sicurezza-wordpress

Guida Sicurezza WordPress: Scopri Come Migliorare la Sicurezza di WordPress

Ogni giorno che passa, la sicurezza WordPress diventa sempre più importante.

In questo articolo ti mostro alcuni modi per migliorare la sicurezza di WordPress cosi da mettere al sicuro il tuo sito web senza dover impazzire.

La maggior parte dei suggerimenti forniti qui sono misure di sicurezza basate sulla pratica che non richiedono plugin o hack.

L'idea qui è che non sia necessario apportare modifiche al codice o modificare WordPress in alcun modo al fine di mantenere una forte sicurezza.

Si tratta di misure di sicurezza che la maggior parte degli utenti di WordPress possono utilizzare per aiutare a proteggere il loro sito e mantenere WordPress sicuro e protetto.

Metodi che tutti possono implementare per migliorare la sicurezza di WordPress.

Inizio a dirti che WordPress da solo è sicuro. Quando vengono scoperte nuove vulnerabilità queste vengono risolte dal team di WordPress.

Per esperienza personale posso dirvi che gran parte dei problemi di sicurezza sono causati da fattori esterni come:

  • Inesperienza degli utenti.
  • Server non sicuri.
  • Strumenti come plugin e temi che sono stati realizzati non seguendo le migliori pratiche.
  • Non tenere tutto quanto aggiornato all'ultima versione.

La maggior parte dei consigli che vengono dati in questo articolo mirano a ridurre i rischi grazie al controllo di questi fattori esterni. Tieni presente che la sicurezza non è una di quelle cose che imposti una volta per poi dimenticarti.

Non esiste un sito web perfettamente sicuro.

Se il tuo sito web è online allora c'e sempre il rischio. Quando si parla di un buon sistema di sicurezza non parliamo di come rimuovere totalmente i rischi ma di ridurre i rischi il più possibile.

Nella versione in lingua inglese del Codex di WordPress viene specificata la seguente frase:Fondamentalmente, quando si parla di sicurezza non si parla di sistemi di sicurezza perfetti. Qualcosa del genere è poco pratico o impossibile da mettere in piedi e sopratutto, da mantenere.

L'eliminazione dei rischi non è una cosa generale che funziona per tutti allo stesso modo. La riduzione dei rischi si fa a tratti.

Tutto dev'essere preso in considerazione. Dal software presente sul server alla convalida dei formulari e tutto ciò che ha a che vedere con il tuo sito web. Ogni singolo strato di sicurezza fa parte del livello generale di sicurezza del tuo sito web.

Detto questo ecco qui un po’ di consigli per mantenere il tuo sito web realizzato con WordPress al sicuro.

1. Usa SFTP al posto del classico FTP

Se stai ancora utilizzando il vecchio FTP ti consiglio di abbandonarlo subito e iniziare a usare l' SFTP. In poche parole l'FTP invia le tue credenziali e i tuoi dati a forma di testo, che vuol dire che la tua password e i dati della tua connessione non sono criptati.

Se stai trasferendo file e documenti via FTP una persona potrebbe intercettare questi dati dalla tua rete e usarli per prendere controllo del tuo sito web. L'utilizzo del protocollo SFTP è simile a quello dell'FTP, l'unica differenza è che i dati sono criptati quindi anche se qualcuno intercetta il traffico della tua rete non può fare nulla.

Chiedi alla tua compagnia di hosting se non sei sicuro del supporto per l'SFTP – saranno più che felici di aiutarti per migliorare la sicurezza dei loro server e del tuo sito ovviamente. Ecco uno dei più diffusi software per collegarti al tuo sito web via SFTP e non FTP, si chiama FileZilla e lo puoi trovare qui.

Ah mi sono dimenticato e gratuito. A breve farò una guida sul come usare questo software. Fino ad allora se hai domande chiedi pure nei commenti qui sotto e farò del mio meglio per risponderti il prima possibile.

2. Usa un certificato SSL per abilitare una connessione sicura

Questo passo è un po come usare SFTP al posto dell'FTP.

Se il tuo sito web usa il protocollo HTTP tutti i dati trasmessi non sono criptati. Quindi tutti i commenti, gli accessi, acquisti, e altre transazioni sono inviati  e ricevuti in maniera del tutto non sicura perché non sono criptati.

