Sicurezza WordPress: fortifica il tuo blog con i miei 18 preziosi consigli

La volta scorsa ti ho consigliato i plugin wordpress per trasformare il tuo blog in un soldato perfetto.

Ora che il tuo blog è più efficiente, rendiamolo più sicuro, o quasi, contro malintenzionati.

Attenzione: non mi assumo NESSUNA responsabilità in caso di errori o danni. E’ consigliabile un backup sia del database che del cms.

1) fortifica login e pass. Cambia il login da ADMIN a qualcosa di più complicato. Lasciando semplicemente admin, il malintenzionato è praticamente a metà dell’opera! Stesso discorso per la password. Usa numeri, caratteri (! ? #) e lettere in maiuscolo mescolati. Lunghezza? 12 minimo. Ecco un generatore di password.

Ricordati di non mostrare il nome utente linkato nel front-end. Mi spiego. Aprendo un articolo hai: titolo, data, categoria, “articolo scritto da TUO NOME”. Bene. Posizionando il puntatore sul nome comparirà sulla barra di stato del browser il tuo nome utente wordpress tipo questo:

http://www.NOME-BLOG-TUO.it/blog/author/TUO-LOGIN-WORDPRESS/

Costringi anche i gli altri utenti che usano il tuo blog a rafforzare login e pass. In realtà per modificare il login bisogna agire nel database (tabella wp_users->click sulla matitina gialla in corrispondenza dell’account da modificare->campo “user_login”). Ecco la guida. Usi il plugin starbox? Ecco, anche questo plugin riporta il tuo nome utente linkabile. Come risolvere? Basta cancellare la stringa ma sappi che devi eliminare il codice ogni volta che il plugin si aggiorna. Procedimento: plugin->editor. Selezionare il plugin da modificare (in alto a destra): starbox-> SELEZIONA. Clicca su “starbox/models/Frontend.php” (in basso). Generalmente è la riga 93. Cancella questo codice (click per ingrandire):

cod star

2) Rinonima le tabelle del database. il prefisso standard di una tabella wordpress è wp_NOME-TABELLA/PLUGIN. Rinomina il prefisso aggiungendo altri 4-5caratteri. Wp security scan ti aiuterà in un attimo.

3) WordPress aggiornato. Magari quando aggiorni il cms pensi a quale novità troverai. Sappi che ogni aggiornamento contiene risoluzioni a bug della versione precedente. Anzi, il più delle volte gli aggiornamenti, soprattutto frequenti, sono dovuti alla risoluzioni di gravi falle di sicurezza.

4) Usa plugin affidabili e aggiornati. Non installare troppi plugin! Rallentano il blog oltre a renderlo più vulnerabile. Usa quelli più affidabili, tienili aggiornati e cancella quelli disattivati o inutili.

5) Tema aggiornato. Acquisti i temi su themeforest per esempio? Controlla ogni quanto tempo lo sviluppatore rilascia aggiornamenti prima di acquistarlo ma soprattutto quando a risale l’ultimo update. Evita di scaricare temi sconosciuti, potrebbero contenere una porta di accesso al tuo blog. Cancella i temi inutili e lasciane giusto un paio.

6) Permessi a file e cartelle. Ti rimando alla guida ufficiale di WordPress Codex.

7) Server affidabile. Pensi di aver risparmiato soldi scegliendo un hosting economico? Può anche darsi che la qualità dei firewall sia scadente oppure inesistente.

8) Backup periodico del database e sito web. Un blog ha bisogno di un backup periodico. Un aggiornamento, uno spostamento di server o semplicemente un attacco, possono gettare al vento mesi di lavoro. Prevenire è meglio!

9) Usa il plugin ithemes. A mio parere è il plugin più completo per proteggere il proprio wordpress. Inoltre scannerizza il sistema e ti segnala i punti deboli da sistemare con tanto di fix-it. Decine di funzioni per ogni aspetto del cms. Attento a cosa configuri però, soprattutto quando si tratta dei permessi a file e cartelle.

Alcune funzioni:
– Esegue la scansione del sito per segnalare immediatamente dove esistono le vulnerabilità e li corregge in pochi secondi.
– Blocca bot, utenti e host.
– Impedisce attacchi al pannello admin (ricevi le notifiche via email quando qualcuno viene bloccato dopo troppi tentativi di accesso).
– Rafforza la sicurezza del server.
– Impone password complesse per tutti gli account.
– Disattiva editing di file all’interno dell’area di amministrazione di WordPress.
– Rileva e blocca numerosi attacchi al vostro file system e il database.
– Backup database.
– Rileva errori 404.
– Rimuove la versione wordpress dall’header.php
– Cambia il prefisso delle tabelle.
– Possibilità di rinominare la cartella wp-admin (vacci piano, è molto rischioso!).
– e tantissimo altro!
Scarica ithemes. Ti sarà molto utile!

10) Client FTP aggiornato. Ogni strumento usato per gestire il cms deve essere rigorosamente aggiornato.

