Sicurezza di WordPress

0
1838
views

Con la crescita esponenziale che sta vivendo il mondo di Internet, quasi ogni azienda oggi possiede una presenza online per mostrare i propri prodotti o servizi. In quanto tale, Internet è stato individuato come luogo dall’elevato valore economico. Per cui, così come vengono rapinate le banche, ora anche Internet ha iniziato ad essere rapinato; in questo caso dagli hacker. Questi ultimi sono “pirati informatici” che vanno alla ricerca di falle nel codice per ottenere permessi che non dovrebbero possedere.

WordPress, che rappresenta uno delle piattaforme più comunemente utilizzate in Internet, sta anch’esso iniziando una crescita esponenziale, rendendolo uno dei principali obiettivi per gli hacker che vogliono ottenere guadagni, caricando semplicemente un file che manda email di massa (SPAM), oppure recuperando informazioni dal database di un sito (private), o modificando completamente il sito, utilizzando una falsa pagina di transazioni sul sito per reindirizzarle altrove in modo da spendere i tuoi soldi più velocemente possibile (simile al riciclaggio di denaro), oppure per qualsiasi altro motivo immaginabile. Vi sono diversi modi per entrare in possesso del sito, ed è reponsabilità di chi se ne occupa renderlo sicuro in modo tale che non crei pregiudizio al server hosting, o alla propria azienda.
In questo articolo verrà mostrato come rendere sicuro il proprio sito WordPress, come curarne la manutenzione, metterlo online, e controllarlo ogni mese.

Da dove iniziare?

La protezione del sito inizia dal computer o dalla rete che si utilizza per gestire e aggiornare il sito, se vengono usati diversi computer per accedere al servizio hosting la sicurezza del sito diminuirà notevolmente e la probabilità che un virus, uno spyware, un malware si impossessi dei vostri dati sarà molto alta. Per tale motivo, si consiglia di accedere al proprio sito web da un solo computer, in cui sia installato un antivirus, e se il computer è connesso a una rete è consigliabile usare una connessione criptata come SFTP, SSH, o HTTPS.

Dati di accesso

Quando si acquista un servizio di web hosting, assicurarsi di utilizzare una password complessa per accedere al proprio account, e quando si effettua la registrazione utilizzare un indirizzo email dedicato solo per lavoro/affari.

Installazione di WordPress

Quando si installa WordPress vengono mostrate le preferenze di installazione che possono essere usate per avere una protezione aggiuntiva per il sito.

Scelta del protocollo: questa opzione consente di proteggere tutte le connesione effettuate al tuo sito rendendole criptate con protocollo HTTPS (NOTA: per utilizzare l’https hai bisogno di acquistare un certificato SSL per il tuo sito. Puoi acquistarlo direttamente dal nostro sito scegliendo tra i vari tipi di protezione, visita www.hostingpartner.it/certificati-ssl.php per maggiori informazioni)

Prefisso tabelle: di predefinito WordPress utilizza il prefisso “wp_”, ed essendo la configurazione predefinita gli hacker sanno cosa stanno vedendo quando accedono al database, cambiando quindi il prefisso con qualcosa di diverso, non si aggiungerà ulteriore sicurezza ma renderà comunque piu difficile individuare il tipo di CMS utilizzato.

Utente admin: di predefinito viene impostato come “admin”, un metodo che gli hacker usano per accedere è il “brute force” con cui si tenta di forzare l’accesso in modo continuo con una lista di parole usate frequentemente per utente e password. Siccome il nome “admin” è uno dei nomi utlizzati più di frequente, suggeriamo di cambiarlo con uno piu complesso, come “Pa_olo_0918”

Password admin: quanto detto in precedenza per l’utente admin si applica anche alla password per la quale suggeriamo di fare lo stesso, usare una password complessa. Esistono siti web online che generano password casuali con numeri, lettere e caratteri speciali.

Email admin: come detto prima – bisognerebbe utilizzare un’apposito indirizzo email per lavoro/affari.

Limitazione tentativi di accesso: è un plugin che limita i tentativi di accesso alla pagina amministrativa di WordPress. Si sconsiglia comunque di abilitare questo plugin in quanto non è aggiornato da 2 anni.

Opzioni Avanzate

Nome database: di default, il database è denominato wp(numeri) (es. wp210), per confondere gli hacker si consiglia di cambiarlo con qualcosa di diverso. Più sarà complesso il nome e più sarà difficile per gli hacker individuarlo.

Auto-upgrade per plugin e temi: attivare tutte queste opzioni. Anche con questa funzione attiva si consiglia di controllare il sito almeno una volta a settimana.

Backup automatici: questa funzione abiliterà un backup automatico del vostro sito, tuttavia non lo raccomando in quanto si consiglia di effettuare backup manuali o tramite il pannello di controllo hosting. Se il vostro sito viene hackerato, l’intruso caricherebbe file al suo interno e nel momento in cui si avvia il processo di backup, quando lo ripristinerete, il vostro sito sarà ancora infetto da tali file. La cosa migliore sarebbe creare un backup tutte le settimane dopo aver analizzato il sito.

Dopo l’installazione

Dopo aver installato WordPress, accedi ai file del sito con il “File Manager” o tramite FTP. Qui potrai modificare la struttura del sito e i suoi permessi per aumentarne la sicurezza.

File .htaccess

Il file .htaccess può essere usato per impedire l’accesso ai file con script che possono compromettere il sito, bloccare connessioni al database, connessioni remote, o liste di informazioni private. In tal caso è consigliabile bloccare gli accessi esterni ai file e cartelle in cui queste risiedono.

# Blocca i file in wp-includes

RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

# Le righe seguenti aggiungono sicurezza al file wp-config.php

order allow,deny
deny from all

# BEGIN WordPress

Se si utilizza un solo sito WordPress si può utilizzare il codice precedente nel file .htaccess per bloccare l’accesso ai file e alle cartelle, in questo esempio viene bloccato l’accesso alla cartella “wp-includes”, e a tutti i file al suo interno, incluso anche il file wp-config.php che contiene i dati di accesso al database.
Nota: se si sta creando un sito WordPress multisite bisogna rimuovere la riga: “RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]”.

Plugin

Esistono molti plugin che tengono il sito al sicuro da attacchi hacker e generalmente i migliori sono quelli più utilizzati, il che li rende i principali obiettivi degli attacchi.
Installarli e lasciarli senza alcun controllo creerà un elevato rischio di sicurezza in quanto questi plugin hanno permessi amministrativi, e una volta compromessi hanno la possibilità di caricare script che possono generare SPAM o modificare le pagine del sito.

Conclusioni

Il modo migliore per gestire problemi di sicurezza e imparare il giusto metodo per risolverli è iscriversi alla community di WordPress e controllare la pagina dei plugin di tanto in tanto, verificando che qualcuno non abbia subìto un hackeraggio tramite un plugin. In questo modo si avrà la possibilità di interromperne l’utilizzo prima che accada qualcosa.

WordPress è un ottimo strumento per avere un sito di bell’aspetto in poco tempo con un’elevata quantità di temi disponibili gratuitamente. Sfortunatamente però un sito WordPress non curato e senza manutenzione è come una porta aperta per hacker e malware. Mantenetelo al sicuro e chiudete le porte!