Se ti stai approcciando per la prima volta all’argomento “sicurezza WordPress” devi sapere che mantenere il tuo sito aggiornato e pulito è fondamentale per evitare di perdere, da un giorno all’altro, tutto il tuo business online.
Scopri come mettere in sicurezza WordPress attraverso 18 step che ti aiuteranno a “blindare” il tuo sito web da attacchi hacker.
Alla fine dell’articolo trovi una checklist per mettere in sicurezza WordPress da poter scaricare e stampare. Prendila come una sorta di to-do-list da tirar fuori ogni volta che stai per creare un sito con WordPress.
I seguenti passaggi, che ti consentiranno di aumentare la sicurezza di WordPress, hanno un ordine sparso, dunque non sentirti in dovere di seguirli in maniera ordinata.
Vulnerabilità su WordPress
WordPress, così come altri CMS preconfezionati o fatti in casa, è soggetto ad alcuni tipi di vulnerabilità, solo che, essendo una piattaforma opensource gratuita con una grande community di sviluppatori alle spalle, è più soggetta all’esposizione di attacchi hacker proprio perché è accessibile a tutti ed è possibile installare temi e plugin di terze parti.
Volendo un sito WordPress più sicuro è necessario fare attenzioni ad alcune vulnerabilità che si possono presentare:
- Malware: sono dei codici malevoli iniettati all’interno del database o che puoi ritrovare più facilmente dentro i file di un tema o di un plugin obsoleto o di dubbia provenienza;
- Attacchi brute force: sono gli attacchi più comuni a chi ha un’installazione WordPress insieme a quelli di tipo Complex. Un programma effettua innumerevoli tentativi di login andando a cercare la giusta combinazione tra username e password;
- SQL Injection: sono delle iniezioni di script che sfruttano le vulnerabilità dei form. Si tratta di una pratica utilizzata per iniettare codice malevolo all’interno del database;
- Attacchi DDoS: sono degli attacchi in grado di buttare giù un server a causa delle loro innumerevoli richieste effettuate in brevissimo tempo. In genere un buon hosting dovrebbe essere in grado di prevenire o bloccare in tempo questi attacchi;
- Cross-Site Scripting (XSS): è un attacco molto noto in informatica che sfrutta il linguaggio JavaScript. Con questa vulnerabilità l’hacker è in grado di manipolare e rubare i dati sensibili, oltre a riuscire a reindirizzare l’utente in un altro sito web;
1. Core di WordPress aggiornato
Il primo punto fondamentale con il quale voglio partire è quello di mantenere WordPress sempre aggiornato.
WordPress è una piattaforma open source che viene aggiornata periodicamente, attualmente infatti la roadmap suggerisce un aggiornamento a cadenza trimestrale. Leggi la guida di WordPress.
Essendo che WordPress è molto conosciuto sul web – si stima che il 35% dei siti web di tutto il mondo lo utilizzi – è molto più semplice per gli hacker scovare delle falle nel codice della piattaforma ed utilizzarle per compromettere un sito.
Ecco perché è necessario avere sempre una versione aggiornata del nostro CMS preferito. Ci sono centinaia di persone che lavorano nel miglioramento della piattaforma, alcune di queste lo fanno anche soltanto segnalando eventuali bug o falle. Dunque mantenere aggiornato il core di WordPress è uno dei passaggi più importanti per tenere il sito web sicuro.
2. Backup di sicurezza
Sembra banale, ma ti posso assicurare che creare un backup di WordPress in modo periodico non è una pratica che viene seguita da tutti coloro che hanno un sito.
Leggendo i vari commenti sui gruppi facebook, infatti, si può notare quanto gli utenti siano ancora “ignoranti” in tema sicurezza. Ed il mio obiettivo oggi è mostrarti come poter mettere in sicurezza il tuo sito, facendolo in maniera semplice e guidata.
Avere un backup significa avere una copia recente di un sito web. Lo scopo di avere un backup è quello di poterne fare affidamento nel momento in cui il sito risulti essere compromesso.
