Sei in difficoltà perchè non sai come mettere in sicurezza WordPress? Ti aiutiamo noi!

Anche se è vero, che è impossibile prevenire al 100% attacchi ad un sito, è vero anche che esistono una serie di operazioni e precauzioni che è possibile prendere per ridurre al minimo le probabilità di avere delle cattive sorprese, proteggendo al massimo il proprio blog WordPress.
Vediamo ora, una serie di consigli utili per aumentare la sicurezza di WordPress.

Permessi a livello di server

Attenzione a quando impostate i permessi sul vostro server. Ricordate sempre, che in generale i permessi vanno impostati in questo modo:

  • 755 per le cartelle
  • 644 per i file

Dando permessi più “generosi”, può rendervi più vulnerabili, ad attacchi ed exploit di malintenzionati. Fate attenzione.

Un altro consiglio utile, lato server, per bloccare la visualizzazione delle cartelle senza index, è quello di aggiungere al file .htaccess, il codice:

[code]Options -Indexes[/code]

Due operazioni semplici, ma estremamente importanti per la sicurezza del vostro sito.

La sicurezza delle password

Quante volte avrete letto dell’importanza di creare password sicure e difficili da scoprire. In effetti, è tutto vero. La password è fondamentale, cercate di creare password complesse, soprattutto per gli utenti con alti privilegi, come gli amministratori. Ecco di seguito, alcuni consigli per scegliere una password sicura:

  • 8 o 10 caratteri, alfanumerici;
  • Inserire caratteri speciali;
  • Non inserire parole di senso compiute, meglio sigle o abbreviate;
  • Non utilizzare password con date o soli numeri;

Mi raccomando alle vostre password cari lettori!

Eliminare l’account Admin

Di default WordPress, creare per l’amministratore del blog un account “admin”. In questo modo però, i malintenzionati possono concentrarsi direttamente sulla password, perchè il nome utente è già conosciuto.

Per evitare problemi e rischi di questo genere, create un nuovo utente con privilegi da amministratore. Per sicurezza, è bene che il nuovo amministratore non abbia lo stesso nome, che figura nel Front-End del blog. Successivamente, dopo aver verificato che il nuovo account funziona correttamente, eliminate l’account “admin” dal pannello di controllo di WP.

Qualità e Sicurezza dell’Hosting

Probabilmente molti non ci faranno caso, ma anche il vostro Provider Hosting, è di fondamentale importanza per la sicurezza dei vostro siti.

Senza divagare sui prezzi e sulle tecnologie utilizzate dagli Hosting, è bene che il vostro Hosting sia aggiornato, professionale e che utilizzi tutti gli strumenti disponibili per mettere al sicuro i vostri dati. Non sempre la colpa è degli amministratori dei siti web, della loro gestione o del mancato aggiornamento di script e cms, come WordPress, Joomla; a volte i problemi avvengono anche per mancanza di aggiornamenti sul sistema operativo del server, errata configurazione di permessi lato server, ed altre operazioni di cui si dovrebbe occupare lo staff del vostro Provider. Se siete sicuri di non aver commesso errori sulla configurazione e la gestione dei vostri siti, e le responsabilità possono essere del vostro Hosting, il primo consiglio è sempre quello di contattarli e provare a capire esattamente cosa è accaduto. Se il problema si dovesse ripetere o se non è possibile avere un confronto del genere, allora provate a cambiare Hosting.

Plugin per aumentare la sicurezza

Nella repository di WordPress sono disponibili migliaia di plugin gratuiti, per ogni esigenza. Anche per la sicurezza, è possibile trovare più di qualche plugin interessante.

I migliori plugin per aumentare la sicurezza di WordPress, sono: Secure WordPress di Frank Bültge, Login LockDown di Michael VanDeMar, AntiVirus di Sergej Müller.

Modificare il prefisso delle tabelle del database

Di default nell’installazione di WordPress, come prefisso per le tabelle del database, viene utilizzato il prefisso “wp_”. Questo è un vantaggio per gli eventuali malintenzionati, che in questo modo già conosceranno il nome delle tabelle e potrebbero tentare delle query injection.
E’ consigliato quindi, modificare il prefisso delle tabelle, per migliorare ulteriormente la sicurezza del vostro blog.
Il modo più semplice per modificare le tabelle, è quello di farlo nella fase di installazione, modificando successivamente anche la relativa voce nel file wp-config.php.
Per gli utenti più esperti, è possibile modificare i prefissi delle tabelle, anche in un secondo momento.

Nascondere la versione di WordPress e bloccare l’accesso al file wp-config.php

Altri due consigli per aumentare la sicurezza, sono rispettivamente quello di bloccare l’accesso al file di configurazione wp-config.php in un’altra cartella, e, quello di nascondere il numero della versione di WordPress che state utilizzando, nei metatag.

Bloccare l’accesso al  file wp-config.php

Il file wp-config.php è molto importante, contiene tutte le password per l’accesso al database e le impostazioni del vostro blog. E’ consigliabile bloccare l’accesso a questo file, aggiungendo al file .htaccess questo codice:

[code]# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>[/code]

Nascondere la versione di WordPress

Un altro piccolo vantaggio, da non dare ad eventuali malintenzionati, è quello di mostrare la versione di WordPress che state utilizzando.

Nell’header normalmente la versione viene mostrata con questo metatag:

[code]<meta name=”generator”; content=”WordPress 3.5.1″ />[/code]

Inoltre, viene aggiunta in automatico la versione di WordPress, anche agli altri script ed i fogli di stile. Pertanto, per rimuovere completamente ogni riferimento alla versione di WordPress utilizzata, provate ad utilizzare il plugin Better WP Security, oppure, aggiungete al file functions.php del vostro tema, il seguente codice:

[php] add_filter( ‘script_loader_src’, ‘remove_src_version’ );
add_filter( ‘style_loader_src’, ‘remove_src_version’ );

function remove_src_version ( $src ) {

global $wp_version;

$version_str = ‘?ver=’.$wp_version;
$version_str_offset = strlen( $src ) – strlen( $version_str );

if( substr( $src, $version_str_offset ) == $version_str )
return substr( $src, 0, $version_str_offset );
else
return $src;

}
[/php]

Ricordatevi inoltre, di eliminare i file o i file leggimi.txt, leggimi.html, licenza.txt, licenza.html dalla root principale di WordPress.

Conclusioni

Seguendo tutti i consigli elencati in questo articolo, migliorate senz’altro la sicurezza del vostro blog WordPress. Ricordatevi inoltre, di fare sempre frequenti backup di WordPress, soprattutto prima di ogni eventuale modifica, e di mantenere il vostro blog aggiornato, ad ogni nuova release del CMS. Quasi sempre, con ogni nuovo aggiornamento vengono risolti bug di sicurezza ed eventuali vulnerabilità, pertanto, è molto importante utilizzare versioni aggiornate e non obsolete.