sei alla ricerca di uno spazio hosting professionale e conveniente vieni ad acquistarlo da noi!