La guida definitiva per mettere in sicurezza WordPress – 2023
(Aggiornato 08/02/2024)
Mettere in sicurezza WordPress e rendere sicuro il sito è un punto di vitale importanza per tutti quelli che hanno un sito web che utilizza WordPress.
Non hai idea di quante persone che gestiscono un sito WordPress ogni settimana mi contattino perché gli hanno hackerato il sito oppure l’hosting li ha avvisati che è stato rilevato un Malware nei file del sito, tutti problemi legati alla mancata messa in sicurezza di WordPress.
E la principale causa numero 1 di gravi problemi è sempre il mancato aggiornamento di WordPress e dei plugin !
Google stesso ogni giorno inserisce in black list circa 10.000 siti web per Malware e ogni settimana circa 50.000 siti web per Phishing.
Questo statistiche dovrebbe suggerirti qualcosa…!
Se prendi sul serio il tuo sito web, devi prestare la massima attenzione alla sicurezza di WordPress.
In questa guida condivido tutte le migliori pratiche e principali suggerimenti per rendere sicuro WordPress che potranno aiutarti a proteggere il tuo sito web da Hacker, Virus, Malware etc.
Anche se WordPress di base sia molto sicuro e controllato regolarmente da centinaia di sviluppatori questo non vuol dire che possiamo permetterci di restare seduti e pensare che gli altri si preoccupino di salvaguardare il nostro sito web.
Io credo che la sicurezza non sia solo eliminare i rischi ma anche la semplice e importante riduzione dei rischi e in qualità di proprietario di un sito web puoi fare molto per migliorare le sue vulnerabilità. (anche se non sei esperto di tecnologia).
Lo so a cosa stai pensando.
Stai pensando che la cosa non ti preoccupa perché il tuo sito non è famoso e difficilmente qualcuno lo prenderà di mira, non interessa a nessuno penetrare nel mio sito e creare problemi, a quale scopo ?
Lascia che ti dica una cosa, non è affatto cosi !
Chi vuole eseguire degli attacchi a un sito web non lo fa solo perché il sito è famoso, o perché non ha niente di meglio da fare.
Un sito viene preso di mira perché ha delle vulnerabilità, anche se non è famoso e poi viene utilizzato per migliaia di scopi illeciti che portano a volte anche grandi guadagni, come l’invio di spam, il furto di dati sensibili per poi rivenderli, la sponsorizzazione di cose illegali attraverso il tuo sito etc. etc.
Una volta che il tuo sito web è stato “sputtanato” agli occhi di Google per queste problematiche e te lo inserisce in una black list di sito non sicuro non puoi nemmeno immaginare cosa bisogna fare per cercare di “ripulirlo agli occhi di Google.
Ma ancora peggio ci vorranno molti, molti, molti, ho già detto molti ? Mesi.
Adesso che hai un’idea più chiara di quanto sia importante tenere al sicuro il tuo sito web (almeno spero) potrai correre ai ripari.
Per semplificare, ho creato un indice dei contenuti per aiutarti a navigare facilmente attraverso la mia guida definitiva alla sicurezza di WordPress.
APRI INDICE CONTENUTI
-
- Partiamo dalle basi per la sicurezza di WordPress
- Perché la sicurezza di WordPress è importante?
- L’importanza del servizio hosting
- La sicurezza del tuo computer
-
- Sicurezza di WordPress in semplici passaggi
- Mantenere aggiornato WordPress
- Mantenere aggiornato il Tema
- Mantenere aggiornati i plugin
- Usare password complesse
- Installa un servizio di backup per WordPress
- Il miglior plugin per la sicurezza di WordPress
- Abilita Web Application Firewall (WAF)
- Sposta il sito WordPress su SSL/HTTPS
-
- Sicurezza di WordPress per utenti fai-da-te
- Modificare il nome utente “admin” predefinito
- Disabilita l’editor dei file
- Disabilita l’esecuzione di file PHP
- Blocca l’accesso al file wp-config.php
- Limita i tentativi di Login
- Autenticazione a due fattori
- Cambia il prefisso tabelle del database di WordPress
- Proteggi con password la pagina di accesso di login Admin
- Disattiva navigazione delle directory
- Permessi di scrittura di file e directory
- Disabilita XML-RPC in WordPress
- Disconnetti automaticamente gli utenti inattivi
- Scansione di WordPress per Virus e Malware
- Ripristino di un sito WordPress compromesso
Sei pronto? Iniziamo.
Perché la sicurezza WordPress è importante ?
Un sito WordPress compromesso può causare gravi danni facendoti perdere migliaia di euro, utenti e visite. Inoltre a seconda del problema gli hacker potranno appropriarsi di dati sensibili degli utenti, rubare password, usare Malware infettando gli utenti del sito e molto molto altro.
Prendi con particolare attenzione queste pratiche per rendere sicuro WordPress, specialmente se nel tuo sito web conservi migliaia di dati dei tuoi utenti/clienti.
