Spesso mi capita di sentire che WordPress non è sicuro e che in realtà non ci sia un metodo per blindare WordPress e renderlo meno vulnerabile se non con plugin di sicurezza per WordPress. Prima di svelarti alcuni semplici trucchi che possono aiutarti a proteggere il tuo sito creato con WordPress voglio fare un passo indietro e spiegarti come avvengono gli attacchi in WordPress.
Attacco Brute Force
Attraverso questa tipologia di attacco l’hacker utilizza un bot (entità di intelligenza artificiale) per provare infinite combinazioni di nome utente-password. (Sto parlando di milioni di tentativi fino a che non viene trovata la combinazione corretta. Una volta che è stata trovata la combinazione per accedere all’area admin il criminale ha libero accesso a tutto il tuo sito web e ai dati dei tuoi clienti.
SQL Injections
Questo tipo di attacco prevede che l’utente malintenzionato sia riuscito ad accedere al database collegato al tuo sito web. Una volta entrato nel database l’hacker ha la possibilità di creare un account amministratore e accedere poi al sito web agendo come fosse l’admin del tuo sito.
Cross-Site Scripting
Questo è in assoluto il tipo di attacco più frequente e utilizzato nel web e prevede che venga creato un file Javascript (senza che il malcapitato se ne accorga) che ha il compito di “frugare” i dati attraverso il browser. Una volta in possesso di tutti i dati è facie per il cybercriminale commettere un’attacco. Solitamente questi file vengono “inviati” ai malcapitati attraverso falsi moduli di iscrizione alla newsletter o di accesso.
Script di inclusione e vulnerabilità delle versioni
Con queste due tipologie di attacchi quelli che vengono presi di mira sono i file core di WordPress sfruttando le vulnerabilità che permettono agli utenti malintenzionati di accedere al tuo sito web. E’ facile recuperare una copia di WordPress o di un dato plugin o template, analizzarne il codice e creare una porta per un’accesso indesiderato.
Ma allora…è davvero difficile blindare WordPress e renderlo sicuro? E’ sufficiente usare plugin per la sicurezza WordPress o c’è altro che tu possa fare?
Vediamo insieme quelli che sono i passaggi che tutti quelli che possiedono un sito creato con WordPress dovrebbero fare.
Come blindare WordPress
1. Scegli un fornitore di hosting serio
Può sembrare una banalità ma è un po come dove scegli di costruire la tua casa…se vai a vivere in una zona malfamata e frequentata da brutti ceffi è più facile rischiare di avere problemi. La stessa cosa vale per un sito web. Scegli hosting provider seri che offrano sistemi di sicurezza e protezione, server costantemente monitorati e aggiornati. Personalmente posso consigliarti Netsons, l’hosting provider migliore tra tutti quelli che ho provato (e sono davvero molti)
2. Non utilizzare template o plugin craccati
Questa regola, che dovrebbe essere scontata, è fondamentale. Mai e dico mai utilizzare template craccati e questo per due motivi. In primis per rispetto nei confronti dell’autore..ti piacerebbe che un tuo lavoro non fosse pagato? Ecco usando un template craccato stai facendo esattamente questo!! In secundis usare un template o plugin “nulled” significa letteralmente “far accomodare” l’hacker all’interno del tuo sito web. Questi temi contengono codici dannosi nascosti, che potrebbero distruggere il tuo sito Web e database o registrare le tue credenziali di amministratore.
3. Installa plugin sicurezza WordPress
Controllare manualmente tutti gli elementi di WordPress per verificare che non sia cambiato il codice sorgente o non siano stati aggiunti script malevoli richiede un sacco di tempo..per questo è utile e fondamentale installare plugin sicurezza WordPress. Un plug-in di sicurezza WordPress si occupa della sicurezza del tuo sito, scansiona i malware e monitora il sito 24/7 per controllare regolarmente cosa sta succedendo ai file core e di tutte le estensioni.
Sucuri.net è un ottimo plugin di sicurezza per WordPress che effettua il monitoraggio dell’integrità dei file, effettua scansioni alla ricerca di eventuali malware, si pone come firewall e offre delle efficienti azioni da compiere in caso di attacco.
4. Utilizza password complesse
Le password sono una parte fondamentale nella sicurezza del web (non solo in WordPress). Molto spesso però questo elemento così facile viene troppo trascurato ed ecco che per gli utenti malintenzionati diventa facilissimo violare l’accesso di un sito web (anche senza attacco BruteForce). Se utilizzi una password semplice, ad esempio “123456, abc123, password”, è necessario modificare immediatamente la password.
Per farti capire…è un po come se tu chiudessi la porta di casa e…lasciassi appese le chiavi..poco sicuro no?!
È importante utilizzare una password complessa o, meglio ancora, una generata automaticamente con una varietà di numeri, combinazioni di lettere senza senso e caratteri speciali come% o ^.
5. Disabilita l’accesso al wp-admin standard
Per accedere a qualsiasi sito web WordPress, per impostazione predefinita, l’indirizzo è “yoursite.com/wp-admin”. Lasciando l’url classico potresti essere bersaglio di un attacco Brute Force e inoltre se lasci libero accesso alle registrazioni sul tuo sito potresti essere vittima di account spam creati proprio dall’url /wp-admin. Per evitare tutto questo e aggiungere un ulteriore tassello alla sicurezza di WordPress è possibile modificare l’URL di accesso.