Ci sono diversi modi per fare backup, da quello manuale a quello automatico. Partendo dal presupposto che la maggior parte degli hosting “migliori” ti danno la possibilità di creare un backup automatico di tutto il sito tramite pannello, la maniera più semplice e veloce per avere un backup efficiente e pronto all’uso è quello di utilizzare un plugin.
Il plugin che ti consiglio è Updraft Plus, con il quale è possibile scegliere la periodicità del backup. Con questo plugin WordPress puoi decidere di scaricare il backup sul pc (creandone una copia sul server), invartelo tramite email, oppure, consigliato, salvare una copia del backup in uno storage esterno (puoi affidarti molto semplicemente a Google Drive).
Con il backup ti assicuri di avere sempre una copia del tuo sito a portata di mano. Nel caso dovessi notare dei malfunzionamenti od il tuo sito sia addirittura non visibile, potrai sempre ripristinare la copia più recente dei file e del database.
Importante! Spesso, quando ci si cimenta con la realizzazione di un sito in WordPress, non si conosce la sua struttura o, ancor più semplicemente, dove vengono salvate le immagini ed i testi.
Per essere più brevi possibili, devi sapere che le immagini, così come tutti i file, vengono salvati dentro il server. Mentre i testi (articoli, pagine) e le impostazioni varie vengono salvate nel database.
Quando effettui un backup, assicurati di fare una copia sia dei file che del database.
3. Attiva temi e plugin sicuri
Alcuni principianti in WordPress si fanno ammaliare dalla possibilità di scaricare gratuitamente temi o plugin premium. Generalmente si tratta di risorse conosciute e molto utilizzate su WordPress, le quali hanno un prezzo di acquisto e, in alcuni casi, anche un costo di rinnovo annuo.
Le risorse di cui ti sto parlando hanno un nome ben preciso e si chiamano “temi nulled” e “plugin nulled”.
Le motivazioni dietro la scelta di scaricare ed installare temi nulled o plugin nulled sono due: ottenere una risorsa premium senza dover spendere un centesimo, testare il funzionamento della risorsa (tema o plugin) per poi decidere di acquistare la copia originale.
Nessuna di queste due motivazioni può essere ritenuta valida, infatti se desideri creare un sito web in maniera professionale, devi assolutamente abbandonare l’idea di utilizzare copie crackate di temi e plugin.
Il download di temi e plugin nulled minano la sicurezza WordPress e dell’intero spazio e database in cui è stato installato.
Motivi per cui non devi installare temi e plugin nulled
- Sicurezza: è possibile che queste risorse nulled contengano dei malware. Non è raro trovare dei codici malevoli all’interno dei file. Un malware potrebbe inserire link malevoli all’interno del sito (rischiando così di ottenere una penalizzazione lato SEO), accedere al database compromettendo tutto il tuo lavoro, accedere ai dati personali tuoi e dei tuoi utenti (immagina il danno che potresti causare nel caso di un ecommerce);
- Etica: pensa solo che le risorse che stai cercando di craccare sono state sviluppate da un professionista, il quale ha impiegato tempo e sudore per dare alla community di WordPress qualcosa di grande valore. Il lavoro di ognuno di noi è sacro. Se l’autore del plugin o del tema decide di mettere a pagamento la sua risorsa, puoi decidere di pagare oppure, semplicemente, di trovare un valido sostituto (o magari sviluppalo tu un tema od un plugin :p );
- Nessuna assistenza: chi acquista la licenza di un plugin o di un tema ha, nella maggior parte dei casi (vedi per esempio themeforest), diritto all’assistenza da parte del team di sviluppatori. Scaricando un tema nulled od un plugin craccato, non potrai ottenere assistenza e dovrai risolvere il problema da solo;
- Nessun aggiornamento: se non acquisti una licenza premium valida, non avrai accesso agli aggiornamenti simultanei. Dunque se il tema od il plugin contiene un bug, non potrai accedere al suo aggiornamento in tempo reale.