Aumentare la sicurezza di WordPress non si dovrebbe fare perché è consigliato o perché è obbligatorio ma semplicemente perché stai proteggendo il TUO lavoro e ti stai proteggendo per eventuali problemi che potrebbero accadere se qualche malintenzionato decidesse di farti “sparire” il sito, vuol dire anche assicurare un buon futuro al vostro sito web e dormire sonni tranquilli o quasi.
Sai quante aziende si sono ritrovate a pagare Ransomware agli hacker solo per riottenere l’accesso al sito web ? Migliaia.
Nel marzo 2016, Google ha riportati i dati segnalando che più di 50 milioni di utenti che navigavano in siti web sono stati avvertiti del fatto che i siti che stavano visitando potrebbero contenere Malware o rubare informazioni.
Il ruolo dell’hosting nella sicurezza di WordPress
In caso non lo sapessi anche il servizio hosting WordPress che hai scelto di utilizzare svolge un ruolo fondamentale per la sicurezza del tuo sito WordPress, quindi ricorda che meno spendi e minor sicurezza avrai, come ovvio che sia.
Un eccellente provider di hosting come Siteground adotta misure extra per proteggere i propri server dalle minacce comuni.
Ecco come una buona azienda di web hosting lavora in background per proteggere i tuoi siti web e dati.
1 – Monitorano continuamente la loro rete per attività sospette.
2 – Tutte le buone aziende di hosting dispongono di strumenti per prevenire attacchi DDOS su larga scala.
3 – Mantengono aggiornati il software del server, le versioni PHP e l’hardware per impedire agli hacker di sfruttare una vulnerabilità di sicurezza nota in una vecchia versione.
4 – Sono pronti a implementare piani di ripristino di emergenza e imprevisti che consentono loro di proteggere i dati nelle peggiori situazioni possibili.
Tieni sempre in considerazione che se hai un hosting condiviso, quindi uno spazio web grande “tot” verrà condiviso con altre centinaia di siti e questo implica anche la condivisione delle risorse dello stesso server che a sua volta apre il rischio di “contaminazione” tra siti che risiedono nello stesso server dove un hacker può sfruttare le vulnerabilità di un sito per creare danni anche al sito vicino.
L’utilizzo di un servizio di hosting WordPress gestito professionale fornisce molta più sicurezza per il tuo sito, questo perché aziende che forniscono pacchetti di “hosting WordPress gestito” includono funzioni che in altri servizi che ovviamente costano molto meno sono meno performanti, ad esempio uno spazio di archiviazione separato dove salvare backup giornalieri automatici, configurazioni di sicurezza molto più avanzate per proteggere il tuo sito web etc.
Invece come miglior provider di hosting WordPress gestito ti consiglio Serverplan, sanno quello che fanno e per quanto mi riguarda, visto che lo uso da anni, sono i migliori.
La sicurezza del computer è importante
Un aspetto che molti sotto valutano quando si preoccupano della sicurezza del proprio sito web è la sicurezza del computer che utilizzano.
Si lavorano giorni se non mesi per mettere in sicurezza il sito WordPress e poi le falle sicurezza grandi come una casa sono nel computer, e se fosse questo il caso, siete fregati sotto ogni aspetto.
A meno che non abbiate imparato come il sottoscritto che eventuali file contenenti elenchi di password, impostazioni salvate su programmi di accesso remoto FTP, file del vostro sito web, DEVONO essere salvati in dischi di archiviazione esterni altrimenti, una volta che vi hanno infettato il computer non sareste più sicuri di cosa vi hanno rubato o fatto e se volessero fare danni al vostro sito sarà una passeggiata e voi non vi rendereste conto nemmeno da “dove sono arrivati”.
Quindi, utilizzate un buon antivirus per il vostro computer e almeno settimanalmente una scansione antivirus al computer va fatta.
Non tenete salvati dentro al vostro computer dati sensibili ancor meno dati dei vostri clienti, se vi rubano quelli sono caxxi amari.
Se lavorate spesso al vostro sito tenete una cartella con tutto il materiale sempre in un disco esterno da collegare al bisogno.
Fate molta attenzione ad eventuali email contenenti file eseguibili o link da cliccare.
Quello che si legge spesso, cioè di ritenere valide solo email ricevute da chi si conosce, ecco questo è l’errore più comune, ricorda che gli attacchi o il furto di dati che ottengono più risultati sono proprio dovuti dal fatto che fidandosi della fonte di provenienza non si presta troppa attenzione come si farebbe in altri casi.
Un’altro esempio utilizzato ? Milioni di persone permettono al proprio browser di salvare user e password che si utilizzano per gli accessi a svariati siti/servizi, niente di più semplice per rubarti tutti i dati in una volta senza che nemmeno te ne renda conto.
Mettere in sicurezza WordPress in semplici passaggi
So che migliorare la sicurezza di WordPress può essere un pensiero terrificante soprattutto per i principianti o se non sei un tecnico, ma non ti preoccupare, ci sono molte soluzioni che vengono incontro a chi ha poca esperienza, soprattutto plugin e servizi esterni molto efficaci.