Ci sono vari modi per proteggere il /wp-admin e quello sicuramente più facile è cambiarne l’url usando un plugin come WP Hide Login facile da usare che ti consente di personalizzare al 100% la tua url (cambiandola ad esempio in “miosito.com/accediqui”).
Un’ulteriore soluzione può essere quella di proteggere ulteriormente la tua pagina di accesso aggiungendo un plug-in di autenticazione a 2 fattori. Quando provi ad accedere dovrai fornire un’autenticazione aggiuntiva ad esempio inserendo una password temporanea che viene inviata via mail. Questa è una soluzione molto efficace ma sicuramente più laboriosa.
Se vuoi un suggerimento davvero professionale puoi provare a verificare quali sono gli IP che hanno i tentativi di accesso più falliti e dal cPanel del tuo hosting bloccarli. Inoltre, se hai la fortuna di avere un indirizzo IP statico e lavori pressoché sempre da quella postazione puoi anche impostare che l’accesso al wp-admin del tuo sito sia consentito solo al tuo IP (questo ovviamente sei l’unico a dover accedere al sito).
6. Disattiva l’editor dei file
Una delle funzioni di WordPress è la modifica del codice da backend del sito web che ti consente di modificare tema plug-in senza dover necessariamente scaricare i file sul tuo pc e gestirli utilizzando un software di editing .php e di connessione FTP. È possibile accedere a questa funzione andando su Aspetto> Editor o Plugin> Editor per accedere alla modifica dei file di plugin.
Puoi capire come questa funzione sia un’arma a doppio taglio…certamente comoda per l’amministratore/sviluppatore del sito ma assolutamente pericolosa. Se un hacker ottiene l’accesso al tuo sito web con facilità potrà aggiungere del codice dannoso all’interno del tuo template o plugin. Capisci quindi come sia importante disattivare l’editor di questi file. Per disabilitare la possibilità di modificare plugin e file di temi è sufficiente incollare il seguente codice nel tuo file wp-config.php .
|
1 |
define ('DISALLOW_FILE_EDIT', true); |
7. Limitare il numero di accessi al sito web
Per impostazione predefinita WordPress consente agli utenti di provare ad accedere al sito con infiniti tentativi, anche se sbagliano. E’ vero che questo può aiutare se ti dimentichi spesso la password ma è anche utile per i tentativi di attacco Brute Force.
Limitando il numero di tentativi di accesso gli utenti possono provare ad effettuare l’accesso per un numero definito di volte fino a che non vengono, ad accessi errati, bloccati per un periodo temporaneo. Per attivare questa funzione puoi utilizzare un plugin per il limite di accesso a WordPress . Dopo aver installato il plug-in è possibile modificare il numero di tentativi di accesso da Impostazioni> Tentativi limite di accesso.
8. Nascondi i file .htaccess e .wp-config
I file .htaccess e .wp-config sono i file più importanti di tutto il tuo sito web e sono anche i primi di cui vanno alla ricerca gli utenti malintenzionati. Se vuoi veramente mettere in sicurezza il tuo sito web allora nascondi questi due file. Se non sei pratico di codice .php e modifica di questi file ti consiglio di rivolgerti ad uno sviluppatore (se hai bisogno puoi contattarmi da qui). Se invece vuoi provare da te per prima cosa effettua un backup completo e poi apri il file wp-config.php e aggiunge il seguente codice
|
1 2 3 4 |
<Files wp-config.php> order allow,deny deny from all </Files> |
|
1 2 3 4 |
<Files .htaccess> order allow,deny deny from all </Files> |
Se hai aggiunto i codici i maniera corretta ora i due file principali risultano nascosti all’esterno e il tuo sito funzionante, diversamente vuol dire che qualcosa è andato storto e devi ricaricare un backup dei file per tornare a vedere il tuo sito web.
9. Effettua un backup del tuo sito
Questa, come ho spiegato in questo articolo, è una cosa fondamentale. Backup, backup, backup. E’ importante avere sempre una copia di sicurezza del tuo sito per essere sempre al sicuro e pronti a ripristinare il tutto dinnanzi a qualsiasi problema.
10. Aggiorna WordPress
Ovviamente tutti i punti descritti sopra non servono a un granché se non mantieni aggiornato WordPress. Con ogni aggiornamento gli sviluppatori apportano alcune modifiche e spesso includono aggiornamenti alle funzionalità di sicurezza. Aggiornando WordPress con l’ultima versione disponibile ti stai proteggendo dall’essere un bersaglio facile per hacker e utenti malintenzionati. Ovviamente lo stesso concetto vale per aggiornamenti di template e plugin. Se vuoi saperne qualcosa in più su come aggiornare correttamente WordPress leggi la guida che ho preparato per te 😉
Dopo aver implementato queste tattiche e aver seguito i continui controlli di sicurezza di WordPress, sarai sulla buona strada per proteggere il tuo sito Web WordPress per sempre.
I prodotti che ti consiglio