Questo vuol dire che un malintenzionato può intercettare tutti questi dati e usarli per sfruttare il tuo sito e i tuoi utenti.

Questa è la ragione principale per cui i grandi del web (Google per primo) stanno cercando di “obbligare” tutti ad usare il protocollo HTTPS.

In questo modo tutti i dati inviati saranno al sicuro e nessuno avrà modo di leggerli anche se li può intercettare. Certo passare da HTTP a HTTPS non è come passare da FTP a SFTP.

Prima di poter iniziare devi procurarti un certificato SSL, che a sua volta dev'essere installato e configurato sul server. Se decidi di passare da HTTP a HTTPS assicurati di farlo per tutte le pagine del tuo sito web.

Contattaci via chat se hai bisogno di assistenza per acquistare, installare e configurare un certificato SSL su WordPress.

3. Usa un Hosting Sicuro

Penso che il miglior consiglio che ti possa dare a riguardo della sicurezza è di ospitare il tuo sito su dei server sicuri.

L'hosting è la base del tuo sito web, quindi assicurati che il tuo provider abbia una buona reputazione è che ti fornisca un servizio stabile su dei server sicuri.

Sopratutto tieni presente che nel campo dell'hosting vale tantissimo il detto “ricevi ciò per cui paghi” quindi evita di usare servizi di hosting che costano pochissimo.

Se non pensi che circa 10-15 Euro al mese sia una cifra esagerata allora puoi usare un server virtuale privato, le cosiddette VPS in linguaggio più tecnico.

Il più grande vantaggio arriva dal punto di vista della sicurezza perché ti differenzi da un ambiente condiviso che significa che stai condividendo il server con altri 50, 100 o anche più utenti.

Se per caso uno di questi è compromesso tutti i siti che sono presenti su quel server sono a rischio e possono essere compromessi con facilità.

A differenza una VPS è un ambiente dedicato, l'intero server è dedicato a te.

Questo ti permette di migliorare drasticamente la sicurezza del tuo sito web perché non devi più preoccuparti di ciò che fanno i vicini.

Ecco un po’ di cose da guardare quando si cerca un nuovo host:

  • Ottima reputazione, affidabili, assistenza clienti buona e che risponda abbastanza rapidamente, etc.
  • Server configurati come si deve.
  • Supporto per le ultime versioni dei software utilizzati come (Apache/Nginx, PHP, MySQL, etc)
  • Possibilità affidabili di effettuare backup e ripristini.
  • Sono felici di discutere i dettagli del servizio (funzionalità, sicurezza, affidabilità e velocità)

Al giorno d'oggi trovare un hosting affidabile è più facile di quanto sembri, però è di vitale importanza.

Prendersi del tempo e fare un po’ di ricerche prima è una delle cose migliori che tu possa fare. Ottimi fornitori di hosting che io ho provato nel tempo con cui mi sono trovato benissimo:

MisterDomain (offrono assistenza in italiano e tutta l'interfaccia e in italiano)

Siteground (offrono assistenza in italiano e tutta l'interfaccia e in italiano)

Ecco anche un fornitore di hosting con il quale io non mi sono trovato per niente bene sopratutto per le limitazioni che hanno (limitazioni pensate solo per farti pagare di più e non per offrirti un servizio migliore):

ARUBA (non voglio darli neanche un link da questo sito). Non sto qui a spiegare o dare esempi di altre persone che come me non si sono trovate bene. Ti basta cercare su Google “oppinioni e recensioni Aruba” e troverai tutto ciò che devi sapere.

Lo stesso vale per qualsiasi provider. La stessa regola vale anche per altri servizi e non solo per hosting.

4. Usa password lunghe e complesse ovunque

Tutti sul web dovrebbero usare password lunghe e complesse.

Sfortunatamente, ci sono ancora un sacco di persone che devono ancora provare la “gioia” di essere compromessi.

Seriamente, spargi la voce!

L'uso di password lunghe e complicate è una delle cose più importanti che tu possa fare. Devi usare password lunghe e complicate e sopratutto cambiarle una volta ogni tanto; 1 volta al mese va più che bene. Uno dei miei passatempi preferiti è osservare il traffico sulla rete.

Una cosa che vedo sempre più spesso sono gli attacchi di forza bruta.