Ho aiutato diverse persone e aziende a rafforzare la sicurezza di WordPress, ma quello che molti non riescono proprio a capire è che la sicurezza, indipendentemente che si parli di un sito web, di WordPress, o di internet in generale è che gli aspetti da tenere in considerazione e che interagiscono fra di loro per forza di cose sono molteplici.
Un esempio ?
Se hai messo in sicurezza il tuo sito web ma poi in azienda non hai un buon sistema firewall che impedisce ad un dipendente poco esperto di aprire file sconosciuti che contengono virus, Malware, Trojan e chi più ne ha più ne metta, va a farsi benedire tutto.
Altro esempio molto frequente ?
Chi non si preoccupa della sicurezza del proprio computer, soprattutto quando ci tiene al suo interno file con varie password di accesso oppure programmi FTP con salvati gli accessi al proprio sito. Insomma capisci che in questo caso non ha nemmeno più senso pensare alla sicurezza del tuo sito quando le porte aperte sono da un’altra parte ?
Vediamo come puoi migliorare la sicurezza di WordPress con pochi clic senza essere un programmatore esperto o esperto di sicurezza.
Mantenere aggiornato WordPress
La prima cosa da fare per mettere in sicurezza WordPress ancor prima di pensare a tutto il resto è mantenere aggiornata la versione di WordPress.
Quante volte lo hai già letto ? Ma in realtà pochi lo fanno, per mancanza di tempo, perché non si ha voglia, oppure perché si rimanda sempre a domani o fino a quando non ti sparisce il sito nel nulla.
Sai quante volte i clienti mi fanno sempre la stessa domanda: WordPress e i plugin li devo aggiornare sempre ?
La risposta è semplice: vanno sempre aggiornati, il prima possibile, pena falle di sicurezza !
Mantenere aggiornato tutto in modo REGOLARE, ovvero il prima possibile appena è disponibile un aggiornamento ti mette al riparo da eventuali problemi, a volte anche molto costosi.
Aggiornare WordPress con l’ultima versione significa risolvere falle di sicurezza che sono state corrette, cosi da eliminare eventuali strade possibili per attacchi hacker, cracker e compagni vari.
Mantenere aggiornato il Tema
Un’altra cosa sottovalutata che potrebbe compromettere la sicurezza di WordPress è il tema che utilizzi per il tuo sito o blog.
Una versione gratuita di un tema è il modo più facile per dire a tutto il mondo: prego entrate le porte sono aperte, questo vale anche per temi professionali per WordPress se NON aggiornati, quindi se ne hai disponibilità usa temi professionali e mantienili sempre aggiornati alla versione più recente.
Ricorda che anche eventuali temi installati ma non attivi devono essere aggiornati se vengono segnalati aggiornamenti disponibili, specialmente si gli aggiornamenti riguardano falle di sicurezza.
Inoltre non lasciarti mai tentare da eventuali temi professionali che girano in rete gratuiti, utilizza sempre temi provenienti da fonti sicure, come ad esempio quelli del più grande marketplace di Temi professionali per WordPress di Themeforest.
Mantenere aggiornati i Plugin
Ovviamente per mantenere la sicurezza di WordPress ci si deve preoccupare anche di aggiornare tutti i plugin, sia quelli attivi che quelli inattivi, che rilasciano regolarmente nuovi aggiornamenti sia per nuove funzioni ma soprattutto per correzioni di falle di sicurezza.
Altro fattore importante è di rimuovere completamente tutti i plugin installati che non state utilizzando.
Si, anche i plugin che non stai utilizzando compromettono la sicurezza di WordPress, occupano spazio inutile nel tuo server e non ci si preoccupa di aggiornarli visto che non vengono utilizzati ed in questo modo avremo dei file datati e con falle di sicurezza enormi.
Inoltre, visto che non li stai utilizzando non ti preoccupi nemmeno del fatto che quel plugin magari non venga più mantenuto dagli sviluppatori con relativi aggiornamenti quindi sono dei punti deboli enormi dove un hacker va a cercare.
Anche qui vale la stessa regola dei temi, non fidarti dei plugin che non provengono da fonti sicure, specialmente quando plugin professionali vengono rilasciati gratis, sono vengono forniti gratuitamente c’è sempre un secondo fine, il più grande marketplace di plugin professionali è Envato, oppure ai plugin gratuiti di wordpress.org.
Usa password complesse difficili da trovare
Un’altro punto importante per mettere in sicurezza WordPress è una scelta di password complesse e non le solite password stupide che mi forniscono la maggior parte dei clienti, ho visto anche password di sole 4 lettere o anche di 5 numeri e poi mi si dice che: bho non riesco a capire come abbiano fatto ad “entrare” ?!!?
I tentativi di intrusione di hacking riusciti su WordPress più comuni utilizzano password rubate, quindi per rendere più complicato rubare le vostre password dovete attenervi a 3 semplici regole che non segue quasi mai nessuno ovvero:
1: Usa password complesse con numeri, minuscole e minuscole e caratteri speciali.
2: Usa password con più di 12 caratteri.
3: Ultima ma non meno importante, non usare mai la stessa password per altri 50 accessi.