11) PC protetto da firewall e antivirus. Non sottovalutare mai questo aspetto. Non lasciare tra l’altro le pass nel tuo pc soprattutto in bella vista. Se è il caso scrivile su una agenda oppure un documento excel, ben nascosto, con una password e un nome senza senso. Valuta eventuali software “cassaforte”. Non salvare pass sul browser e ogni tanto cancella la cache.

12) Eliminare i file install.php (nella cartella wp-admin), i LEGGIMI.txt, license.txt, licenza.html e readme.html nella root. Sono file che oltre a essere inutili, contengono la versione di WP.

13) Nascondere la versione del cms. Conoscerne la versione significa conoscere i punti forti e deboli della “vittima”. Un ulteriore vantaggio assolutamente da non “regalare”.

14) Disattivare la registrazione utente. In questo modo eviti anche tante registrazioni spam.
Procedimento: pannello admin-> impostazioni-> iscrizione. Lascia la casella vuota. Se il sito offre la possibilità di registrazione utente usa il sistema captcha nel form di registrazione.

15) Disabilitare il php log error. Questo file è utile per lo sviluppatore ma anche a chi desidera entrare senza permesso. Contiene i tanti errori da sfruttare a proprio vantaggio. Dove trovarlo? Chiedi al tuo fornitore hosting o sviluppatore.

16) Proteggere il wp-config.php. Questo file contiene praticamente i codici di accesso del database e quindi di tutto il cms. Via Filezilla imposta i permessi a 644, mai a 777. Procedimento: click sul file-> tasto destro-> permessi file. Ti linko un articolo che tratta l’argomento.

17) Installa un antivirus per il tuo template. Ecco quelli più famosi. Antivirus e wp security scan. Usali con molta cautela. Di solito gli script malevoli vengono caricati nel footer.php o header.php del template. Una volta pulito, devi necessariamente cambiare password hosting, ftp e cms con pass più complicate. Scarica l’intero sito sul tuo pc ed esegui una scansione con il tuo antivirus per cercare eventuali file .exe (per esempio!). Se il tuo hosting effettua un backup automatico svuota tutto. Dai anche un’occhiata anche nella lista degli “utenti” registrati al sito.

Google segnala agli utenti la schermata rossa di “sito infetto? Ecco come risolvere con la guida ufficiale.

18) Attivare al server il protocollo SSL. Acquista una connessione sicura tramite l’https ma sappi che è quasi sicuramente costoso!

 

Bonus:

Come ottimizzare il file robots.txt. Il file in questione contiene regole utilizzate dai crawler (software automatici programmati per effettuare ricerche ed indicizzazioni periodiche) per applicare restrizioni di analisi sulle pagine di un sito web. Ti segnalo un articolo utile per ottimizzare il file.

La sicurezza totale non esiste! Quando penso alla parola sicurezza rammento la frase: “Un computer sicuro è un computer spento”, cit. di Kevin Mitnick.

Grazie ai miei consigli, il tuo amato wordpress sarà un pò più sicuro. A volte il problema principale non è “medicare” il proprio blog ma convincere google che il sito non è più pericoloso ai potenziali lettori. Credimi, è un danno non da poco perdere traffico per chissà quanti giorni, soprattutto se hai sudato tanto per arrivare a mettere su un blog di qualità.

Conoscevi già le tecniche sopra elencate? Hai qualcosa da aggiungere? Parliamone nel form commenti qui sotto. Ti è stato utile? Ringraziami con un commento o uno share suoi tuoi canali social, sarà utile anche ai tuoi amici ^_^

Michelangelo Giannino
Follow me

Michelangelo Giannino

Founder di Fusion Lab09
Social Media Manager/Strategist - Community Manager - Digital Strategist at Genesis Mobile Italia (progettiamo le migliori soluzioni Digital & Mobile Marketing). Amo aiutare le aziende e professionisti a distinguersi dalla concorrenza, rafforzare (o creare) la propria presenza on/offline, aumentare le vendite, farsi amare dai propri clienti e trovarne di nuovi.
Michelangelo Giannino
Follow me
Michelangelo Giannino
Michelangelo Giannino
Social Media Manager/Strategist - Community Manager - Digital Strategist at Genesis Mobile Italia (progettiamo le migliori soluzioni Digital & Mobile Marketing). Amo aiutare le aziende e professionisti a distinguersi dalla concorrenza, rafforzare (o creare) la propria presenza on/offline, aumentare le vendite, farsi amare dai propri clienti e trovarne di nuovi.


L'utilizzo del contenuto di questo articolo e' soggetto alle condizioni della Licenza Creative Commons. E' consentita la distribuzione, la riproduzione e la realizzazione di opere derivate per fini non commerciali a patto che venga citata la fonte. E' vietata la riproduzione delle immagini anche solo in parte

Share
Selezionato come uno dei Top 10 Linkedin Most Engaged Marketers in Italia del 2015Leggi