4. Aggiorna temi e plugin
Un’altra delle buone pratiche per mantenere in sicurezza WordPress, è quello di aggiornare periodicamente sia i temi che i plugin.
Sia che i temi siano attivi oppure no, in entrambi i casi devono essere sempre aggiornati.
Nel caso dei temi è consigliabile di eliminare tutti i temi non attivi, lasciare solo il tema in uso ed un ulteriore tema di WordPress (ad esempio twentytwentyone), in modo tale che se il tema in uso dovesse avere dei problemi, può essere prontamente sostituito con un tema ufficiale di WordPress.
Per mantenere in sicurezza il tuo sito creato in WordPress, e mantenere sempre aggiornati sia i temi che i plugin, puoi scegliere di aggiornarli:
- Manualmente: significa che dovrai aggiornare i plugin ed i tema ogni qualvolta che esce un update oppure periodicamente (potresti fissare un aggiornamento ogni mese ed aggiornare subito un plugin nel caso in cui tu venga a conoscenza di una falla pericolosa). Pro: ampio controllo sulle risorse. Contro: devi stare dietro a tutti gli aggiornamenti (anche giornalieri).
- Automaticamente: significa che puoi impostare un aggiornamento automatico di uno o più plugin e tema. Ogni qualvolta che esce una nuova release, il sistema aggiornerà in automatico le tue risorse. Pro: non devi stare dietro ad ogni singolo aggiornamento. Contro: potrebbero esserci problemi di incopatibilità ed errori.
Il mio consiglio per aumentare la sicurezza di WordPress è quello di installare pochi e buoni plugin (conosciuti, con una grande community dietro, sempre aggiornati), cancellare plugin datati e non più supportati dalla repository di WordPress, ed aggiornare sempre i plugin ed i tema.
Che tu decida di aggiornare i tuoi plugin e tema manualmente od automaticamente, occhio sempre al backup 😉
5. Cancellare plugin obsoleti
Come ti accennavo nel passaggio precedente, una pratica comune per migliorare la sicurezza di WordPress è quella di rimuovere i plugin obsoleti.
Per plugin obsoleti mi riferisco a quei plugin che:
- Non vengono aggiornati da almeno 2 major release (relativo al core di WordPress);
- Non vengono aggiornati da diversi mesi ed il supporto è inesistente, tant’è che il team di sviluppatori non ha più risposto alle richieste degli utenti;
- Sono stati cancellati dalla repository ufficiale di WordPress.
Mantenere attivo un plugin obsoleto, non aggiornato e mantenuto, significa andare in contro a futuri problemi. Alcuni di questi plugin potrebbero essere presi di mira dagli hacker che, una volta trovata una falla, cercano tutti i siti sviluppati in WordPress (e che hanno installato quel determinato plugin) e forzano il sito proprio grazie ad esso.
Quindi, se vuoi che il tuo sito sia sicuro, devi assolutamente eliminare i plugin obsoleti.
Ahimè, però, cancellare un plugin “fisicamente”, ovvero cancellare i file e la cartella del plugin, non significa automaticamente cancellare anche le impostazioni ed i dati che vengono salvati all’interno del database.
Alcuni plugin, durante la loro disattivazione e la cancellazione, permettono di cancellare i dati dal database oppure di mantenerli, ma in molti casi questa opzione non viene richiesta. Dunque ti ritroverai ad aver cancellato il plugin e, allo stesso tempo, tutti i dati relativi al plugin conservati sul database. Un malware, ad esempio, può essere presente anche nelle tabelle del database.
Se sospetti che un vecchio plugin possa avere problemi di sicurezza, e desideri cancellarlo, assicurati anche di fare un check del database, facendo una verifica manuale di alcune stringhe come eval, base64_decode, gzinflate, preg_replace, str_replace
, oppure ancora cercando dei possibili script o embed, oppure lanciando uno scan automatico con il plugin Wordfence.
