WordPress: 14 consigli per mettere in sicurezza il vostro blog


Eseguire il backup del vostro blog regolarmente e completamente:
Prima di una qualsiasi modifica, eseguite il backup completo del vostro blog WordPress. E’ assolutamente necessario “mettere al sicuro” le parti più importanti quali sono il database MySQL e l’account FTP.
Esistono varie alternative per ottenere lo stesso risultato, tra queste Vaultpress e Online Backup; nel primo caso l’opzione è proposta direttamente da Automattic (l’organizzazione alle spalle di WordPress), offre backup completi o parziali impostando vari intervalli di tempo (tutti i giorni, una volta al mese), opzione a pagamento. Online Backup è invece un’ottima soluzione gratuita; dopo essersi registrati sul sito, è possibile impostare il proprio backup quando e come si preferisce.

Mantenere il proprio sito WordPress aggiornato:
L’85% dei blog WordPress sotto attacco hanno tralasciato mesi e mesi di aggiornamenti, in questo modo hanno “perso” le patch di sicurezza rilasciate e sono risultati essere maggiormente vulnerabili.

Testare le proprie vulnerabilità:
WP Security Plugin, oltre a permetter di cambiare il prefisso, identifica le vulnerabilità del sistema; in particolare visualizza i permessi di accesso alle cartelle ed eventuali avvisi.

Utilizzare password sicure:
Un account amministratore con elevati privilegi (sia in WordPress che in un qualsiasi PC desktop), deve avere una password con almeno 8 caratteri includendo: Numeri e Simboli Speciali.
Si consiglia di non utilizzare password puramente testuali o parole facilmente riscontrabili in un qualsiasi dizionario di lingua italiana; è ugualmente sconsigliato utilizzare date di nascita o informazioni facilmente reperibili in rete, ricordate che con l’avvento di internet la poca privacy rimasta sta lentamente scemando.

Cambiare il prefisso del vostro database:
Quando installate WordPress, il prefisso assegnato al database MySQL è wp_. Se non prestate la giusta attenzione a questo parametro, potrebbe essere troppo tardi. Per far questo, utilizzate il WP Security Scan Plugin.

Vietare l’accesso ai file di installazione WordPress:
Di default ognuno può accedere ai files del tipo wp-content, attraverso un semplice browser. Bloccate, modificando i permessi, ogni tipo di accesso ai vostri files di installazione.

Cancellare l’account “admin” creato di default:
Di default, WordPress crea, durante l’installazione, un account chiamato Admin. Se non viene cancellato, colui che attaccherà il vostro blog dovrà cercare solamente la password per potervi accedere.
Per risolvere questo “problema”, create un nuovo account con privilegi di amministratore, eseguite il logout dal vecchio account, entrate con il nuovo e cancellate “admin” di default.

Nascondere la versione di wordpress:
Se visualizzate il codice sorgente del vostro sito, molto probabilmente notate la presenza di un meta tag indicante la versione di WordPress attualmente in uso.

meta name=”generator” content=”Wordpress 3.1.x”/

Colui che attacca il vostro sito, conoscendo la versione in utilizzo, è in grado di risalire ai bug da sfruttare per intromettersi nel sistema.

Creare security keys in wp-config.php:
Per garantire maggiore sicurezza, inserite nel file wp-config.php (un file contenente il collegamento con il database MySQL) una serie di chiavi di sicurezza generate casualmente.

Bloccare gli attacchi di forza bruta:
Di default è possibile testare una grandissima quantità di coppie di username e password che potrebbero tentare di connettersi al vostro profilo amministratore. Tuttavia, installando il plugin Login LockDown si restringe il numero di tentativi di accesso al profilo, per un determinato periodo di tempo.

Impedire l’accesso a wp-config.php via Htaccess:
Aprite il file Htaccess nella root del vostro server FTP ed aggiungete la seguente linea di codice. In caso di problemi non permetterà a nessuno di recuperare l’username e la password sul server. Tali righe di codice devono essere comprese tra <>.

filesmatch ^wp-config.php$
deny from all
/filesmatch

Nascondere gli errori di connessione:
Durante il login, WordPress visualizza messaggi di errore nel file functions.php in seguito ad un errore di sistema. Per nasconderli, aggiungete la seguente linea di codice:

add_filter (‘login_error’ create_function (‘$ a’, “return null ;”));

Disabilitare Windows Live Writer:
Windows Live Writer è un software creato da Microsoft che permette di postare gli articoli direttamente dal vostro desktop. Tuttavia, su WordPress, aggiunge una linea di codice nell’header del vostro blog, assolutamente non necessario e insicuro. Potete disabilitarlo con il plugin Ultimate Security Checker.

Verificare la sicurezza dell’host utilizzato:
E’ importante che l’host utilizzato possa offrire le più recenti (e continuamente aggiornate) versioni di Apache, MySQL e PHP.

Concludiamo questa lunga digressione sul mondo WordPress ricordando che quanto scritto in quest’articolo solo solamente una serie di consigli per cercare di limitare i possibili attacchi al vostro sito. E’ importante ricordare che, seguendo tutti i passi, non garantiamo l’assoluta protezione da attacchi informatici, poichè anche il più “sicuro” dei siti non lo sarà mai fino in fondo.

%d blogger cliccano Mi Piace per questo: