WordPress – Suggerimenti per la sicurezza

Il nostro sito con WordPress, qualunque sia l'argomento trattato, rappresenta il nostro modo (o uno dei nostri) con cui ci presentiamo su Internet. Metterlo in piedi e tenerlo in vita, ci costa tempo e fatica, è nostro interesse proteggerlo al meglio. WordPress è diventato ormai una piattaforma piuttosto diffusa, e come tutte le piattaforme diffuse riceve le attenzioni anche da parte degli Hacker. Dobbiamo quindi proteggere i nostri (sudati) post anche da chi vuole danneggiarli.

Tenendo comunque presente che la sicurezza assoluta non esiste, elenco di seguito una serie di suggerimenti per limitare le possibilità che qualche maleintenzionato si introduca nel nostro sito.

  1. Scegliere una password robusta. Come per tutti i computer e siti Internet, la password rappresenta la maggior difesa contro gli accessi non desiderati. Valgono quindi i soliti suggerimenti per le password.
       a) La password deve essere robusta. Non scegliete come password il nome del cane, del gatto o della fidanzatina delle elementari, scegliete una password casuale, lunga almeno 8 caratteri che contenga lettere e numeri. Lo so, è difficile da ricordare, ma fatta così è anche difficile da scoprire.
       b) Non usate la stessa password per più siti. Se avete utilizzato la password anche per un altro sito, cambiatela immediatamente.
      c) Le password devono essere conosciute solo da voi e da nessun altro. Non comunicate la vostra password a nessuno, se qualcun altro deve accedere al sito, si possono creare più utenti.
     
  2. Tenere WordPress aggiornato. Il team di WordPress è continuamente al lavoro per migliorare il prodotto e renderlo sempre più sicuro. La maggior parte delle vulnerabilità riguardano solo le vecchie versioni. Tenendo WordPress costantemente aggiornato limitiamo la possibilità che l'Hacker utilizzi dei bachi del sistema per accedere.
     
  3. Limitare il numero dei plugin. il team di WordPress è composto da ottimi programmatori che scrivono dell'ottimo codice. Questo purtroppo non è vero per quanto riguarda il codice dei plugin, almeno non per tutti. I plugin oltre che appesantire l'uso del WordPress, possono rappresentare anche un rischio per la sicurezza. E' meglio installare solo i plugin necessari, ed aggiornarli ogni volta che esce una nuova versione.
     
  4. Cambiare il nome dell'utente amministratore. A meno che non si utilizzi una vulnerabilià del sistema, un hacker per accedere deve conoscere username e password. Se lasciamo come username di amministrazione "admin", gli abbiamo già fornito metà delle informazioni. E' meglio usare un utente amministratore con un nome diverso.
     
  5. Utilizzare i profili per gli utenti. Se su un sito scrivono più persone non utlizzare lo stesso account per tutti, creare un utente per ogni persona. Su WordPress sono definiti i seguneti profili: Collaboratore, Autore, Editore, Amministratore. Non dare a tutti il profilo di amministratore, ma dare ad ogni persona il profilo più adatto per il suo ruolo.
     
  6. Cambiare il nome delle tabelle di mysql. Di default WordPress utilizza il prefisso "wp_" per il nome delle tabelle. Cambiando il prefisso con qualcosa di diverso, ad esempio "miowp_", rendiamo leggermente più difficile un attacco a mysql. E' possibile farlo durante l'installazione o con appositi plugin.
     
  7. Accedere a WordPress tramite https. Se il nostro web server lo supporta, è meglio configurarlo in modo da accedere alla parte di amministrazione di wordpress tramite https. In questo modo essendo cryptate le informazioni in transito, non sarà possibile scoprire username e password "sniffando" il traffico di rete. Ovviamente il sito normale dovrà continuare ad essere accessibile da http.
     
  8. Nascondere il numero di versione di WordPress. Molte vulnerabilità riguardano solo le vecchie versioni o una specifica versione. Nascondendo il numero di versione rendiamo più difficile agli hacker scoprire quali sono le vulnerabilità di cui il nostro sistema è affetto. Ricorda, non ho detto che così non possono scoprire quali sono, ho solo detto che lo rendiamo un po' più difficile.
    Per questa modifica è sufficiente editare il file "header.php" del proprio tema e rimuovere la riga
    <meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
     
  9. Impedire l'accesso diretto alla directory wp-admin. Per fare questo è sufficiente creare dentro la directory wp-admin il file .htaccess con le seguenti righe:
    # BEGIN WordPress
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    # END WordPress

Seguendo questi pochi, semplici suggerimenti avremo diminuito le possibilità di accessi non autorizzati.

Tags: ,

About the Author

Post a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Top