6. Cambia l’user admin
L’username in assoluto più utilizzato in tutta la vita di WordPress è “admin”.
Che tu lo abbia impostato manualmente o che te lo sia ritrovato dopo un’installazione automatica, non solo hai la possibilità di cambiarlo, ma devi anche farlo!
Il cambio di username è, difatti, presente in tutte le checklist per la sicurezza di WordPress.
Il nome “username”, in questo contesto, è chiamato impropriamente, infatti quello che noi andremo a modificare non è altro che il campo “user_login”.
Per migliorare la sicurezza di WordPress, e modificare l’user “admin”, bisogna accedere a phpMyAdmin, selezionare la tabella wp_users (il prefisso wp_ potrebbe essere diverso), selezionare la riga di nostro interesse (nella maggior parte dei casi è la riga con ID = 1) e modificare il campo user_login inserendo un altro nome.
Il cambio dell’user admin non ti garantirà la sicurezza suprema, ma sicuramente rappresenterà un valido ostacolo. Con WordPress è possibile accedere alla lista degli utenti senza dover fare chissà quale magheggio. Ne parlo più sotto.
7. Utilizza una password sicura
Avere una password sicura per accedere al tuo sito web è fondamentale. Una password complessa rende la vita meno facile agli hacker od ai malintenzionati che decidono di colpire il tuo sito.
Inserire una password difficile non significa che il tuo sito è protetto al 100%. Dipende dal tipo di attacco, potresti inserire anche una password di 40 caratteri e non essere protetto abbastanza.
Ecco perché il cambio della password è solamente una piccola buona pratica da seguire per migliorare la sicurezza di WordPress.
Come deve essere una password sicura per WordPress:
- Lunga almeno 12 caratteri
- È difficile da indovinare
- Contiene caratteri di punteggiatura
- Contiene lettere maiuscole
- Contiene numeri
- È diversa dalle password che utilizzi già altrove
8. Cambia l’URL di accesso
Nella maggior parte degli attacchi informatici che interessano WordPress, cambiare l’URL di accesso al pannello amministrativo risolve gran parte del problema relativo alla violazione dell’account e della sicurezza del sito web.
Per chi come me lavora da tanti anni in siti realizzati in WordPress, accedere all’area admin scrivendo /wp-admin/ nella barra del browser è quasi una cosa automatica, istintiva.
Volendo utilizzare un plugin, il cambio dell’URL per il login di WordPress è molto semplice. WPS Hide Login è uno dei plugin più utilizzati nell’ambito della sicurezza di WordPress. Ti verrà chiesto semplicemente di rinominare l’url con quello che più ti piace o che ti è più facile da ricordare.
Cambiare l’URL di login significa contribuire a rendere più sicuro WordPress e l’intero sito web. Con il cambio dell’url di accesso noterai un significativo calo di attacchi brute force. Se hai precedentemente installato Wordfence potrai verificare le statistiche.
Dopo aver effettuato il cambio dell’URL di login, non dimenticare di avvisare gli altri utenti che come te hanno accesso al pannello di WordPress (autori, editori, admin, …). Se invece hai un’ecommerce con WooCommerce, i tuoi utenti continueranno tranquillamente ad accedere al loro account da frontend, dunque per loro non cambierà nulla.
9. Cambia il prefisso delle tabelle
Di default il prefisso delle tabelle contenute nel database di WordPress è wp_ ed è buona norma modificarlo.
Modificare il prefisso delle tabelle di WordPress non significa che l’hacker non possa accedere alle tabelle. Metti caso che in qualche modo riesca ad accedere al file wp-config.php, ecco lì dentro troverebbe facilmente non solo il prefisso utilizzato, ma anche tutti i dati per accedere al database.
Comunque modificare il prefisso delle tabelle di WordPress è sempre un piccolo passetto in più verso la messa in sicurezza di WordPress.