Queste buone abitudini dovrebbero essere utilizzate non solo per l’area di amministrazione di WordPress, ma anche per account FTP, database, account di hosting WordPress e indirizzi e-mail personalizzati che utilizzano il nome di dominio del tuo sito.
Se usate password come il nome della vostra fidanzata, il nome del vostro cane o la data di nascita di vostra madre o sorella poi non domandatevi come abbiano fatto a scoprirle cosi facile.
Un altro modo per ridurre il rischio è non concedere a nessuno l’accesso al tuo account amministratore di WordPress a meno che non sia assolutamente necessario.
Installa una funzione di backup WordPress
Non mi stancherò mai di ripeterlo, avere un backup del proprio sito WordPress ti mette al riparo da qualsiasi cosa possa accadere !
Ricorda che nel web e per tutto quello che ci gravita attorno non esiste NIENTE di sicuro al 100%.
Se i siti web della NASA o del pentagono possono essere violati, allora può essere violato anche il tuo sito.
Avere un backup ti permette di ripristinare il tuo sito WordPress in caso di problemi gravi che non consentono più il corretto funzionamento del sito e in più ti fa dormire sonni tranquilli.
Non ti preoccupare, esistono dei plugin per impostare funzioni di backup, i migliori plugin per backup sono UpdraftPlus o BlogVault, si possono utilizzare e configurare in modo facile e intuitivo (non è necessaria alcuna esperienza da programmatore).
Ricorda che un backup ti salva la vita se:
1 – È tenuto in un posto sicuro (meglio se 2)
2 – Se è funzionante, altrimenti non te ne fai niente.
La cosa fondamentale che devi ricordare quando si tratta di backup è che devi salvare regolarmente i backup dell’intero sito web in una posizione remota cioè al di fuori dello spazio web del tuo servizio di hosting e possibilmente in più copie.
A seconda di quante nuove cose fai nel tuo sito web gestisci la frequenza dei backup, ad esempio se metti mano al sito 1 volta al mese ti basterà impostare una frequenza mensile.
Puoi utilizzare anche servizi come Amazon cloud, Dropbox o cloud privati come Stash.
Forse a te non sarà ancora mai capitato ma a me si di ricevere questo messaggio: Ci dispiace ma non riusciamo ad utilizzare i backup per ripristinare il tuo sito web e bye bye. Ti sei mai letto i termini e condizioni quando acquisti un hosting per WordPress ?
Ti consiglio inoltre di leggere la guida dove spiego come eseguire un backup di un sito WordPress in modo manuale.
Il miglior plugin per la sicurezza di WordPress
Dopo aver sistemato la questione backup, un’altro passaggio molto importante è capire e tenere traccia di tutto quello che succede al tuo sito web con un sistema di monitoraggio e controllo efficace.
Questo tipo di impostazioni ti consente di capire subito cosa è accaduto, da eventuali modifiche ai file del sito, a tentativi di intrusione, a eseguire scansioni istantanee per Virus o Malware e cosi via.
Per fortuna, tutto questo può essere gestito dal miglior plugin di sicurezza per WordPress, Sucuri Scanner.
Devi installare e attivare il plugin gratuito Sucuri Security.
Per maggiori dettagli, guarda il video su come installare un plugin per WordPress.
Dopo l’attivazione, devi andare al menu Sucuri nel tuo pannello di amministrazione di WordPress. La prima cosa che ti verrà chiesto di fare è generare una chiave API gratuita, ciò consente la registrazione di audit, il controllo dell’integrità, gli avvisi e-mail e altre importanti funzionalità.
La prossima cosa che devi fare è fare clic sulla scheda “Setting” dal menu delle impostazioni e alla scheda “Hardening” attivare tutte le impostazioni cliccando su “Apply Hardening”.
Queste opzioni ti aiutano a bloccare le aree che di solito sono più utilizzate da malintenzionati per tentare i loro attacchi di intrusione, l’unica opzione di rafforzamento che è un aggiornamento a pagamento è il Web Application Firewall che spiego nel passaggio successivo, quindi saltalo per ora.
Ho anche trattato molte di queste opzioni di “Hardening” più avanti in questo articolo per coloro che desiderano farlo senza utilizzare un plugin oppure altre impostazioni di sicurezza come “Modifica del prefisso tabelle del database” o “Modifica del nome utente amministratore”.
Le impostazioni di sicurezza attivate in precedenza Nella scheda “Hardening” sono sufficienti per la maggior parte dei siti web e non necessitano di modifiche, l’unica cosa che consiglio di personalizzare è “Avvisi e-mail”.
Le impostazioni di avviso predefinite possono farti arrivare troppe e-mail, quindi meglio impostare notifiche e avvisi per azioni importanti come modifiche ai plugin, registrazione di nuovi utenti, ecc. Puoi configurare gli avvisi andando su Sucuri Settings »Alerts.
Abilita Web Application Firewall (WAF)
Il modo più semplice per proteggere il tuo sito ed avere delle basi solide per mettere in sicurezza di WordPress è utilizzare un firewall per applicazioni web (WAF).
