WordPress: 11 Step sulla sicurezza

2) Backup del database

Sempre tra le cose scontate ma non per questo meno importanti sulla sicurezza di WordPress è avere un regolare backup del sito e del database, molti servizi di hosting lo offrono di default.

Per star tranquilli si possono utilizzare alcuni plug-in come:

UpdraftPlus che fornisce piani gratuiti e a pagamento a seconda delle proprie esigenze.

Il consiglio è sempre quello di affidarsi ad un hosting ottimizzato per WordPress che fornisca questo tipo di servizio.

Avere a disposizione un backup è fondamentale, poichè permette, in caso di errori sul sito di qualsiasi genere, di “tornare indietro”, avendo a disposizione sempre una copia del sito.

3) Non utilizzare l’utente admin

Nelle prime versioni di WordPress il CMS creava di default un utente “admin”.

Questo utente è ancora utilizzato su molti siti.

In un tentativo di attacco Brute-Force, “admin” sarà sicuramente utilizzato per provare ad accedere al sistema, va cancellato e sostituito con un nome utente più sicuro.

Utilizzare un nome del tipo “simone-lucci.31-56” aumenta la sicurezza del nostro sito WordPress.

4) Creare password lunghe con caratteri alfanumerici

Creare password complesse è fondamentale per la sicurezza di WordPress.

Per creare password in maniera veloce si può utilizzare un generatore di password sicure: https://www.nexcess.net/resources/tools/secure-password-generator/

Come per il nome utente, è consigliabile usare dei password lunghe con caratteri alfanumerici( Esempio: luca-2.4-h326-).

5) Utilizzare la versione più recente di Php

PHP è la spina dorsale del vostro sito e quindi utilizzare l’ultima versione di PHP sul vostro server è molto importante per la sicurezza di WordPress.

Ogni major release di PHP è in genere pienamente supportata per due anni dal momento del suo rilascio.

Durante questo periodo, i bug e i problemi di sicurezza sono corretti e aggiornati regolarmente.

Chiunque abbia una versione di PHP 7.0 o inferiore non ha più supporto per la sicurezza ed è esposto a vulnerabilità prive di patch.

Il modo più veloce e semplice per controllare su quale versione di PHP sta girando il nostro sito WordPress, è quello di entrare nella bacheca e andare su “Strumenti-> Salute del sito (Site Healt)“, dalla schermata basterà cliccare sul tasto “Informazioni” e successivamente aprire il tab “Server“, dove ci verranno fornite tutte le informazioni del server tra cui la versione PHP.

6) Cambiare il prefisso delle tabelle nel database

Il prefisso di default delle tabelle di WordPress è “wp_” questo (come l’utente di defalt “admin”) è una informazione importante che noi “regaliamo” ad eventuali hacker.

Cambiare il prefisso per esempio in “hsdfg67hjk32_” diminuisce le possibilità di essere vittime di attacchi SQL Injection.

Se avete gia installato WordPress e volete cambiare il prefisso delle tabelle si può fare con alcuni plugin come ad esempio: https://wordpress.org/plugins/brozzme-db-prefix-change/

Con questo plugin basterà scegliere il nuovo nome nel campo in questione e salvare.

7. Utilizzare HTTPS per Connessioni Criptate – Certificato SSL

Uno dei modi più trascurati per rafforzare la sicurezza di WordPress è installare un certificato SSL ed far girare il vostro sito su HTTPS.

HTTPS (Hyper Text Transfer Protocol Secure) è un meccanismo che consente al browser o all’applicazione web di collegarsi in modo sicuro a un sito web.

Molti host, nei loro pacchetti, includono certificati SSL gratuiti con Let’s Encrypt.

La Sicurezza Naturalmente, è il motivo principale per utilizzare HTTPS.

Gestire siti multi-autore, se si gira su su HTTP, ogni volta che una persona esegue l’accesso, le informazioni sull’accesso eseguito vengono passate al server come testo normale.

HTTPS è assolutamente vitale per mantenere una connessione sicura tra un sito Web e un browser. In questo modo potete prevenire meglio che hacker o intrusi ottengano l’accesso al vostro sito web.

Così anche blog, siti di notizie, agenzie, tutti possono trovare utile HTTPS, in quanto garantisce che le informazioni non passino mai in chiaro.

8) Nascondere la versione di WordPress

Ispezionando il codice di un sito WordPress è possibile vedere la versione installata, questo può facilitare il lavoro degli hackers che sapendo il numero della versione potrebbero (se il cms non è aggiornato) risalire a eventuali bug. Per nascondere la versione di WordPress utilizziamo il seguente codice nel file functions.php:

function wpversion_rimuovi_versione_wordpress() {

Restituzione ‘ ‘;

}

add_filter(‘the_generator’, ‘wpversion_rimuovi_versione_wordpress’);

Una volta fatto, non resterà che salvare il file. In questo modo il tag “generator” non verrà più mostrato né all’interno del codice sorgente del nostro sito web, né all’interno dei nostri feed xml.

Questo chiaramente è un ulteriore step molto importante per la sicurezza di WordPress.