Così come ogni cosa, ci sono due metodi per modificare i prefissi. Il primo è quello di farlo tramite plugin (cosa che ti consiglio assolutamente di fare se non conosci WordPress e non sei uno sviluppatore). Il secondo metodo è quello di farlo manualmente, in questo caso dovrai non solo modificare banalmente il prefisso del file wp-config.php, ma dovrai anche modificare il database accedendo a phpMyAdmin.
Per evitare tutto ciò, la prossima volta che procederai con una nuova installazione, scegli subito di inserire un prefisso diverso.
10. Protocollo HTTPS e certificato SSL
Con l’attivazione del protocollo HTTPS ed il certificato SSL aumenterai il grado di sicurezza del tuo sito web fatto in WordPress.
Alcuni utenti pensano erroneamente che il protocollo https sia indispensabile soltanto per i siti web che hanno un ecommerce o che comunque hanno delle pagine di vendita collegate a Paypal e Stripe.
Se hai ancora un vecchio sito web in http è arrivato il momento di effettuare il passaggio ad HTTPS e di installare un certificato SSL. Nella maggior parte dei migliori hosting per WordPress (e non) potrai attivare Let’s Encrypt in maniera gratutita dal pannello Plesk o cPanel. Ad ogni modo chiedi all’assistenza del tuo hosting per capire come attivarlo.
Ti è mai capitato di navigare su internet ed il browser Chrome ti segnala che il sito che stai navigando non è sicuro?
Il protocollo HTTPS è uno dei fattore di ranking di Google. A dare conferma della sua importanza in ambito SEO è Google stesso che ne parla all’interno della sua documentazione per la SEO avanzata. Trovi il link qui di seguito: https://developers.google.com/search/docs/advanced/security/https?hl=it
Se l’utente legge “sito non sicuro”, la prima cosa che farà sarà quella di mettersi in allarme e probabilmente abbandonerà il tuo sito pensando proprio che il sito contenga un virus o che i suoi dati non siano al sicuro.
Devi fare in modo che i tuoi utenti si sentano sicuri di poter lasciare i loro dati personali, effettuare dei pagamenti o semplicemente navigare tra le pagine del tuo blog.
11. Blocca l’accesso XML-RPC
Con il file xmlrpc.php, che si trova nella root principale di WordPress, è possibile avviare una comunicare con il sito. Questo sistema è stato poi sostituito con le REST API di WordPress, ma quel file si trova ancora lì ed è potenzialmente pericoloso.
Per farti un esempio il sistema XML-RPC veniva utilizzato per consentire alle applicazioni esterne di accedere a WordPress e notificare trackback e pingback.
Considerando che tutti i siti in WordPress sono soggetti ad attacchi di tipo brute force o complex, è molto probabile che accedendo ai tuoi log di accesso (trovi i registri o file su Plesk/cPanel) troverai numerosi accessi al file xmlrpc.php
In questo modo ti renderai conto che il tuo sito potrebbe non essere sicuro e dovrai porvi rimedio. Come? Disattivando l’XML-RPC.
Un hacker può sfruttare il file xmlrpc.php effettuando dei tentativi di accesso cercando di trovare le giuste combinazioni di username e password.
Per disattivare l’XML-RPC puoi agire manualmente tramite il filtro “xmlrpc_enabled” oppure tramite il plugin iTheme Security che sfrutteremo più avanti per altre funzionalità.
Ma tanto noi abbiamo modificato l’username admin, quindi gli hacker non riusciranno ad accedere! FALSO! C’è un modo per ottenere la lista di tutti gli utenti e te lo mostrerò nel passaggio seguente.
12. Proteggi WordPress da attacchi hacker
In questo paragrafo voglio spiegarti come proteggere il tuo sito da attacchi brute force, attacchi complex, malware, link malevoli.
Un sito WordPress sicuro deve potersi proteggere dagli attacchi e dai malware e per farlo è possibile utilizzare un plugin denominato Wordfence.
