WordPress è il CMS più utilizzato al mondo per realizzare siti Web dinamici e al passo con i tempi, e questo lo deve essenzialmente alla sua straordinaria semplicità d’utilizzo (installazione, configurazione, ecc…), alla buona flessibilità di adattamento ai progetti, e a un supporto ben organizzato, in grado di sopperire tutte le esigenze. La straordinaria percentuale di utilizzo si è però tradotta in tutta una serie di attività (illegali) di hacking che hanno spesso messo in difficoltà i siti/blog costruiti con WordPress.
WordPress è vulnerabile? Non propriamente. Trattandosi di un progetto open-source il cui codice è pubblico, è chiaro che esistono delle componenti o funzioni note che si rivelano più esposte a possibili tentativi di hackeraggio, e che vengono comunque rafforzate con i frequenti aggiornamenti core rilasciati dal team di sviluppo.
Esistono tuttavia delle azioni che vi consigliamo di compiere per mettere in sicurezza il vostro sito WordPress, ovvero per diminuire (quasi azzerare) la possibilità che esso venga attaccato e buttato giù da qualcuno. In questo post abbiamo selezionato le best-practice più note ed efficaci.
Mantieni aggiornato WordPress
Come anticipato nel preambolo di questo articolo, un sito WordPress è costruito su una piattaforma core che viene aggiornata molto spesso. Il consiglio è di mantenere il vostro sito, per quanto possibile, all’ultima versione, così da limitare il numero di vulnerabilità note.
Rimuovi i File non Necessari
L’installazione di WordPress porta con se un numero di file (non operativi) che forniscono molte informazioni riguardanti la versione che utilizziamo e nonostante possa sembrare una cosa a noi utile, è ancora più utile ai criminali informatici che si affacciano al nostro sito. Questo perché, conoscere quale versione viene utilizzata, aiuta a trovare le informazioni sulle debolezze che WordPress ha in quella data versione.
Ecco i file che dovrai rimuovere dalla cartella WordPress: LEGGIMI.txt, license.txt, licenza.html e readme.html. Rimuovendo questi file potremmo nascondere, in modo molto primitivo, la versione WordPress ad occhi indiscreti.
Usa una password complessa
L’intera gestione di un sito WordPress, quindi la sua amministrazione, è affidata all’utenza creata in fase d’installazione, e alla password che abbiamo scelto.
Usate password veramente complesse, quindi almeno 12-15 caratteri, numeri e simboli compresi.
Nota: non vi suggeriamo, come altri fanno in questo ambito, di rinominare l’utenza di amministrazione, che che di solito viene chiamata Admin. La riteniamo un’operazione inutile, in quanto qualsiasi hacker riuscirà comunque a risalire alla vostra utenza: nel 99% dei casi, infatti, è la prima utenza creata all’interno della tabella wp_user, nel vostro DB.
Installa il plugin LoginLockDown
Se un hacker non riesce a recuperare la vostra password decriptandola dal database, potrebbe comunque carpirla usando qualcuno di quei script di brute force attack, che puntano la pagina di login amministrativo (nella maggior parte dei casi http://tuosito.com/wp-admin) e provano migliaia di volte a loggarsi tentando tutte le password possibili.
Installando il plugin LoginLockDown, potrete settare il numero di tentativi consecutivi ammessi, impostando poi il blocco automatico dell’IP sorgente.
Installa un certificato SSL
Se volete fare le cose veramente per bene, è opportuno criptare la comunicazione sul vostro sito web, impedendo quindi la trasmissione di dati in formato “plain text” intercettabile. Acquistare un certificato SSL specifico per il vostro dominio è il primo passo (ne esistono anche di economici sui 10 dollari), installando tramite il vostro hosting provider è il secondo, infine dovrete forzare il login e l’amministrazione di WordPress a viaggiare in SSL aggiungendo le due seguenti righe al file wp-config.php:
define('FORCE_SSL_LOGIN', true);
e
define('FORCE_SSL_ADMIN', true);
Fai il backup
Non avere un backup del proprio sito e del proprio database è semplicemente folle. Se non siete attrezzati con strumenti professionali, potete comunque affidarvi al plugin WP Backup. Installatelo, impostando un backup almeno settimanale.
Imposta i permessi per cartelle e file
Il vostro spazio web è il vostro regno, e nessun altro può metterci mano. Se avete competenze da sistemisti Unix, potete capire come sia fondamentale settare i seguenti permessi di accesso: 755 per le cartelle, 644 per i file.
Non fate CHMOD arzigogolati, o peggio ancora un 777 massivo. In questa maniera chiunque potrebbe piallarvi l’intera area senza colpo ferire.
Se non avete queste competenze, fatevi aiutare dall’hosting provider o da qualche amico/conoscente.
Impedisci l’accesso a Wp-Config.php
Wp-config.php è il file più importante della vostra installazione, una miniera di informazioni per un informatico malintezionato. Impedite l’accesso aggiungendo queste righe al file htaccess (lo trovate nel percorso “root” del vostro spazio web):
<files wp-config.php> order allow,deny deny from all </files>
Ah, e settate l’htaccess con permessi 640 per evitare di renderlo leggibile o editabile da utenze estranee.
Cambia il prefisso delle tabelle
Il database è il cuore di WordPress, visto che registra tutte le informazioni relative alla sua configurazione e ai contenuti. Molti script malevoli danno per scontato che il prefisso delle tabelle di WordPress sia “wp_”. Cambiatelo in qualcosa di meno intuibile.