Nel 99% dei casi questi attacchi sono indirizzati direttamente alle pagine di login. Vogliono entrare. Vogliono sfruttare il sito web in causa.

E’ imperativo negare loro l'accesso usando password lunghe e complicate per qualsiasi cosa. Questo include: la password per accedere a WordPress, password per indirizzi email, password per FTP o SFTP e qualsiasi altra cosa che richiede una password per accedere.

Nel codex di WordPress viene detto: Gli hacker si basano sulla prevedibilità. Prevedono che molte persone usano come password la parola “password” o che il loro nome utente sia il loro nome o ancora peggio quello base “ admin”. Sii imprevedibile e vincerai la guerra della sicurezza.

Come risorsa aggiuntiva, WordPress ha implementato un misuratore di password nella pagina del profilo di ogni utente. Così ogni singolo utente può impostare delle password belle lunghe e complicate. Ecco dei consigli per password a prova di hacker:

  • Lunga, scritta a caso e alfanumerica.
  • Non condividere la tua password con nessuno.
  • Se devi condividere la tua password con altre persone per interventi o supporto assicurati di cambiarla quando il lavoro è stato finito.
  • Usa un generatore online per generare password lunghe e complicate.

Se alla fine vuoi aggiungere un ulteriore fattore di sicurezza puoi aggiungere il Login a 2 passi.

5. Esegui sempre tutti gli aggiornamenti

Questo dovrebbe essere già impresso nella testa degli utilizzatori di WordPress: usa sempre la versione più aggiornata di WordPress.

Il processo di aggiornamento è stato reso molto semplice grazie a aggiornamenti con 1 click e aggiornamenti automatici.

Questo è valido per tutti i plugin e temi non solo per i file di WordPress, devi tenere aggiornati anche temi e plugin che sono installati sul tuo sito, anche quelli che non sono attivati.

Oltre al fatto di mantenere aggiornati tutti i software sul tuo sito, è consigliabile tenere un occhio sulle ultime notizie sullo sviluppo di WordPress riguardo a notizie sulla sicurezza e non solo.

6. Rimuovi tutto ciò che non utilizzi

Una buona sicurezza comporta la limitazione di responsabilità quanto più possibile.

Mantenere i file non utilizzati sul tuo server aumenta inutilmente la tua responsabilità. Prenditi qualche momento per esaminare la struttura del tuo sito e rimuovi tutti i file che non ti servono.

Assicurati di fare un backup prima in caso di errori sarai al sicuro e potrai ripristinare in un attimo. Per darti un idea, dovresti rimuovere questa tipologia di file:

  • I file utilizzati solo per lo sviluppo ( quelli che usi per i test, controllo versione, etc)
  • Temi non attivi e non utilizzati.
  • Plugin non attivi e non utilizzati
  • Script PHP non utilizzati
  • File JavaScript non utilizzati
  • Informazioni sensibili e/o note
  • Qualsiasi altro file che non usi

Ecco qui una lista di tutti i file e le cartelle presenti all'interno di WordPress di default. (in inglese sul Codex ufficiale). Se devi tenere tale file sul server dovresti proteggerli da accessi non voluti.

Ecco 2 metodi alternativi usando il file .htaccess per proteggere qualsiasi file sul tuo server:

via mod_rewrite(la prima riga) o via mod_alias(la seconda riga)

https://gist.github.com/cryptoismad/1047f7132081e6674bcb01c882e58512

Per usare uno di questi 2 metodi, cambia “filename” con il nome del tuo file, e l'estensione “.ext” per combaciare con l'estensione del tuo file. Una volta fatto incolla dentro il tuo file .htaccess sul tuo server.

Esegui dei test richiedendo il file dal browser. Entrambi i metodi ti ritorneranno un errore “403 – Forbidden”

7. Mantieni backup completi 

Anche questa è un’ attività molto importante e ci sono sempre più persone che decidono di implementare soluzioni di backup affidabili per i loro siti web.

Il problema è che ci sono ancora tantissime persone che non hanno un sistema di backup e che scopriranno sulla loro pelle cosa vuol dire perdere un sito web intero per il quale magari hanno pagato centinaia se non migliaia di euro un professionista.

Mantenere dei buoni backup per il tuo sito web realizzato con WordPress è essenziale per evitare perdita di dati, soldi, tempo e sopratutto per potere rimettere tutto in ordine in poco tempo senza subire grandi perdite in caso di problemi.