Con Wordfence puoi bloccare gli indirizzi IP che hanno tentato di accedere ripetutamente con un username inesistente oppure con una password errata. Puoi bloccare l’accesso IP (difatto bannandolo momentaneamente) per il numero di ore che preferisci.
Questo plugin ti avvisa ogni volta che un utente riesce ad accedere a wp-admin, ti permette di bloccare in anticipo eventuali nomi inesistenti (ad esempio “admin” o “[login]” (nomi utenti con i quali gli hacker provano subito ad accedere), ti fa scegliere se forzare l’utilizzo di password forti, ecc…
13. Nascondi la versione di WordPress
Un’altra precauzione da prendere quando si utilizza WordPress è quella di nascondere la versione di WordPress, non mostrandola nella sorgente HTML.
Per rimuovere la versione di WP non è necessario attivare ulteriori plugin, ma puoi continuare a sfruttare le funzionalità di Wordfence di cui ti ho parlato nei punti precedenti.
Mostrare la versione di WordPress rende il tuo sito vulnerabile. Se per esempio il tuo sito non è aggiornato e la versione attuale ha una falla, il malintenzionato di turno potrebbe approfittarsene.
Dunque un ulteriore modo per contribuire indirettamente alla messa in sicurezza di WordPress è quello di nascondere la versione della piattaforma.
14. Autenticazione a 2 fattori
Anche l’autenticazione a due fattori ci viene in aiuto nella nostra missione di rendere WordPress più sicuro.
Questo sistema è ormai presente in diverse piattaforme. Per esempio Google ti invia una notifica nel dispositivo che hai associato e ti chiede se sei stato tu ad accedere in un determinato luogo ed orario.
Anche in questo caso ci viene in soccorso il plugin Wordfence.
L’autenticazione a due fattori può essere attivata sia per l’amministratore che per qualunque altro ruolo. Se tu (amministratore) scegli di abilitare l’autenticazione a 2F, l’utente potrà successivamente decidere se attivare o meno l’autenticazione.
15. Modifica chiavi uniche e salts
Quando installi WordPress tramite installazione automatica potrai notare che all’interno del file wp-config.php saranno presenti delle righe relative alle chiavi uniche ed i salts.
I salts e le chiavi proteggono il tuo account durante l’accesso al pannello di WordPress. Grazie ai cookie potrai rimanere connesso una volta che avrai effettuato il login al pannello di WordPress. I salts (che tradotto sarebbero i “sali”, ma fa strano chiamarli così e quindi manterrò il loro nome originale) e le chiavi proteggono i dati utilizzati al momento del login, in particolare si occupano di crittografare le password che per ragioni di sicurezza non possono essere trasmesse e salvate in chiaro.
Così come tante altre cose, anche in questo caso puoi modificare le chiavi ed i salts sia manualmente che tramite plugin.
Volendo optare per l’utilizzo di un plugin posso consigliarti di utilizzare iTheme Security (menzionato già in questo articolo per altre funzionalità sempre riguardanti la sicurezza di WordPress). All’interno delle Impostazioni del plugin trovi la configurazione di WordPress Salts.
16. Blocca l’hotlinking
L’hotlinking è quella tecnica con la quale un utente preleva l’URL di un file contenuto nel tuo sito e lo carica nel suo.
Ti sarà capitato di inserire all’interno di un articolo un’immagine presa da un altro blog e, anziché scaricarla e poi caricarla nel tuo server, hai semplicemente incollato l’URL dell’immagine del sito esterno. Ecco, questa pratica si chiama hotlinking.
Il motivo per cui viene consigliato di bloccare l’hotlinking è per evitare lo spreco di risorse.
Pensa che un utente utilizzi il tuo file (contenuto nel tuo server) nel suo sito e che questo riceva migliaia di visite, in questo modo sta “rubando” delle preziosi risorse al tuo sito.
Il blocco dell’hotlinking è una misura preventiva per la sicurezza di WordPress per evitare che il server vada giù, ma non ha niente a che fare con l’hackeraggio.
