Aumentare la sicurezza di WordPress

Aumentare sicurezza Wordpress

Quasi tutti i proprietari di siti web su piattaforma WordPress hanno ad un certo punto dovuto fronteggiare la situazione in cui la sicurezza del loro sito è stata compromessa. Situazioni come queste possono sicuramente essere spiacevoli. Se il tuo sito web è stato compromesso quasi certamente si è trattato di un cracker (la versione malevola dell’hacker) o comunque di un utente malintenzionato.

Per evitare questo tipo di scenario, ti raccomando vivamente di mettere in campo tutti i provvedimenti per proteggere il tuo sito. Con questo articolo ho intenzione di condividere con te i passaggi chiave per aumentare la sicurezza del tuo sito Worpress.

Nel seguito dell’articolo imparerai come aumentare il livello di sicurezza del tuo sito aggiungendo alcuni plugin, con alcune modifiche alla configurazione ed eliminando alcune operazioni di falsa sicurezza.

Per iniziare direi di effettuare una scansione del tuo sito con i più diffusi tools di security checking, come:

Quest’ultimo tool è fornito direttamente da Google, in alternativa è possibile effettuare la stessa verifica dal motore di ricerca digitando il nome del sito preceduto dall’operatore “site:” come nel seguente esempio:

site:www.nomesito.com

se in uno dei risultati riportati compare la dicitura “questo sito potrebbe essere compromesso” con molta probabilità hai ricevuto visite…

 

Oscurare l’accesso a file e cartelle che nessuno dovrebbe poter vedere sul tuo server

Mediante il file .htaccess che si trova nella directory principale del sito è possibile nascondere le cartelle ed i files che possono essere sfruttati dai malintenzionati per prendereil controllo del sito, i più importanti dei quali sono le directory plugins e themes, che si trovano ai percorsi:

Comunque noi non vogliamo bloccare completamente queste cartelle perchè contengono file CSS e JS che servono a visualizzare il layout grafico.

Per bloccare le succitate cartelle, è sufficiente aggiungere al file .htaccess le seguenti direttive:

Poi vai sulla homepage del tuo sito e verifica che il sito si veda normalmente. Se non si vede bene, prova a contattare l’amministratore del server.

 

Nascondi la pagina di login dell’amministratore

La pagina di login è la più attraente in assoluto per i malintenzionalti. Molti crackers infatti tendono ad ottenere una via facile al sito con un attacco a forza bruta (brute force attack), ovvero tentando ripetutamente coppie di username/password nella speranza di indovinare quelle giuste.

Uno dei plugin più utili allo scopo di prevenire questo tipo di attacco spostando la posizione della form di login è Lockdown WP Admin. E’ possibile installarlo dalla repository di WordPress al seguente link:

https://wordpress.org/plugins/lockdown-wp-admin/

Dopo averlo attivato è sufficiente spuntare la casella

Yes, please hide WP Admin from the user when they aren’t logged in.

poi riportare il nuovo indirizzo al quale spostare la form di login amministrativo e salvare.

wordpress-wp-lockdown-admin

 

Plugin All-in-One Device Security & Firewall

Il plugin All-in-One Device Security & Firewall permette le seguenti opzioni:

  1. Settaggio privilegi di sistema agli utenti
  2. Blocco di range di IP che non dovrebbero accedere all’amministrazione del sito
  3. Protezione della registrazione dei nuovi utenti
  4. Sicurezza del database
  5. Protezione del file system
  6. Backup e ricostruzione dell’accesso al file wp-config.php
  7. Gestione di blacklist e blocco degli utenti
  8. Firewall per bloccare robots, attacchi DOS o scansioni sospette
  9. Blocco dello spam
  10. Security scanner interno

Il plugin si trova a questo indirizzo:

wordpress.org/plugins/all-in-one-wp-security-and-firewall/

Se invece vuoi un plugin meno impegnativo ma comunque efficace e soprattutto sviluppato da un esperto di sicurezza informatica italiano, Gianni Amato, ti consiglio WP WAF, per provarlo collegati a questo link:

wordpress.org/plugins/wp-waf/

 

 Backup completo del sito

Eseguire regolarmente un backup del sito non è una pratica strettamente correlata alla sicurezza informatica, ma in caso di compromissione del sito disporre di una copia di backup con cui eseguire un ripristino si rivela di valore inestimabile. Inoltre confrontando i file di WordPress con la copia di backup si può risalire ai file che sono stati eventualmente modificati oppure alle modifiche sul database, così da ricostruire il comportamento dell’attaccante o del malware.

A questo scopo esistono numerosi plugin, ma io ti cosiglio questo:

wordpress.org/plugins/backupwordpress/

 

Update automatico del sistema

Ogni giorno vengono scoperte nuove vulnerabilità che affliggono i plugin di WordPress e talvolta anche il core, perciò è molto importante mantenere il proprio sito costantemente aggiornato.

A partire dalla versione 3.7 di WordPress gli aggiornamenti automatici sono abilitati di default, perciò se possiedi una versione precedente ti consiglio di passare a una più recente.

 

Cambiare il prefisso delle tabelle del database

Prima di effettuare questa operazione assicurati di avere una copia aggiornata del sito oppure effettua un backup.

Cambiare il prefisso delle tabelle del database di WordPress rende la vita dei crackers più difficile (ma non impossibile) perchè dovranno individuare il giusto prefisso utilizzato.

La modifica si può effettuare da PHpMyAdmin selezionando tutte le tabelle del database e scegliendo l’opzione “Replace Table Prefix” dal menu a tendina, come nell’immagine che segue:

cambiare il prefisso delle tabelle di WordPress

e aggiungentdo un nuovo prefisso.

Dopo dovrai modificare una riga del file wp_config.php nella directory principale del sito per cambiare il valore della variabile table_prefix, sostituendo quella nuova alla precedente wp_:

cambiare prefisso tabelle WordPress

Assicurati che il sito funzioni correttamente dopo la modifica.

Ci sono numerose altre strategie per aumentare la sicurezza di un sito in WordPress, ma queste sono le più efficaci perchè ti aiuteranno a mitigare i principali problemi di sicurezza di WordPress e ad assicurare lunga vita al tuo sito web.