Ricordati, un buon backup è:

  • Tenuto al sicuro
  • Verificato che funzioni al 100%
  • Il più recente possibile.

A seguire, devi capire che devi fare un backup completo di tutti i tuoi file e non solo del database. In pratica devi mantenere backup completi che ti permettano di ripristinare il tuo sito web per intero in pochi minuti.

Se ciò che hai letto ti sembra familiare perché lo fai sempre allora sei a posto e puoi passare alla prossima sezione.

In caso contrario ti lascio qui un articolo sui migliori plugin per fare backup per WordPress.

8. Usa sempre software da fonti sicure

Questa è facile.

Installa soltanto temi e plugin che scarichi direttamente dai developer e stai alla larga dalle versioni “shared” o “hacked, nulled, etc”.

E’ troppo facile per qualcuno inserire del codice all'interno di questi temi e plugin e moltissime volte ti e pressoché impossibile notarlo perché il plugin o il tema funziona perfettamente. Il codice lavora in sottofondo tranquillo e può provocare un sacco di danni a lungo termine.

Non diventare una vittima e installa soltanto temi e plugin da fonti sicure.

9. Usa plugin WordPress di qualità

Ho sempre detto che non ha tanta importanza il numero di plugin che girano sul tuo sito, quello che ha importanza è la qualità. Quando stai cercando dei plugin guarda le seguenti cose:

  • E’ Aggiornato per l'ultima versione di WordPress
  • Ha recensioni positive
  • Il supporto del plugin è attivo
  • Che ci siano anche altri utenti che lo usano
  • Aggiornato di recente

Tenendo gli occhi aperti e seguendo segnali di qualità e affidabilità sarai in grado di scegliere ottimi software (temi e plugin) per il tuo sito web. E questo aiuterà tantissimo la sicurezza del tuo sito.

Dubbi o domande su qualche plugin? Chiedi sul nostro gruppo Facebook dedicato agli utilizzatori di WordPress.

10. Tieni ben presente dove ti trovi

Rimango scioccato come tantissima gente non ha minimamente problemi a lavorare in posti come bar, caffetterie che hanno Wi-Fi gratuito.

Non pensano minimamente alla sicurezza, entrano nel bar si collegano e iniziano a lavorare. Ti stai chiedendo perché questa è una pessima idea? Te lo spiego subito!

Non puoi mai sapere se c'è qualcuno che analizza il traffico della stessa rete non sicura in cerca di vittime.

Non accedere mai, non fare acquisti online, insomma non fare nient'altro che navigare quando sei collegato a una rete della quale non sai niente. Altrimenti faciliti il lavoro a chiunque voglia e abbia le conoscenze per intercettare il segnale e rubare le tue credenziali.

La cosa brutta è che non te ne renderai conto finché non sarà troppo tardi. Se non hai preso misure aggiuntive per la sicurezza delle tue credenziali come per esempio il login a 2 passi ti consiglio di usare reti sicure e private per le attività del tuo lavoro.

11. Non modificare mai direttamente i file del core di WordPress

Questa è molto semplice: Non modificare nessuno dei file del core di WordPress.

Modificare i file del core è il primo passo per il disastro.

Lo stesso vale anche per temi e plugin – non modificare i file originali dei temi o dei plugin. Se vuoi modificare devi farlo nel modo giusto. Ecco qui qualche suggerimento:

  • Modifica o personalizza le funzionalità del core con un plugin.
  • Modifica o personalizza un tema usando un tema child.
  • Fai modifiche al tuo tema tramite il file functions.php

12. Assicurati che i permessi dei file all'interno della tua installazione di WordPress sono giusti

Se il tuo server è configurato bene, tutti i file e i cartelle di WordPress saranno creati con i permessi giusti.

La regola generale per il livello dei permessi è come segue: 644 per i file e 755 per le cartelle. Certo che non sarà sempre così semplice, sono possibili varie configurazioni. Se stai esaminando i tuoi file e i permessi di file o cartelle non ti sembrano giusti consulta il Codex WordPress e chiedi aiuto al tuo provider di hosting.

Ecco cosa dicono nel Codex di WordPress  e ti aggiungo anche un articolo che ho trovato in rete sul argomento: Impostare correttamente i permessi file e cartelle in WordPress.

