Oggi cambio di ruolo in Sinfonia: i programmatori si calano nei panni dei copy e svelano le 7 dritte da seguire per evitare che il tuo sito, creato in Wordpress, sia attaccato da hacker e malintenzionati.
Perché, diciamocelo, prevenire è meglio che curare.
Ma andiamo con ordine.
Cos’è Wordpress?
Per chi non lo sapesse, Wordpress è un software CMS opensource e gratuito molto diffuso per la creazione di siti web.
Un'ampia diffusione che probabilmente dipende dal fatto che "Wordpress è uno strumento che al tempo stesso è gratuito e senza prezzo per le sue infinite possibilità”, come dice lo stesso sito ufficiale.
Non stupisce, quindi, sapere che la piattaforma ha una fetta di mercato di circa il 60% dei siti gestiti tramite un CMS, e che un sito su 4 in tutto il web utilizza proprio questo software.
Tante interessanti funzionalità a costo 0 rendono Wordpress un’ottima opzione per chi deve creare un sito web, ma attenzione perchè proprio per la sua diffusione massiccia la piattaforma può diventare una possibile preda degli attacchi hacker.
Ma non disperare! Con questi 9 consigli tu e il tuo sito sarete al sicuro, parola di programmatore :)
1. Nome utente e password complesse
Iniziamo dal principio: per creare il tuo utente wordpress è fondamentale scegliere uno username diverso dal classico “admin”. Questo perché si tratta di un nome utente decisamente abusato ed eventuali malintenzionati potrebbero provare ad accedere al tuo sito proprio utilizzando quel nome.
Per quanto riguarda la scelta della password, è bene utilizzare password articolate che prevedano l’uso di numeri e simboli, e magari di maiuscole.
Evita di scegliere date di nascita o altre informazioni troppo ovvie.
2. Scegli un nickname
È buona norma, dopo aver creato il tuo account di Wordpress, andare su Nome Utente > Modifica il tuo Profilo e creare un nickname diverso dal nome utente per poi selezionarlo nella tendina Nome pubblico da visualizzare.
In questo modo individuare il nome utente per effettuare il login diventa più difficoltoso per malintenzionati.
3. Mantieni il controllo dei commenti
Vuoi evitare commenti spam? Risposta ovvia.
Allora ti basterà evitare di abilitarli nelle opzioni di Wordpress, spuntando su Impostazioni > Discussione “Consenti la scrittura di commenti per i nuovi articoli”.
Se, invece, vuoi mantenere il modulo commenti nel sito, il consiglio è di spuntare le seguenti opzioni nelle impostazioni dei commenti:
- Gli utenti devono essere registrati e fare il login per poter inviare commenti (un po' macchinoso...)
- Il commento deve essere approvato manualmente
- Gli autori di un commento devono avere un commento già approvato in precedenza
- È consigliabile, inoltre, utilizzare un modulo captcha per i commenti degli utenti (installabile tramite un plugin).
4. Disattiva Xml rpc
Xml rpc, come dice wikipedia, è “un protocollo utilizzato in informatica che permette di eseguire delle chiamate a procedure remote (RPC) attraverso la rete Internet.”
Nel caso di Wordpress si tratta di una funzione attiva di default che permette di scrivere nel blog tramite applicazioni di terze parti o tramite la stessa applicazione mobile di Wordpress.
Se non intendi utilizzare servizi simili, è buona norma disattivare questo protocollo sul sito, per evitare potenziali falle di sicurezza.
Come disattivare Xml rpc?
In questo caso Wordpress prevede un semplice filtro da copiare nel nostro function.php:
add_filter('xmlrpc_enabled', '__return_false’);
In alternativa, puoi utilizzare un plugin chiamato Disable XML-RPC.
Una volta installato e attivato fa esattamente la stessa cosa del codice riportato sopra.
5. Rinomina wp-admin
Per evitare attacchi brute-force nei confronti del sito, un altro metodo efficace consiste nel rinominare la pagina di login “nomesito/wp-admin” con qualcosa come “nomesito/accedi” o simili.
Per effettuare questa operazione ti consigliamo di ricercare tra questi il plugin più adatto a te.
6. Prefisso tabelle mysql
Il prossimo importante step per salvaguardare la sicurezza del tuo sito web è sicuramente il NON utilizzare il prefisso tabelle default previsto da Wordpress (“wp_”) al momento della creazione del sito.
Un’operazione semplice ma importante se vuoi evitare che un malintenzionato prenda possesso del tuo sito tramite una SQL injection.
E se hai già creato un sito?
Nessun problema, ecco una lista di plugin che effettuano questa operazione di rinomina a posteriori.
All’interno del file wpconfig.php puoi osservare come vengano definite le connessioni del tuo sito con il database (compresa la configurazione del prefisso della tabella).
Si tratta di un file che viene generato automaticamente al termine della configurazione del Wordpress del tuo sito.
7. Aggiornamenti di wordpress e plugin
Un altro punto importante per mantenere sicuro il tuo sito web è sicuramente quello di tenere aggiornati i tuoi plugin e la tua versione di Wordpress.
Le versioni più recenti, infatti, vanno a chiudere eventuali falle e bug che costituiscono un grave rischio per la sicurezza del tuo sito web.
Ogni qualvolta ci sarà una nuova versione, Wordpress provvederà a segnalartelo.
Prima di effettuare qualsiasi operazione di aggiornamento ricorda, però, di effettuare un backup del tuo database e dei tuoi file.
Per fare il backup del tuo database puoi scegliere di utilizzare:
- un plugin
- un terminale
- il pannello di controllo phpmyadmin
E ora non ti resta che iniziare a mettere in sicurezza il tuo sito creato con Worpress.
Buon lavoro!
