Come Rendere Sicuro WordPress [VIDEO]

La sicurezza, in special modo quando si tratta di WordPress, è un argomento di cui a  nostro avviso non si parla mai abbastanza; il “livello di attenzione” su un argomento del genere dovrebbe essere sempre molto alto dato il numero elevatissimo di siti che utilizzano questo famoso CMS.

Ecco quindi una breve panoramica su quelli che dovrebbero essere i primissimi step da seguire per mettere in sicurezza il tuo sito in WordPress.

Migliorare la sicurezza di WordPress. VIDEO

  • NON usare assolutamente login corrispondenti all’ID 1 (magari evitando “admin” come login) ed utilizza sempre password complesse/alfanumeriche lunghe almeno 12 battute

Quando gli spammer lanciano attacchi bruteforce generalizzati a grandi quantità di siti web realizzati in WordPress, spesso cercano di “entrare” dove già conoscono il nome utente “admin” appunto, e la cui password è semplice.

  • Nascondi l’area di accesso al pannello di amministrazione cambiando la url di login

Puoi usare un plugin per cambiare la url di login da tuosito.com/wp-admin a tuosito.com/quellochetipare

  • Aggiungere un livello di autenticazione a monte prima dell’accesso all’interfaccia di amministrazione

Con l’utilizzo di .htpasswd è possibile aggiungere un livello di autenticazione prima ancora di arrivare sulla pagina di login di WordPress. Questa funzionalità è molto utile in quanto protegge da attacchi bruteforce non a livello applicativo, ma a livello server. Infatti le richieste vengono gestite dal Webserver, senza sollecitare il Database con conseguente risparmio di risorse. La configurazione di tale autenticazione è molto semplice e può essere effettuata tramite qualsiasi panello di controllo di gestione dell’Hosting (es: Plesk, cPanel, DirectAdmin, etc…).

  • Aggiorna sempre all’ultima versoine sia il CMS che i plugin in uso e nascondi il tipo di versione che stai utilizzando

Spesso, pur aggiornando plugin e versione di WordPress all’ultima release, non trovi grossi cambiamenti, ma in realtà il motivo principale per cui vengono rilasciati gli aggiornamenti è proprio per porre rimedio alle numerose “falle” che sistematicamente si aprono nel CMS più diffuso al mondo. Mai trascurare l’aggiornamento del software, anche se ultimamente abbiamo notato che la versione 4 di WP non ha ancora risolto il problema degli attacchi bruteforce tramite protocollo XML-RPC. Restiamo fiduciosi per il futuro. 😉

  • Evita i plugin che non provengono dal repository ufficiale di wp (wordpress.org)

In genere puoi scegliere i plugin direttamente dal browser interno al pannello di controllo di WP, che nell’ultima versione “Benny” è ulteriormente migliorato, oppure puoi cercarli direttamente su Google. In questo secondo caso, fai attenzione a scaricarli dal sito ufficiale a questo indirizzo. Un malintenzionato potrebbe scaricare un plugin, metterci dentro “la sorpresa” e rimetterlo in download da altra posizione. Evita.

  • Cambia il prefisso delle tabelle nel DB MySQL (change database prefix) 

Durante l’istallazione di WordPress, dovresti modificare il prefisso delle tabelle nel database MySQL che di default è _wp. Modificandolo puoi prevenire attacchi esterni al database, soprattutto le SQL injections. Sostituisci il prefisso _wp con altro testo a tua scelta.

  • Cambia il nome della cartella contenuti 

Anche la directory wp-content, deputata ad accogliere i contenuti multimediali, può essere rinominata allo stesso scopo.

  • Blocca i permessi di scrittura nei file .htaccess, wp-config.php e wp-settings.php

Puoi farlo attraverso un software di interfacciamento lato client con il protocollo FTP (file transfer protocol) come FileZilla. Devi definire i permessi in modo che questi file non siano modificabili da chiundue (es: 644 o al massimo 755). Preverrai così attacchi che potrebbero buttare giù l’intero sito.

  • Elimina i file “README” di default nella cartella del CMS

Su questi file è possibile leggere informazioni sul tipo di versione istallata del software. Si tratta di rendere la vita difficile a chi ha cattive intenzioni.

  • Blocca qualsiasi IP che effettua un numero consistente di chiamate a file che non esistono

Potresti accorgerti da azioni di questo tipo che qualcuno sta cercando di “entrare” o danneggiarti in qualche modo. Monitorare gli IP è importante e può salvare il tuo sito. Il plugin Better WP Security potrebbe esserti molto utile. ah…. non dimenticare che il livello di sicurezza del sito dipende molto anche dal tipo di Server che stai utilizzando; parleremo anche di questo, prima o poi 😉

Rispondi all'articolo

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *


Il periodo di verifica reCAPTCHA è scaduto. Ricaricare la pagina.