13. Disattiva la visualizzazione di errori

Durante lo sviluppo va benissimo mostrare gli errori sul front-end del tuo sito. Non va più bene quando il sito viene messo online alla fine della sua realizzazione.

Mostrare gli errori potrebbe rivelare informazioni sensibili sulla configurazione del server, l'installazione PHP, il database e altre cose che devono rimanere private.

Mostrando queste informazioni al mondo può compromettere seriamente il tuo sito web.

Una volta che hai finito lo sviluppo prenditi un momento per disattivare la segnalazione di errori sul front-end aprendo il tuo file wp-config.php e aggiungendo la seguente riga:

https://gist.github.com/cryptoismad/60bdbccfd476ac11b7a3a7ce94abd362

Se una riga simile esiste già con un valore “true”, basterà cambiare a “false” e sei a posto.

Allo stesso modo devi fare per gli errori generati dal PHP.  Se hai qualche altro dubbio chiedi al tuo webmaster, al tuo hosting o nella chat qui in basso a destra.

14. Mantieni a bada gli spammer che lasciano commenti sui tuoi articoli

Una cosa che non si vuole assolutamente è un gruppo di spammer che lascia commenti sui tuoi post.

I commenti spam inviano un segnale negativo che il tuo sito web potrebbe essere di scarsa qualità e forse insicuro. Implicazioni SEO a parte, tali segnali tendono a respingere i visitatori legittimi e attrarre comportamenti dannosi.

Per aiutare con il controllo dello spam si può installare uno dei tanti plugin disponibili o semplicemente usare la funzione dedicata già presente all'interno di WordPress. Eliminando lo spam aiuti la reputazione e la sicurezza del tuo sito.

Un plugin molto conosciuto e Akismet che puoi trovare qui.

Ecco qui una guida che spiega come installare e configurare Akismet.

15. Usa un computer pulito e sicuro

Un altro passo critico per la protezione è quello di assicurarti che il dispositivo/i locali siano esenti da spyware, virus, e da qualsiasi altro tipo di malware. Anche se il server e il sito sono pulitissimi e super sicuri, è niente se si sta lavorando da una macchina infetta. Come affermato nel Codex di WordPress: Nessuna quantità di sicurezza in WordPress o sul vostro server web farà la minima differenza se c'è un keylogger sul computer.

Una discussione completa su questo argomento va oltre lo scopo di questo articolo ma se la cosa ti interessa ci sono tantissime informazioni online.

Spero che hai già famigliarità con il mantenere il tuo computer al sicuro se no ti consiglio di prenderti il tempo per leggere e proteggere i tuoi dispositivi a dovere. Questo include e NON si limita solo a questo:

  • Connettiti al web solo tramite reti sicure.
  • Sfrutta sempre il firewall del tuo computer e non rimuoverlo.
  • Aggiorna sempre tutti i programmi che usi antivirus incluso.
  • Stai alla larga da siti web loschi e che ti offrano software piratati.

Ovviamente ci sono ancora tantissimi accorgimenti che puoi prendere in considerazione quando pensi di mettere in sicurezza la tua postazione di lavoro. Se non hai le informazioni necessarie ti suggerisco di fare ricerche e informarti così da poter tenere al sicuro il tuo ambiente di lavoro.

16. Monitoraggio e registrazione eventi (logging)

Il monitoraggio e la registrazione degli eventi sono i tuoi migliori amici quando si tratta di risolvere problemi di sicurezza.

Gran parte dei server registrano in maniera dettagliata gli accessi e gli errori, troverai informazioni come: data/ora, indirizzo IP, URL richiesto, codici di risposta e tante altre informazioni.

Esaminare gli accessi e gli errori può essere un po’ opprimente per i non iniziati, ma una volta che si ha famigliarità con la sintassi dei file di registro puoi procedere alla risoluzione di un sacco di problematiche.

Se non sai come accedere e leggere questi file di registro chiedi al tuo hosting

Metodi di sicurezza per WordPress che richiedono modifiche al codice di alcuni file.

Fino a questo punto abbiamo coperto i passi che chiunque può eseguire per avere un sito web realizzato con WordPress al sicuro. La maggior parte delle tecniche che abbiamo visto fino ad ora richiedono poche o nessuna modifica al codice.