Un firewall può fare grandi cose se ben utilizzato ma la funzione principale e più importante è che blocca tutto il traffico dannoso prima ancora che raggiunga il tuo sito Web.
Firewall del sito Web a livello DNS: questa funzione instrada il traffico del sito Web prima attraverso i loro server proxy cloud e poi verso il tuo sito web, questo fa in modo che al tuo sito web arrivi solo traffico “pulito” o il più pulito possibile.
Firewall a livello di applicazione: questa funzione esamina il traffico una volta che raggiunge il tuo server ma prima di caricare la maggior parte degli script di WordPress anche se questo metodo non è efficiente quanto il firewall a livello DNS nel ridurre il carico del server.
Sucuri è miglior firewall per WordPress e lo raccomando ad occhi chiusi visto che mi ha bloccato molti attacchi e risparmiato molte rogne in caso che qualche attacco fosse riuscito compromettendo il mio sito web.
La parte che adoro di più del firewall di Sucuri è che include anche un servizio di “pulizia” in caso di infezione da Virus e Malware e una garanzia di rimozione dalle liste di black list. Fondamentalmente se il mio sito web dovesse essere hackerato mi garantiscono che si occuperanno loro di pulire e ripristinare tutto sito web (e non importa quante pagine abbia).
Questa è una garanzia fantastica e considerando il costo che dovresti spendere per rivolgerti ad un professionista che riesca a ripulire e ripristinarti l’intero sito web investire in un servizio professionale che ti mette al riparo da questi problemi sono soldi ben spesi che fanno dormire sonni tranquilli.
ATTACCHI DDOS:
Un piccolo appunto anche per questa frequente problematica che può essere tenuta sotto controllo attraverso il firewall integrato nel servizio di Sucuri.
Migliora la sicurezza WordPress con il Firewall di Sucuri !
Un attacco DDoS (Denial of service) è un tipo comune di attacco alla larghezza di banda del tuo server fino a saturarla, dove chi esegue l’attacco utilizza più programmi e sistemi collegati assieme per sovraccaricare di richieste di connessione il tuo server, come se fossero milioni di utenti che richiedessero di visualizzare il tuo sito web allo stesso istante !
Questo tipo di attacchi non compromettono in nessun modo i file del tuo sito ma sicuramente manderà in Dawn il tuo sito web per un bel po’ di tempo se non corri subito ai ripari oppure non hai una soluzione di protezione integrata.
Sicuramente di questo tipo di attacchi ne avrai sentito parlare solo nei telegiornali riferiti a grandi aziende che hanno sofferto questi attacchi ma questo non vuol dire che possa capitare anche al tuo sito.
Sposta il tuo sito WordPress su SSL/HTTPS
Anche se nel 2021 tutti i siti web dovrebbero utilizzare la crittografia SSL/HTTPS, specialmente chi fa ecommerce e/o riceve pagamenti tramite il sito, quindi chi gestisce transazioni con dati sensibili, ce ne sono molti che non solo non la usano ma non sanno nemmeno che esista (si lo so è incredibile) e che per di più Google lo ritenga un fattore di posizionamento migliore per un sito web oltre che un fattore di sicurezza.
SSL (Secure Sockets Layer) è un protocollo che crittografa il trasferimento di dati tra il tuo sito Web e il browser degli utenti, questa crittografia rende più difficile per qualcuno intercettare e rubare informazioni scambiate.
Dopo aver abilitato l’uso del certificato di sicurezza SSL, il tuo sito web utilizzerà HTTPS invece del normale HTTP, questa impostazioni farà apparire a sinitra del tuo indirizzo web in alto nel browser in lucchetto che indica appunto che il sito utilizzo la crittografia HTTPS.
I certificati SSL vengono emessi da autorità di certificazione apposite e i loro prezzi partono dai 30 euro a centinaia di euro all’anno. A causa dei costi aggiuntivi, come dicevo, ci sono ancora molti proprietari di siti web che non lo utilizzano, ma non ti preoccupare, c’è una soluzione che si chiama Let’s Encrypt.
Let’s Encrypt è un’azienda senza scopo di lucro che offre in modo gratuito certificati SSL a chi ne avesse necessità, questa iniziativa è supportata da grandi aziende come Facebook, Mozilla, Google e molte altre aziende.
Quindi adesso non hai più scuse per non iniziare a utilizzare certificati SSL per tutti i tuoi siti WordPress, anche perchè oramai quasi tutti i servizi di hosting WordPress offrono incluso un certificato SSL gratuito (tramite appunto Let’s Encrypt) per il tuo sito Web WordPress.
Se il tuo hosting non ha un certificato SSL gratuito incluso mi dispiace ma hai scelto male, utilizza Sitiground.
Eventualmente puoi anche eseguire un test dell’installazione e corretta funzionalità del certificato al seguente sito web: ssllabs.com alla voce “Test your server” inserendo l’indirizzo del tuo sito web.
Se non sei pratico nell’impostare tutti i reindirizzamenti dei link del sito da HTTP a HTTPS usando il file .htaccess o agendo direttamente nel database puoi utilizzare il plugin Really Simple SSL.