17. Attiva Cloudflare
In ambito SEO, Cloudflare viene consigliato per migliorare le performance di WordPress, in questo caso va attivato per proteggere il sito dagli attacchi DDoS.
Cloudflare è un CDN in grado di proteggere un sito da vulnerabilità come attacchi DDoS. Cloudflare memorizza nella cache una copia del sito e li restituisce in maniera più veloce.
Per aumentare la sicurezza di un sito WordPress è consigliabile attivare Cloudflare. I migliori hosting di WordPress hanno l’opzione di attivazione di Cloudflare all’interno del loro pannello, nel caso non fosse così potrai sempre registrarti su Cloudflare e procedere con l’attivazione manuale (andando a puntare i DNS).
18. Verifica i permessi dei file
Se sei uno smanettone ti sarà capitato di accedere al sito tramite FTP e cambiare i permessi delle cartelle o dei file di WordPress per fixare chissà quale problema.
Per verificare che i permessi dei file e delle directory di WordPress abbiano un valore corretto puoi sfruttare ancora una volta il plugin iTheme Security e scaricare la lista dei permessi dei file dall’impostazione File permissions.
Le cartelle principali come /wp-admin/,/wp-includes/, /wp-content/ e quelle relative ai file multimediali (/uploads/), plugin e temi devono avere un valore di 755. Mentre il file wp-config.php deve avere i permessi settati a 444 così come il file .htaccess.
Plugin per la sicurezza di WordPress
Per evitare che il tuo sito creato con WordPress venga violato, è necessario prendere alcune precauzioni e rafforzare il livello di sicurezza.
In questo articolo ho mostrato come migliorare la sicurezza di WordPress grazie ad alcune pratiche semplici da replicare.
Come avrai notato, in alcuni di questi passaggi sono stati utilizzati dei plugin. Nel seguente elenco voglio presentarti un breve riepilogo dei plugin per la sicurezza di WordPress che potrebbero esserti davvero utili:
- Wordfence: viene utilizzato per scannerizzare l’intero sito web (file e database) creato con WordPress e verificare che non ci siano malware. Wordfence ti notifica quando plugin e temi vanno aggiornati, quando un utente cerca invano di accedere al pannello admin e, tra le funzioni migliori, ti segnala quando dei file vengono modificati. Inoltre ti aiuta ad individuare e bloccare attacchi brute force e complex. Grazie a questo plugin è possibile attivare l’autenticazione a 2 fattori e bloccare IP.
- WPS Hide Login: in pochi secondi ti permette di modificare l’url di accesso al pannello amministrativo. Si tratta di una funzione molto utile grazie alla quale i tentativi di attacchi di tipo brute force caleranno sensibilmente.
- iTheme Security: è in grado di offrire numerose funzionalità tra cui la modifica delle chiavi segrete di WordPress, la verifica che i file e directory principali di WordPress abbiano i permessi corretti, la disabilitazione provvisoria dell’accesso al pannello amministrativo, la disabilitazione dell’editor di plugin e temi.
Conclusione
Se non hai tempo per implementare tutte queste modifiche e vuoi “tappare i buchi” in maniera provvisoria, i passaggi che puoi apportare velocemente, e che garantiranno più sicurezza alla tua installazione di WordPress, sono il cambio dell’url di login, la disattivazione di XML-RPC ed il cambio dell’user_login admin.
Come avrai capito, per mettere in sicurezza WordPress non basta seguire solo un passaggio, è necessario mettere insieme più strategie.
Detto ciò, non sono un’esperta di sicurezza informatica; in questo articolo mi sono limitata a riportare la mia esperienza su tutti i controlli e le modifiche che ho seguito personalmente nel corso degli anni, grazie ai quali ho potuto aumentare la sicurezza dei siti web fatti in WordPress.
Come promesso all’inizio dell’articolo, ecco la checklist per la sicurezza di WordPress.