Andando avanti con la sicurezza sarà necessario eseguire modifiche al sito, ai file, al codice e così via. Per le tecniche di sicurezza che hanno bisogno di modifiche al sito, file o codice bisogna prima di tutto considerare il “ritorno di investimento”.

Un buon esempio è la pratica per la protezione della directory /wp-admin/ tramite il file .htaccess. Lo so sembra un'ottima idea e di sicuro aggiunge un po'di sicurezza, però i problemi che questa modifica implica per temi e plugin fanno sì che molti esperti stiano alla larga.

Ci sono moltissimi esempi come questo dove il beneficio è minore del rischio. Il miglior consiglio che posso darti è di usare quelle tecniche che:

  • Siano facili da implementare
  • Non siano troppo invasive
  • Non aggiungano altri rischi

Tenendo conto di questo, ecco qualche altra misura di sicurezza che aggiungerà ulteriori strati di sicurezza al tuo sito web senza ulteriori rischi, con minimo impegno e minime modifiche al sito.

17. Cambia le Chiavi di autenticazione nel wp-config

All'interno del file wp-config.php c'è una sezione che include le chiavi di sicurezza per le routine del login. Assicurati di cambiare le chiavi ogni tanto con delle nuove chiavi.

Questo aiuterà tanto per il tuo scopo di mettere e tenere in sicurezza il tuo sito web. Tieni presente che puoi aggiungere, cambiare queste chiavi in qualsiasi momento, tutto quello che succede è invalidare gli attuali cookie.

Quindi ogni utente che ha eseguito l'accesso al tuo sito nel momento che tu cambi le chiavi dovrà eseguire il login di nuovo.

Per generare una nuova serie di chiavi vai sulla pagina ufficiale di WordPress a https://api.wordpress.org/secret-key/1.1/salt/. Copia e incolla nel tuo file di configurazione (wp-config), carica sul server e hai finito.

18. Verificare l'esistenza del file index.php

E importate perché se per caso una delle cartelle non ha un file indice (index.php) e possibile vedere tutti i contenuti di quella cartella come una lista generica. In alcuni casi e comodo non avere un file indice (per esempio quando si vogliono condividere foto, video o altri file).

Nel resto dei casi dovresti assicurarti che il file index.php sia presente.

Di default, WordPress include un file index.php vuoto in varie cartelle del core. Alcuni temi e plugin già lo includono. Alcuni invece non lo fanno, cosa che può mettere a rischio la sicurezza mostrando i file e la struttura del tuo sito web.

Su un server configurato come si deve questo non dovrebbe essere un problema. Se non sei sicuro e vuoi avere quella certezza in più allora puoi semplicemente aggiungere questa stringa al'interno del tuo file .htaccess:

https://gist.github.com/cryptoismad/4044e4a72cbf0b491423588bad815342

Per ulteriori informazioni leggi questo articolo su Perishable Press.

19. Cambia il prefisso del database di WordPress

Quando installi WordPress, il database viene configurato con il prefisso di default “wp_”.

Questo valore è impostato nel file wp-config.php e può essere modificato facilmente prima di installare WordPress. Si può fare anche dopo però il lavoro è molto più lungo.

Cambiare il prefisso in qualsiasi altra cosa aggiunge un altro strato di protezione contro attacchi SQL che nel 99,99% dei casi prendono di mira il database tramite questo prefisso di default wp_.

Quindi cambiando il valore del prefisso in altro, anche qualcosa di semplice come “wp__” (ho aggiunto un altro _) ti aiuterà con la sicurezza del tuo sito. Ecco qui un approfondimento sul come cambiare il prefisso al database di WordPress.

20. Proteggi la pagina che usi per accedere al tuo sito

La pagina di login di WordPress permette a chiunque di accedere ovviamente con delle credenziali (nome utente e password).

Questo modo di gestione della pagina del login è molto comodo per gli utenti veri che devono accedere realmente al sito per lavorarci, però allo stesso tempo lascia libero il passaggio di coloro che vogliono sfruttare attacchi di forza bruta.

Come abbiamo parlato prima se tu e gli utenti del sito usate password complicate allora non c'è nulla di cui ti debba preoccupare.