L’ultima cosa ma non meno fondamentale è di aggiungere un’altra proprietà in Google search console e soprattutto in Google Analytics, questo perché avendo reindirizzato tutto il traffico su HTTPS i link vecchi del sito in HTTP non verranno più tracciati.
Sicurezza di WordPress per utenti fai da te
Se hai utilizzato e impostato tutti i consigli finora scritti sei a buon punto o sicuramente meglio di altri centinaia di siti.
Ma come sempre ci si può spingere oltre con altri piccoli accorgimenti ma di vitale importanza visto che anche in questo caso non vengono considerati importanti, che poi alla fine sono proprio i primi punti presi in considerazione da chi vuole farvi male.
Per queste modifiche è necessario essere un po’ esperti.
Cambia il nome utente predefinito “Admin”
Nel caso non abbiate impostato un nome utente (username) diverso da quello di default “Admin” al momento dell’installazione di WordPress è bene preoccuparsi di cambiarlo.
Poiché WordPress non ti consente di modificare i nomi utente per impostazione predefinita, ci sono tre metodi che puoi utilizzare per modificare un nome utente.
1 – Creare un nuovo nome utente di amministrazione eliminando quello vecchio.
2 – Usare il plugin Username Updater
3 – Aggiornare il nome utente da database tramite pannello phpMyAdmin.
Se sei in grado o vuoi farlo manualmente direttamente attraverso il database di seguito spiego velocemente come farlo:
Attraverso il vostro pannello di controllo PhpMyAdmin selezionate il database del sito WordPress al quale volete modificare il nome utente, una volta entrati nel database sulla sinistra troverete l’elenco di tutte le tabelle…
cliccate sulla tabella “wp_users” e sulla destra vi apparirà l’elenco degli attuali user, cliccate su modifica in quello da modificare e nella schermata successiva che vi appare cercate il campo “user_login” alla destra del quale troverete scritto il nome utente ancora impostato in “admin”…
all’interno di quel campo al posto di admin scrivete il vostro nuovo nome utente di WordPress e cliccate su esegui.
Se vuoi puoi seguire il video che segue.
Disabilita la modifica dei file tramite l’editor di WordPress
WordPress è dotato di un editor di codice integrato che ti consente di modificare il tuo tema e i file dei plugin direttamente dall’area di amministrazione di WordPress. Nelle mani sbagliate, questa funzione può rappresentare un rischio per la sicurezza, motivo per cui ti consiglio di disattivarla.
Puoi farlo facilmente aggiungendo il seguente codice nel tuo file wp-config.php.
// Disabilita file editor define( 'DISALLOW_FILE_EDIT', true );
In alternativa, puoi farlo con 1 clic utilizzando la funzione “Hardening” nel plugin Sucuri gratuito menzionato sopra.
Disabilitare l’esecuzione di file PHP in alcune directory di WordPress
Un altro modo per rafforzare la sicurezza di WordPress è disabilitare l’esecuzione di file PHP nelle directory in cui non è necessaria, come ad esempio in /wp-content/uploads/.
Per farlo bisogna creare un file .htaccess quindi, apri un editor di testo come Blocco note e incolla il seguente codice:
Successivamente, salva il file come .htaccess e caricalo nelle cartelle che vuoi proteggere sul tuo sito Web utilizzando un client FTP oppure tramite il gestore di file del tuo pannello di controllo dell’hosting.
In alternativa, puoi farlo con 1 clic utilizzando la funzione Hardening nel plugin gratuito Sucuri di cui ho parlato prima.
Bloccare l’accesso al file wp-config.php
Se non lo sai, ma dovresti saperlo, il file wp-config.php è il cuore delle configurazioni di WordPress senza le quali non potrebbe funzionare ed è anche il primo punto dove un hacker analizza e controlla.
Questo file contiene informazioni sensibili ed è importante che nessuno riesca a leggere il contenuto del file, quindi per renderlo sicuro si dovrà bloccarne l’accesso da parte di terzi utilizzando il file .htaccess.
Per bloccare l’accesso a wp-config.php, la procedura è uguale a quella sopra descritta per bloccare l’esecuzione di file PHP, basta inserire all’interno del solito file .htaccess un codice diverso che è il seguente:
Limita i tentativi di Login
Per impostazione predefinita WordPress consente agli utenti di provare ad eseguire il Login senza alcuna limitazione, questo rende il tuo sito WordPress vulnerabile agli attacchi di forza bruta.
Gli hacker cercano di decifrare le password tentando di accedere con migliaia di tentativi di accesso e combinazioni di password diverse.
Questo può essere facilmente risolto limitando i tentativi di accesso non riusciti che un utente può effettuare, come sempre se stai utilizzando il firewall dell’applicazione Web Sucuri menzionato in precedenza questa impostazione di sicurezza è già presente automaticamente.
In caso non disponi della configurazione del firewall di Sucuri, procedi con i passaggi seguenti.
Innanzitutto, è necessario installare e attivare il plugin Login LockDown .
