Mauro Mandalari

Lavoro nel campo della comunicazione web da più di 15 anni, sviluppo strategie di comunicazione web efficaci, mi occupo di WebDesign, WebDeveloping, UserExperience, DigitalStrategy.

È ormai risaputo che tutti i cms open source, tra cui WordPress, pur offrendo infiniti vantaggi soffrono di alcune vulnerabilità in fatto di sicurezza. Difatti, la loro natura open source (codice aperto) da un lato facilita il lavoro degli sviluppatori, dall’altro offre diversi appigli ai malintenzionati.
È dunque necessario, direi inevitabile, fare qualcosa.
Proteggi il tuo sito WordPress seguendo questi 7 consigli e potrai dormire tranquillo:

[Tweet “Ecco 7 consigli per proteggere il tuo sito #WordPress”]

1) Questione di Hosting

Un hosting di fascia medio alta è un ottimo punto di partenza. Ce lo dicono le statistiche. Il 44% dei siti WordPress violati sono stati attaccati sfruttando delle falle di sicurezza dell’hosting. Ciò non vuol dire sia necessario spendere cifre enormi per l’hosting, ma dobbiamo prestare grande attenzione al tipo di servizio che viene offerto. Ci sono molti piani appositamente pensati per WordPress (qui un buon articolo sull’argomento).

 

2) Mischiare le carte

Gli attacchi principali ad installazioni WordPress avvengono sulle url più importanti, ovvero tuosito/wp-admin/ e tuosito/wp-login.php. Ogni sito WordPress ha in queste due url l’accesso al backend, ovvero la stanza dei bottoni del tuo sito.

Allora cosa fare per confondere le idee di un hacker? Cambiamo le url!
Ci sono diversi modi per raggiungere l’obiettivo ma il più semplice è quello utilizzato da un ottimo plugin WordPress Simple Firewall. Una volta installato questo plugin potrai accedere alla sezione “Login protection” -> “Rename wp-login.php”.

simple-firewall

Qua puoi inserire una stringa a tuo piacimento e da quel momento in poi diventerà la url tramite cui accedere al backend (es: tuosito/unastringaqualsiasi).

 

3) Username e password complesse

Scontato? Assolutamente no! Ancora oggi la maggior parte delle password che vengono utilizzate sul web sono semplici e banali. Molto spesso la ragione di questa pecca sta nella pigrizia dell’utente medio che non vuole avere a che fare con mille password (facebook, home banking, email, blog etc).
Per ovviare a ciò l’utente medio risponde in due modi:

  • utilizza sempre la stessa password (male);
  • utilizza una password semplice in diverse versioni (ad esempio aggiungendo un 1 finale – malissimo)

Nella versione WordPress 4.3 c’è un generatore di password che suggerisce stringhe molto complesse. Tu mi dirai che le password robuste sono difficili da ricordare. Bene. Esistono molti servizi online, gratuiti, che permettono di archiviare centinaia di credenziali. Io ti consiglio passpack.com. Utilizzando questo servizio tutte le tue credenziali saranno conservate in modo sicuro e per accedere avrai una password complessa (l’unica che a questo punto dovrai ricordare). Il resto sarà semplice copia / incolla.

Tornando a WordPress e a come proteggerlo, fai attenzione anche al nome utente ed evita di utilizzare “admin”, ti prego 🙂

 

4) Plugin or not plugin?

Rappresentano uno dei punti di forza di un sito WordPress. Ne puoi trovare quanti ne vuoi per fare ciò che vuoi. Attenzione però!
Una delle porte di accesso principali per i malintenzionati sono proprio i plugin. Dunque dovrai scegliere accuratamente quali installare nel tuo sito.
Due consigli veloci:

  • Installa solo i plugin strettamente necessari e non uno di più;
  • Scegli plugin premium (a pagamento) o, se non vuoi lavorare con plugin premium, scegli quelli i cui feedback sono molto positivi e che vengono aggiornati frequentemente.

 

5) WordPress Security Keys

Le security keys sono delle stringhe che WordPress utilizza per la crittografia delle informazioni memorizzare nei cookies dell’utente.
Per modificarle non devi far altro che andare su questa pagina
https://api.wordpress.org/secret-key/1.1/salt/
copiare tutto il contenuto, ad esempio,

define('AUTH_KEY',         'A0x_MB!)6Q13_GbFv+Sv,9B@S3>- #=C oM%tM3k28aSw_:n:9w>w#3-9b8$zf|M');
define('SECURE_AUTH_KEY',  '6V:v9Cw|p WzcG8I DV.#[dGG*+yA]lT9xt8]L70`Oe$7Nl1Afcek^?j$<V_^o#q');
define('LOGGED_IN_KEY',    '0fi-5-v zXoLDb8{eFRKs^(}o)+07Bi;!=C T&E,dr79,--2{mw|jtzra+#I69@|');
define('NONCE_KEY',        'j0#ALN!-/Yhn:%6?c%dHYzxn:]5-BvRh1tG |2vab1Xkjs*)}`a.uG%emyT|B|FU');
define('AUTH_SALT',        'MjW=nflp+)&^<E10|M-xAP924%%{DQR>5BQF(cNdDc6N+//UMq@k8(S2^LAwm+Xl');
define('SECURE_AUTH_SALT', 'YEhQD~UYMs-(6s_5}56%DBr&LFQ(M]nci%Dy(.Qk]n)ykk -Ch=|To]sy1n_$8R*');
define('LOGGED_IN_SALT',   'Hzwp[tE5+x<!@-gB(o/kH)ZDa|+J$.V7;Xp--W>Dd7vw!_USkY-k_?rvV]CKQ!yT');
define('NONCE_SALT',       'qbn6PF:b|#cpO?~}c|Ga -EC<6(0,Tf*7|,+++nSUf1.lJW.U]Y~1^%4XqQpeYg#');

ed incollarlo nel file wp-config.php nella sezione

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

Il gioco è fatto.

 

6) SZ – Google for WordPress

Tra le tante funzionalità di questo plugin quella di Captcha è davvero ben fatta. Settando questa opzione, al momento del login l’utente dovrà dimostrare, con pochi click, di essere un umano. Questo permette di limitare gli attacchi da parte di programmi che provano ad entrare con la forza bruta nel nostro sito.

 

7) Hide My WP – No one can know you use WordPress!

Un plugin molto utile in termini di sicurezza, che nasconde agli utenti tutti i riferimenti di codice classici di WordPress.
Hai un sito WordPress? Clicca col destro su una pagina del tuo sito e visualizza il codice sorgente. Noterai tantissimi riferimenti alla struttura classica di WordPress (wp-content, themes, wp-includes etc). “Hide my wp” nasconde tutti i riferimenti WordPress stroncando sul nascere l’iniziativa malefica di qualche hacker.

Lavoro nel campo della comunicazione web da più di 15 anni, sviluppo strategie di comunicazione web efficaci, mi occupo di WebDesign, WebDeveloping, UserExperience, DigitalStrategy.