<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=351110188613778&amp;ev=PageView&amp;noscript=1">

Proteggere un sito web dagli hacker in 7 mosse

Oggi cambio di ruolo in Sinfonia: i programmatori si calano nei panni dei copy e svelano le 7 dritte da seguire per evitare che il tuo sito, creato in Wordpress, sia attaccato da hacker e malintenzionati.

Perché, diciamocelo, prevenire è meglio che curare.

Ma andiamo con ordine.

Cos’è Wordpress?

Per chi non lo sapesse, Wordpress è un software CMS opensource e gratuito molto diffuso per la creazione di siti web.

Un'ampia diffusione che probabilmente dipende dal fatto che "Wordpress è uno strumento che al tempo stesso è gratuito e senza prezzo per le sue infinite possibilità”, come dice lo stesso sito ufficiale.

Non stupisce, quindi, sapere che la piattaforma ha una fetta di mercato di circa il 60% dei siti gestiti tramite un CMS, e che un sito su 4 in tutto il web utilizza proprio questo software.

Tante interessanti funzionalità a costo 0 rendono Wordpress un’ottima opzione per chi deve creare un sito web, ma attenzione perchè proprio per la sua diffusione massiccia la piattaforma può diventare una possibile preda degli attacchi hacker.

Ma non disperare! Con questi 9 consigli tu e il tuo sito sarete al sicuro, parola di programmatore :)

 

1. Nome utente e password complesse

Iniziamo dal principio: per creare il tuo utente wordpress è fondamentale scegliere uno username diverso dal classico “admin”. Questo perché si tratta di un nome utente decisamente abusato ed eventuali malintenzionati potrebbero provare ad accedere al tuo sito proprio utilizzando quel nome.

 Schermata 2017-01-13 alle 15.15.47.png

Per quanto riguarda la scelta della password, è bene utilizzare password articolate che prevedano l’uso di numeri e simboli, e magari di maiuscole.

Evita di scegliere date di nascita o altre informazioni troppo ovvie.

Schermata 2017-01-13 alle 15.16.18.png

2. Scegli un nickname

È buona norma, dopo aver creato il tuo account di Wordpress, andare su Nome Utente > Modifica il tuo Profilo e creare un nickname diverso dal nome utente per poi selezionarlo nella tendina Nome pubblico da visualizzare.

In questo modo individuare il nome utente per effettuare il login diventa più difficoltoso per malintenzionati.

Schermata 2017-01-13 alle 15.21.34.png

Schermata 2017-01-13 alle 15.22.11.png 

 

3. Mantieni il controllo dei commenti

 Vuoi evitare commenti spam? Risposta ovvia.

Allora ti basterà evitare di abilitarli nelle opzioni di Wordpress, spuntando su Impostazioni > Discussione “Consenti la scrittura di commenti per i nuovi articoli”.

 

Se, invece, vuoi mantenere il modulo commenti nel sito, il consiglio è di spuntare le seguenti opzioni nelle impostazioni dei commenti:

  • Gli utenti devono essere registrati e fare il login per poter inviare commenti
 (un po' macchinoso...)
  • Il commento deve essere approvato manualmente

  • Gli autori di un commento devono avere un commento già approvato in precedenza

  • È consigliabile, inoltre, utilizzare un modulo captcha per i commenti degli utenti (installabile tramite un plugin).

Schermata 2017-01-13 alle 15.26.22-1.png

Schermata 2017-01-13 alle 15.35.33.png

  Schermata 2017-01-13 alle 15.37.34.png

 

4. Disattiva Xml rpc

Xml rpc, come dice wikipedia, è “un protocollo utilizzato in informatica che permette di eseguire delle chiamate a procedure remote (RPC) attraverso la rete Internet.”

Nel caso di Wordpress si tratta di una funzione attiva di default che permette di scrivere nel blog tramite applicazioni di terze parti o tramite la stessa applicazione mobile di Wordpress.

Se non intendi utilizzare servizi simili, è buona norma disattivare questo protocollo sul sito, per evitare potenziali falle di sicurezza. 

Come disattivare Xml rpc?

In questo caso Wordpress prevede un semplice filtro da copiare nel nostro function.php:

add_filter('xmlrpc_enabled', '__return_false’);

Schermata 2017-01-13 alle 15.39.37.png

In alternativa, puoi utilizzare un plugin chiamato Disable XML-RPC.

Una volta installato e attivato fa esattamente la stessa cosa del codice riportato sopra.

 

5. Rinomina wp-admin

Per evitare attacchi brute-force nei confronti del sito, un altro metodo efficace consiste nel rinominare la pagina di login “nomesito/wp-admin” con qualcosa come “nomesito/accedi” o simili.

Per effettuare questa operazione ti consigliamo di ricercare tra questi il plugin più adatto a te.

 

6. Prefisso tabelle mysql

Il prossimo importante step per salvaguardare la sicurezza del tuo sito web è sicuramente il NON utilizzare il prefisso tabelle default previsto da Wordpress (“wp_”) al momento della creazione del sito.

Un’operazione semplice ma importante se vuoi evitare che un malintenzionato prenda possesso del tuo sito tramite una SQL injection.

Schermata 2017-01-13 alle 15.45.44.png

E se hai già creato un sito?

Nessun problema, ecco una lista di plugin che effettuano questa operazione di rinomina a posteriori.

All’interno del file wpconfig.php puoi osservare come vengano definite le connessioni del tuo sito con il database (compresa la configurazione del prefisso della tabella).

Si tratta di un file che viene generato automaticamente al termine della configurazione del Wordpress del tuo sito.

Schermata 2017-01-13 alle 15.49.38.png

 

7. Aggiornamenti di wordpress e plugin

Un altro punto importante per mantenere sicuro il tuo sito web è sicuramente quello di tenere aggiornati i tuoi plugin e la tua versione di Wordpress.

Le versioni più recenti, infatti, vanno a chiudere eventuali falle e bug che costituiscono un grave rischio per la sicurezza del tuo sito web.

Ogni qualvolta ci sarà una nuova versione, Wordpress provvederà a segnalartelo.

Schermata 2017-01-13 alle 15.54.26.png

 

Prima di effettuare qualsiasi operazione di aggiornamento ricorda, però, di effettuare un backup del tuo database e dei tuoi file.

 

Per fare il backup del tuo database puoi scegliere di utilizzare:

 

E ora non ti resta che iniziare a mettere in sicurezza il tuo sito creato con Worpress.

 

Buon lavoro!

 

Contattaci per una CONSULENZA GRATUITA

Scritto da Marco Stocco il 24 gennaio 2017

Iscriviti al blog!

Articoli recenti