Dopo l’attivazione, vai alla pagina Settings » Login LockDown per configurare il plugin.
Utilizza l’autenticazione a due fattori
Un’altra buona funzione da poter utilizzare per mettere in sicurezza WordPress è l’autenticazione a due fattori che obbliga qualsiasi utente voglia accedere al sito di utilizzare una App installata sul telefono, quindi oltre al classico accesso di login di WordPress con user e password verrà richiesta un’altra autenticazione tramite telefono.
La maggior parte dei migliori siti Web online come Google, Facebook, Twitter utilizza questa impostazione per la loro e tua sicurezza e anche tu puoi aggiungere la stessa funzionalità al tuo sito WordPress, anche se forse è meglio dire DOVRESTI.
Per utilizzare questa funzione è necessario installare e attivare il plugin di autenticazione a due fattori, dopo l’attivazione basterà spostarsi alla sezione “Two Factor Auth” nella barra laterale di amministrazione di WordPress.
Proseguendo dovrai installare l’app di autenticazione sul telefono che hai scelto di utilizzare ad esempio app come LastPass Authenticator, Google Authenticator e Authy.
Personalmente utilizzo e ti consiglio LastPass Authenticator per un’utilissima opzione, ti consente di eseguire il backup dei tuoi account sul cloud! Questo è molto utile in caso di smarrimento, ripristino o acquisto di un nuovo telefono. Tutti gli accessi al tuo account verranno ripristinati facilmente.
Useremo LastPass Authenticator per il tutorial, ma le istruzioni sono simili per tutte le app di autenticazione.
Apri la tua App di autenticazione, quindi fai clic sul pulsante Aggiungi.
Una volta installata la tua App di autenticazione aprila, quindi fai clic sul pulsante con il simbolo del + per aggiungere…
Ti verrà chiesto se desideri scansionare un sito manualmente o scansionare il codice a barre.
Seleziona l’opzione di scansione del codice a barre, quindi punta la fotocamera del telefono sul codice QR mostrato nella pagina delle impostazioni del plugin. (serve ovviamente App per scansionare QR)
Questo è tutto, la tua app di autenticazione ora salverà l’account per il tuo sito web e la prossima volta che accedi al tuo sito web ti verrà chiesto il codice di autorizzazione a due fattori dopo aver inserito la password, quindi ti basterà aprire l’app di autenticazione sul telefono e inserire il codice generato.
SICUREZZA WORDPRESS AVANZATA:
Cambia il prefisso delle tabelle del database di WordPress
Quando installi WordPress in modo manuale o in alcuni servizi hosting poco attenti alla sicurezza (di solito quelli con prezzi troppo bassi) viene creato anche il database MySQL senza il quale WordPress non funzionerebbe e di default vengono generate le tabelle dentro al database con un prefisso per impostazione predefinita in: wp_
Se hai un database con prefisso tabelle predefinito per gli hacker sarà uno scherzo da ragazzi capirlo visto che la prima cosa da testare è appunto se il database del sito utilizza impostazioni predefinite come proprio il prefisso delle tabelle nel database.
Quindi per prevenire attacchi al proprio sito o blog un’altra buona regola per la sicurezza è quella di cambiare i prefissi delle tabelle del database utilizzato da WordPress.
Questo porterà un livello di sicurezza maggiore per prevenire un attacco molto utilizzato chiamato “SQL Injection” che sfrutta proprio queste impostazioni di default di WordPress che nomina le tabelle del database con le iniziali wp.
Questa procedura non è proprio alla portata di tutti, quindi se non sei sicuri delle procedure e su come eseguirle consiglio di evitare, se voi procedere puoi seguire la guida che ho scritto su come rinominare i prefissi tabelle del database di WordPress.
Proteggi con password l’amministratore di WordPress e la pagina di accesso.
Normalmente, gli hacker possono richiedere la tua cartella wp-admin e la pagina di accesso senza alcuna restrizione, ciò consente loro di provare i loro trucchi di hacking o eseguire attacchi DDoS.
Puoi aggiungere una doppia protezione tramite password a livello lato server, che bloccherà efficacemente tali richieste.
In questo caso vediamo come creare un secondo livello di accesso che oltre a richiedere username e password di WordPress richiederà un’altra autenticazione.
Anche qui bisognerà essere esperti di programmazione/codice, in particolare per editare il file .htaccess, se vuoi procedere puoi seguire la guida che ho scritto su come come creare un’area riservata protetta su WordPress.
Disattiva l’indicizzazione e la navigazione nelle directory
La navigazione nelle directory può essere utilizzata dagli hacker per scoprire se sono presenti file con vulnerabilità note, in modo che possano sfruttare questi file per ottenere l’accesso.
Alcuni malintenzionati possono cercare di scoprire quali file contenga il tuo sito proprio attraverso la navigazione delle directory, se viene lasciata “aperta” questa possibilità si può scoprire l’intera struttura del sito con relative immagini, plugin installi e vulnerabili etc. Ecco per cui disattivare l’indicizzazione e la navigazione delle directory è un’altro passo importante per rafforzare la sicurezza di WordPress.
