30 Set 2018 - Web Design
Ho selezionato 10 consigli per mettere in sicurezza il tuo sito WordPress.
Ti è mai capitato di veder sparire il tuo sito da un momento all’altro?
A me, nei primi anni, è capitato spesso e gestendo molti progetti, spesso si è trattato di passare intere notti insonni per ripristinare i siti WordPress hackerati?
In questo articolo voglio rispondere ad alcune domande:
come si installa correttamente WordPress?
Come possiamo mettere in sicurezza il nostro sito WordPress?
Come posso fare dei backup periodici del mio sito WordPress?
I 10 consigli per protteggere WordPress
1. I server sono una delle prime cause di hackeraggio dei siti, ed é quindi logico partire da qui, scegliendo un servizio di hosting sicuro, meglio se su un server dedicato, e con protocollo https. Questo primo passo, aiuta a limitare molto i rischi che il server venga bucato.
2. Il secondo consiglio dobbiamo attuarlo nella fase di installazione (oppure, se armati di tanta pazienza e attenzione, anche in un momento successivo). Modificare il prefisso delle tabelle del database.
Questo intervento, lo possiamo fare sia nella schermata nella schermata di installazione di WordPress, oppure andando a modificare manualmente il file wp-config.php.
Modificare
$table_prefix = ‘wp_’;
in
$table_prefix = ‘wpnuovoprefisso_’;
3. Il terzo suggerimento, che permette di aumentare ulteriormente il livello di sicurezza, è quello di generare le API Key e di inserirle nel file wp-config.php.
Le API Key si possono ottenere al link: https://api.wordpress.org/secret-key/1.1/ e dovranno essere inserite nelle seguenti righe del file wp-config.php:
define('AUTH_KEY', 'Mettere la vostra frase unica qui');
define('SECURE_AUTH_KEY', 'Mettere la vostra frase unica qui');
define('LOGGED_IN_KEY', 'Mettere la vostra frase unica qui');
define('NONCE_KEY', 'Mettere la vostra frase unica qui');
4. Siamo al quarto punto. Ti consiglio di nascondere la versione di WordPress installata.
Questo impedirà durante i tentativi di hackeraggio, di conoscere la versione WordPress che stiamo utilizzando, e di conseguenza le falle note per quella versione.
Per nascondere la versione, dovrai inserire il seguente codice nel file function.php.
/* Hide Version Number */
/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fb_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'fb_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'fb_remove_wp_version_strings' );
/* Hide WP version strings from generator meta tag */
function fb_remove_version() {
return '';
}
add_filter('the_generator', 'fb_remove_version');
5. Il quinto suggerimento è quello che permette di proteggere alcuni file e cartelle che contengono informazioni importanti per il funzionamento del CMS.
È fondamentale proteggere le cartelle wp-includes e wp-admin e, inoltre, il file wp-config.php che contiene, tra le altre informazioni, i parametri di collegamento al database.
Per farlo dovremo agire sul file .htaccess.
Per proteggere la cartella wp-includes dobbiamo aggiungere il seguente codice:
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
mentre per proteggere il file wp-config.php lo possiamo fare con il seguente codice:
order allow,deny
deny from all
6. Il sesto consiglio è estremamente semplice ed efficace. Eliminare tutti i file inutili, che non sono necessari al funzionamento del sistema WordPress.
I files che puoi eliminare si trovano tutti nella root principale, e sono:
● licence.txt
● licenza.html
● readme.html
7. La settima regola è deve diventare un pilastro, la verità assoluta, una regola alla quale aderire in maniera assoluta: usare credenziali sicure.
Continuo a vedere siti web le cui credenziali di accesso continuano ad essere: admin e password.
Nonostante sia scritto da tutte le parti, lo voglio ripetere per l’ennesima volta: utilizzare admin e password non è sicuro!
Utilizza delle credenziali complesse, con una password composta da caratteri alfanumerici, maiuscole, minuscole e simboli.
Normalmente WordPress permette di generarne una, ma se vuoi, ti suggerisco questo tool di generazione password (https://passwordsgenerator.net/ ).
Un ulteriore suggerimento, è quello di non utilizzare come amministratore, l’utente con ID 1.
Per farlo, dopo l’installazione, crea un nuovo amministratore (che avrà così un ID 2) e, successivamente, loggandoti con questo nuovo amministratore, elimina l’utente con ID 1.