9) Cancellare temi e plug-in inutili

Per la sicurezza di WordPress, per le performance dello stesso e per diminuire la possibilità di falle nel codice, è utile cancellare temi e plugin che non utilizziamo.

I plugin e i temi utilizzati devono (se possibile) essere sempre aggiornati all’ultima versione.

Questo è uno dei maggiori fattori di rischio in una installazione WordPress.

10) Utilizzare i permessi corretti

Per quanto rigurda i permessi di file e cartelle, tutte le cartelle dovrebbero essere 755 e i file 644, il wp-config.php dovrebbe essere settato con permessi 600 ecco un esempio:

directory principale www.miosito.com/0755

wp-admin www.miosito.com/wp-admin 0755

wp-content www.miosito.com/wp-content 0755

wp-include www.miosito.com/wp-includes 0755

.htaccess www.miosito.com/.htaccess 0644 readme.html

www.miosito.com/readme.html 0400

wp-config.php www.miosito.com/wp-config.php 0600

Questi settaggi sono un esempio alcune configurazioni server potrebbero essere anche più restrittive per esempio 0750 al posto di 0755.

11) Plug-in per la sicurezza

Ci sono molti plug-in per la gestione e l’aumento della sicurezza in WordPress, alcuni svolgono una specifica funzione altri sono pacchetto completo per la gestione della sicurezza del sito. Qui un elenco di quelli che consigliamo:

Wordfence

https://wordpress.org/plugins/wordfence/

Questo plugin è un pacchetto completo per aumentare la sicurezza di WordPress, consente di effettuare molte verifiche e accorgimenti per rendere il sito più sicuro.

Di seguito un elenco delle opzioni disponibili:

• Scan del sito per verificare che non ci siamo malware
• Monitoraggio dell’attività del sito in Real-Time per vedere chi e cosa visita il nostro sito
• Sistema di caching “Falcon” in grado di rendere il sito molto performante fino a 30/50 volte più veloce
• Possibilita di bloccare Ip (anche in automatico dopo tot. login falliti)
• Possibilità di login con verifica tramite cellulare (a pagamento)
• Blocco geolocalizzato degli ip per bloccare visite da un determinato stato (a pagamento)
• Scan del sito automatico
• Firewall
• Sistema di notifica che ci avvisa quando avviene qualcosa di sospetto

Wordfence può essere molto utile su siti che sono stati hackerati, tramite il suo sistema di scan può trovare eventuali malware presenti nel sito e prevenire futuri attacchi con le funzionalità di blocco ip.

Sucuri

Sucuri Security è un altro ottimo strumento di monitoraggio della sicurezza per i siti web WordPress.

Questo strumento basato sul web si combina con un plugin WordPress gratuito che protegge il sito web da codice malevolo, malware, hack HTA e molti altri inconvenienti.

Caratteristiche di sicurezza Sucuri

• Analisti di sicurezza esperti per monitorare le campagne di malware attive
• Pulizia automatica per ripulire il tuo sito da codice dannoso
• SEO Span Repair per prevenire spam di parole chiave e iniezioni di link
• Invia la rimozione dalla blacklist per tuo conto
• Firewall per prevenire futuri attacchi al tuo sito

ITemi Sicurezza

iTheme Security è un plugin di sicurezza WordPress che protegge i siti web bloccando gli utenti sospetti e prevenendo attacchi di forza bruta. Viene fornito con oltre 30 opzioni per proteggere il tuo sito WordPress.

Rileva bot, tentativi di hacker e blocca le vulnerabilità identificate.

Il plugin monitora il file system alla ricerca di modifiche non autorizzate (un problema comune negli host scadenti).

iThemes Security aumenta la sicurezza utilizzando la protezione tramite password e rafforza ulteriormente i certificati SSL per tutte le pagine, comprese quelle di amministrazione.

Stai seguendo le nostre guide su WordPress? 

Funzioni di sicurezza di IThemes

• Autenticazione a due fattori per un URL di accesso più protetto
• SALT di WordPress e chiavi di sicurezza
• Pianificazione delle scansioni malware
• Genera password più sicure
• Google reCAPTCHA per tenere fuori i bot

WP Cerber Sicurezza

WP Cerber Security è un plugin di sicurezza WordPress difende il sito da attacchi di hacker, spam, trojan e malware.

Mitiga gli attacchi di forza bruta limitando il numero di tentativi di accesso, le richieste API XML-RPC/REST o utilizzando i cookie di autenticazione.

Tiene traccia delle attività degli utenti e dei malintenzionati con e-mail flessibili, notifiche mobile e desktop.

Blocca gli spammer utilizzando un motore antispam specializzato.

Utilizza Google reCAPTCHA per proteggere i moduli di registrazione, contatto e commenti.

Limita l’accesso con gli elenchi di accesso IP, monitora l’integrità del sito Web con uno scanner di malware avanzato e un controllo dell’integrità.

Rafforza la sicurezza di WordPress con una serie di regole di sicurezza flessibili e sofisticati algoritmi.