Se non sei al 100% sicuro che tutte le password che vengono usate per accedere al sito siano complicate allora ti consiglio di prenderti un po’ di tempo per mettere al sicuro la pagina di login di WordPress così da evitare problemi futuri.

Ci sono vari modi in cui puoi procedere:

  • Usa un plugin per proteggere la pagina del login
  • Implementa l'autenticazione a 2 passi
  • Implementare l'autenticazione HTTP
  • Aggiungi gli ip che accedono di solito al sito al whitelist (continua a leggere per più info)

Ognuna di queste soluzioni ti aiuterà a proteggere la pagina di login di WordPress, quindi fai qualche ricerca e trova la soluzione migliore per il tuo caso.

Personalmente su siti dove sono l'unico autore mi piace bloccare l'accesso per tutti aggiungendo questo snipet di codice dentro il file .htaccess. Cambia 123.456.789 con il tuo vero ip.

https://gist.github.com/cryptoismad/624e5ea6655dbbba4cf06c1bf3ebed41

Questo semplice codice ti permette di accedere senza problemi mentre blocca tutti gli altri. Puoi aggiungere IP aggiuntivi alla whitelist semplicemente ripetendo la riga  Allow from tutte  le volte che hai bisogno.

21. Proteggi il file wp-config.php

Uno dei più importanti file di WordPress e wp-config.php.

Questo perché contiene le informazioni del database (informazioni che permettono di avere totale controllo sul tuo sito web). Su un server configurato come si deve il file wp-config dovrebbe essere non disponibile per qualsiasi tipo di accesso dall'esterno.

Se non sei sicuro o semplicemente vuoi aggiungere uno strato di sicurezza ecco un codice da aggiungere nel tuo file .htaccess che proteggerà il file di configurazione da accessi esterni:

https://gist.github.com/cryptoismad/624e5ea6655dbbba4cf06c1bf3ebed41

Come bonus mi piace bloccare anche il file xmlrpc.php usando questo codice che devi aggiungere sempre nel file .htaccess:

https://gist.github.com/cryptoismad/d0cea1145070ab4f5b28a0104fdbf698

Nota: mentre è perfettamente ok per qualsiasi sito proteggere il file wp-config.php, dovresti fare particolarmente attenzione a bloccare il file xmlrpc.php soltanto se sei sicuro di non usarlo per niente.

22. Disabilita le modifiche ai file dal interno della bacheca di WordPress

Di base, WordPress permette a tutti gli utenti che hanno diritti di amministratore di modificare file di temi e plugin dall'area di amministrazione (sotto Aspetto > Editor).

Mi piace disabilitare questa funzionalità per contenere i problemi di sicurezza. Per farlo devi semplicemente aggiungere la seguente riga di codice all'interno del tuo file wp-config.php:

https://gist.github.com/cryptoismad/dc7f507266cbfe421a92e7db701e880c

Mi raccomando aggiungi la stringa sopra il testo /* Finito, interrompere le modifiche! Buon blogging. */  come vedi che l'ho fatto io nel'immagine qui sopra.

Aggiungendo questa stringa equivale con la rimozione dei diritti per la modifica di temi, plugin e altri file di WordPress per tutti gli utenti.

Per altri trucchi e informazioni sul file wp-config.php leggi questi articoli che ho trovato in rete (purtroppo sono in inglese):

Assicurati di eseguire un backup del file wp-config.php (meglio se di tutto il sito) prima di iniziare a fare le tue prove.

Ancora più sicurezza

Se sei arrivato fin qui ti faccio i miei complimenti.

Abbiamo parlato di tantissime misure di sicurezza (molte di queste molto facili da implementare) per mettere in sicurezza il tuo sito web realizzato con WordPress.

Andando avanti ti suggerisco di continuare ad approfondire sempre di più le tecniche per tenere al sicuro il tuo sito web.

Conclusione

Tenere in sicurezza un sito web realizzato con WordPress e abbastanza facile sopratutto se si rispettano un paio di regole. Spero che i trucchi presentati in questa pagina ti siano di aiuto per tenere al sicuro il tuo sito web.

Usi altri “trucchi” oltre a quelli che ho spiegato?  Fammelo sapere nei commenti se ti va.

Hai domande o argomenti da aggiungere? Commenta qui sotto! Farò del mio meglio per risponderti.

Articoli correlati

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *