14 consigli per aumentare la sicurezza del tuo blog WordPress

Pubblicato da
gen 28

WordPress è la piattaforma di blog più user-friendly che esiste attualmente. Ma cosa accadrebbe se il nostro prezioso blog venisse hackerato? Sicuramente atti di panico e frustrazione per la probabile perdita irreversibile dei nostri post. Si può però rendere le cose più difficili agli hacker e tutto si basa sulla prevenzione. Ma per prevenire questi attacchi bisogna prima di tutto conoscere come un hacker può danneggiare il nostro sito.

Essi conoscono infatti:

  • i punti deboli della sicurezza del tuo sito
  • le directory importanti che sono aperte e accessibili in scrittura
  • le versioni di WordPress che hanno problemi di sicurezza
  • come superare i plugin non garantiti
  • come lanciare attacchi di forza bruta ai dati di accesso del sito. Infatti sanno che WP usa “admin” come username dell’amministratore, così possono generare password casuali e tentare di accedervi

E allora come evitare queste situazioni? Beh semplicemente rafforzando la protezione del proprio blog. Questi pratici consigli vi proteggeranno da eventuali attacchi fraudolenti. In verità, ogni protezione può essere aggirata, ma il punto non è quello di curare, ma prevenire.

Ecco perciò di seguito un piccolo vademecum per aumentare la sicurezza del blog.

  1. Conoscenza: fare i backup ad intervalli regolari della vostra installazione di WordPress. Utilizzate il plugin WP-DB-Backup per pianificare i backup del database.
  2. Mantenere aggiornata l’installazione di WordPress e dei plugin: le versioni più recenti di WP hanno la notifica automatica se c’è un aggiornamento per il vostro blog e i vostri plugin. Essere aggiornati è un punto fondamentale!
  3. Rinominare l’account amministrativo: si può fare con il seguente comando MySQL:
    update tableprefix_users
    set user_login='altro-nome'
    where
    user_login='admin';
    oppure leggendo le istruzioni in quest’altro mio articolo.
  4. Utilizzare password forti: la creazione di una password forte che è anche memorizzabile è una delle difese più facili contro gli attacchi. Evitate il nome del proprio cane, la data di nascita o il colore preferito. Leggete questo articolo per maggiori info sul “password cracking”.
  5. Disattivare l’esplorazione delle directory: un utente malintenzionato può rivelare i vostri file perché sono stati indicizzati dai motori di ricerca. Possiamo disabilitarli con una semplice riga di codice all’interno del file .htaccess
    Options -Indexes Options-Indexes
    oppure usare un file robots.txt che impedisce agli spider dei motori di ricerca di indicizzare il contenuto delle sottocartelle. Ecco un esempio di file robots.txt:
    User-agent: *
    Disallow: /cgi-bin/
    Disallow: /wp-content/
    Disallow: /wp-admin/
    Disallow: /wp-includes/
  6. I permessi dei file: Alcune delle interessanti caratteristiche di WordPress è la possibilità di scrittura dei file sul server web. Tuttavia lasciare l’accesso in scrittura ai file è una cosa pericolosa, soprattutto in un ambiente pubblico. È meglio, dal punto di vista della sicurezza, bloccarne le autorizzazioni per quanto possibile o creare cartelle speciali con restrizioni più blande da usare, ad esempio, per il caricamento delle immagini.
  7. Non pubblicizzare la versione di WordPress installata: Se si utilizza una vecchia versione WordPress con vulnerabilità note, non è saggio far visualizzare queste informazioni al pubblico. Perché semplicemente non nascondere la versione di WordPress del tutto? Anche se i pacchetti di aggiornamento vengono rilasciarti il più presto possibile, ci sarà sempre un sufficiente tempo per un hacker di effettuare un attacco. Tuttavia, la modifica in tutti i luoghi in cui compare la versione di WP può essere tediosa. Un modo più semplice per farlo è la Replace WP-Version (nuovo, migliore e con più funzioni è Secure WP).
  8. Rimanere aggiornati sulle patch: Iscriversi al WordPress Development blog. Quando una nuova versione di WordPress viene rilasciata, il primo ad annunciarlo è proprio questo blog. Se vedi una patch di sicurezza è buona norma applicarla.
  9. Utilizzare ove possibile Captcha: le soluzione Captcha per i commenti ed il login, integrate anche in form di contatto come Contact Form 7 o CFORMS II. Questo terrà lontano gli spam bot.
  10. Limitare l’accesso alla vostra directory wp-admin: proteggete la directory wp-admin tramite indirizzi IP o password, se si utilizza CPanel è possibile utilizzare lo strumento di protezione cartelle.
  11. Limitare l’accesso al vostro wp-config.php: il file wp-config.php contiene il tuo nome utente e la password del database. Evitare che il file sia leggibile dall’esterno è molto importante. Pertanto create un file .htaccess all’interno della directory principale, se non c’è n’è già uno, e aggiungere quanto segue:
    deny from all
  12. Usare il plugin AskApache Password: questo plugin è stato appositamente progettato per bloccare tentativi di intrusione che sfruttano possibili vulnerabilità del blog.
  13. Utilizzare il security scanner online WordPress: questo plugin esegue un controllo di versioni e controlli XSS sul vostro template e sui plugin in cerca di vulnerabilità.
  14. Utilizzare un file .htaccess: i dettagli qui.
Share
Categorie: how-to, wordpress

Altri articoli che potrebbero interessarti...

9 Risposte

  1. 14 consigli per aumentare la sicurezza del tuo blog WordPress » suisselife.info Dice:

    […] originale 14 consigli per aumentare la sicurezza del tuo blog WordPress.  Print Share | var addthis_config = […]

    Postato su marzo 29th, 2011 at 17:22

  2. Alfredo Dice:

    Sul mio blog dove è presente in toto questo articolo, ma ne ho citato la fonte, non solo non visualizza l’articolo, ma nemmeno tutti quelli successivi ad esso. Cosa devo fare per far tornare il blog visibile? Grazie per la risposta

    Postato su aprile 7th, 2011 at 10:17

  3. CyberAngel Dice:

    @Alfredo: Ciao e grazie per averne citato la fonte. Ho guardato il tuo sito e il tuo articolo e mi sembrano visibili. Non ho quindi capito quale sia il tuo problema.

    Postato su aprile 7th, 2011 at 12:23

  4. Alfredo Dice:

    Inanzitutto grazie per avermi risposto.
    Se sono loggato sul mio blog vedo tutti i post pubblicati fino a quello di ieri, se invece vado sul blog senza loggarmi l’ultimo post che vedo è quello del 28.
    Il post è pubblicato e accessibile solamente attraverso link diretto.
    Se provi a partire dalla home page capirai cosa intendo
    Grazie fin da ora per esserti interessato

    Postato su aprile 7th, 2011 at 12:35

  5. CyberAngel Dice:

    Ciao Alfredo. Scusa ma ho letto solo ora il tuo commento di risposta. Ho visto comunque che sei riuscito a sistemare il problema. A cosa era dovuto? Per caso era salvato come privato o retrodatato?

    Postato su aprile 11th, 2011 at 22:24

  6. Alfredo Dice:

    Ciao,
    Scusa, ma mi sembra strano, io solo da loggato riesco a vedere i post recenti, quelli successivi al 28, inoltre ho notato che se non sono loggato su l’iphone si vede il sito normale(sempre al 28), appena entro in un’articolo si vede in formato wptouch

    Postato su aprile 12th, 2011 at 10:32

  7. Alfredo Dice:

    Scusa se ti scrivo ancora, ma ho notato che non solo gli articoli sono fermi al 28, ma tutto il blog, non si vedono le modifiche che ho fatto, si vede solo il blogroll ad esempio lateralmente.
    Credo che abbia combinato qualche casino su wordpress proprio a questo punto.

    Postato su aprile 12th, 2011 at 17:13

  8. Alfredo Dice:

    Ciao, volevo dirti che ho risolto.
    Alora le cose csono andate così, il 29 ho sostituito supercache con quick cache ma il prima aveva lasciato una copia della cache.
    Ho eliminato manualmente tutti i file nellca cartella cache, ho reinstallato superchace, riconfigurato e tutto va.

    Postato su aprile 13th, 2011 at 13:39

  9. CyberAngel Dice:

    Oggi infatti stavo pensandoci e mi era venuto in mente di chiederti se usati plugin per la cache. Beh l’importante è che il problema sia risolto. Buon lavoro!

    Postato su aprile 13th, 2011 at 19:21

Lascia un commento





Somma di uno + sei ?