8. Tutti conoscono l’indirizzo con cui accediamo all’amministrazione di WordPress?
http://www.nomedominio.com/wp-admin.
Modificare questo indirizzo ci consente di rendere irraggiungibile l’amministrazione da tutti quei sistemi automatici che la cercano all’indirizzo di default.
Per fare questa operazione è sufficiente installare e attivare il plugin HC Custom WP-Admin URL.
Puoi farlo sia scaricando il plugin dalla repository ufficiale, e poi caricarlo tramite FTP, oppure dal menù plugin del tuo sito WordPress.
Una volta installato e attivato il plugin, nel menu Impostazioni > Permalink apparirà una casella in cui inserire lo slug che sostituirà wp-admin e modificherà il percorso per accedere all’amministrazione.
9. La penultima regola è altrettanto facile e presente in rete, ma ancora risulta molto sottovalutata.
É importante mantenere aggiornato il nostro sito, la versione di WordPress, i plugin e il tema.
É un’operazione delicata per cui è necessario farla con attenzione e competenza, altrimenti, meglio chiedere supporto un professionista.
Prima di ogni aggiornamento è importate verificare le rispettive compatibilità e, ancora più importante, ricordati di fare sempre un backup di files e database prima di qualsiasi aggiornamento.
Ti consiglio anche di eliminare anche tutte le cartelle dei plugin e dei temi non utilizzati dal nostro sito WordPress che si trovano dentro la cartella wp-content e, rispettivamente nelle cartelle plugins e themes .
10. È rimasta per ultima, perché oltre ad essere un’operazione che è consigliabile farla in fase di installazione, è anche un’operazione che dovrai fare periodicamente: si tratta del backup. Il backup è un’operazione della quale ci ricordiamo quando ci accorgiamo di non averlo fatto! Nella maggior parte delle volte permette è na vera e propria salvezza, e consente di risolvere i problemi in tempi breve e in totale sicurezza.
Un backup del sito e del database, infatti, ci consente, con facilità, di ripristinare facilmente e velocemente l’ultima versione funzionante in seguito a un eventuale malfunzionamento, che sia dovuto ad un hackeraggio, oppure ad un aggiornamento andato male.
Come fare un backup di WordPress?
Ci sono molti metodi e plugin per farlo. Se hai abbastanza tempo e ami il lavoro manuale, puoi effettuare dei download periodici dei file e un’esportazione del database. Se invece preferisci utilizzare un plugin, ti suggerisco UPDraft Plus che ti consente sia di calendarizzare i backup, che di farlo istantaneamente (ad esempio prima di un aggiornamento).
Le copie potranno poi essere conservate in diversi modi: server, Google Drive, Dropbox e tanti altri.
Sicuramente questi 10 consigli non saranno la soluzione definitiva e in grado di blindare al 100% ogni sito, ma possono essere dei suggerimenti molto utili per la stragrande maggioranza dei siti, e in grado di proteggerli dagli attacchi automatici più diffusi.
Sono sicuro che se applicherai questi consigli, ti eviterai molte notti sveglio. 🙂
Voglio inoltre suggerirti alcuni interessanti plugin che possono aiutarti a completare o svolgere alcune delle operazioni consigliate
Ecco un breve elenco:
Login
Login LockDown
Permette di impostare il numero di tentativi di password errata prima di bloccare temporaneamente l’IP.
Google Captcha (reCaptcha)
Permette di inserire il sistema di sicurezza Re-Captcha di Google in tutti i moduli compreso il login in amministrazione.
Sicurezza
iThemes Security
Consente di fare molte delle operazioni indicate nei dieci punti precedenti
Sucuri
Plugin che consente, tra le molte cose, di rendere più restrittivo l’accesso ai files e di fare anche uno scan dei files per individuare eventuali modifiche sospette.
Wordfence
Plugin con moltissime funzionalità come lo scan dei file per l’individuazione di files corrotti, ma anche un sistema di alert molto completo che consente di essere avvisati al verificarsi di alcuni eventi sul nostro sito o anche in caso di presenza di aggiornamenti disponibili. Inoltre consente il salvataggio delle impostazioni e successivamente di ricaricarle in caso di installazione del plugin su un altro sito.