Per disattivare l’indicizzazione e la navigazione nelle directory si dovrà editare il file .htaccess attraverso il pannello di controllo del tuo servizio hosting oppure scaricando il file utilizzando il tuo programmo FTP preferito, clicca con il destro del mouse sul file, aprilo con un editor di testo e inserisci all’interno del file il seguente codice facendo attenzione a non modificare le impostazioni di default di WordPress già inserite all’interno del file:
Options -Indexes
Dopo aver aggiunto questa modifica ti basta ricaricare il file .htaccess sovrascrivendo quello vecchio.
Prima di dedicare tempo a questa impostazione verifica che la possibilità di navigazione delle directory sia già disabilitata, servizi di hosting efficienti non lo permettono.
Scansione di WordPress per Malware
Imposta attentamente i permessi di scrittura di file e directory
Se non dovessi saperlo, tutte le cartelle inclusi i file del tuo sito web sono settati con dei permessi di scrittura, di esecuzione, di lettura etc., assicurati che questi permessi siano impostati in modo corretto, questo eviterà possibili problemi di sicurezza e che terzi abbiamo la possibilità di scrittura su file importanti del tuo sito.
Per controllare o settare i permessi di scrittura puoi utilizzare il pannello di controllo del file manager del servizio hosting oppure utilizzare un programma FTP, cliccate con il tasto destro del mouse sulla cartella o sul file, scegliere “Proprietà/CHMOD” oppure “Permessi file” e visualizzare le impostazioni dei permessi ed eventualmente impostarle in modo corretto.
Per queste cartelle e file si consiglia di impostate i permessi come segue:
root directory 755
/wp-includes/ 755
/wp-admin/index.php 644
/wp-admin/js/ 755
/wp-content/themes/ 755
/wp-content/plugins/ 755
/wp-admin/ 755
/wp-content/ 755
.htaccess 644
Per il singolo file wp-config.php presente nella root imposta i permessi in 640.
Disabilita XML-RPC in WordPress
La funzione XML-RPC è abilitata per impostazione predefinita in WordPress e serve per connettere il tuo sito WordPress con il web e altre molteplici applicazioni.
A causa della sue potenzialità, XML-RPC può amplificare in modo significativo gli attacchi di forza bruta.
Per farti capire meglio, se un hacker utilizzasse un attacco di forza bruta provando ad esempio mille password diverse per farlo dovrebbe eseguire mille tentativi di login ma che, se hai installato e configurato il plugin login lockdown come spiegato in precedenza il tentativo di hacking verrebbe bloccato dopo due massimo 3 tentativi.
Ecco che allora l’hacker verifica se XML-RPC è attivo e se cosi fosse, utilizzando una funzione chiamata “system.multicall” avrebbe libero accesso per provare le mille password di prima in una manciata di tentativi.
Quindi adesso che sei a conoscenza delle potenzialità del servizio di XML-RPC sarebbe buona cosa disattivarlo cosi da lasciare meno possibilità ai tentativi di intrusione.
Esistono diversi modi per disabilitare la funzione XML-RPC in WordPress ma sfruttando sempre le potenzialità del file .htaccess risulta più semplice e sbrigativo.
Come nei passi precedenti ti basterà editare il file .htaccess e aggiungere il seguente codice.
Se stai utilizzando il firewall dell’applicazione Web di Sucuri puoi gestire anche questa impostazione.
Disconnetti automaticamente gli utenti inattivi in WordPress
Ti sei mai chiesto perché certi siti, vedi siti web di banche online e altri, ti disconnettono automaticamente quando resti inattivo per diverso tempo ?
Di sicuro non è per renderti la vita difficile ma è per proteggere il tuo account e i tuoi dati.
Quando un utente ha eseguito l’accesso con le sue credenziali potrebbe anche dover allontanarsi dal computer ed è proprio in questo frangente che qualcuno potrebbe utilizzare questa distrazione per modificare le password di accesso o apportare modifiche all’account prendendone il completo controllo.
Puoi implementare funzionalità simile anche sul tuo sito WordPress.
Per implementare questa funzione di sicurezza per la disconnessione automatica degli utenti ti basterà installare e attivare il plugin Inactive Logout, successivamente alla sua attivazione vai alla sezione Settings » Inactive Logout per configurare le impostazioni del plugin.
Ti basterà decidere e impostare quanto tempo di inattività dovrà trascorrere per terminare e disconnettere automaticamente la sessione di login dell’utente e salvare le impostazioni.
Scansione di WordPress per Virus e Malware
Se hai installato dei plugin per la sicurezza di WordPress questi dovrebbero già essere impostati per scansionare regolarmente la presenza di Malware e segni di violazioni della sicurezza.
Ma se hai notato dei problemi al sito web, come ad esempio cali di posizionamento nelle classifiche dei motori ricerca, oppure un improvviso calo del traffico ma anche segnalazioni dallo stesso hosting che ti segnala un’infezione dei file del tuo sito web è buona norma eseguire delle scansioni antivirus di WordPress manuali per essere sicuro che non ci siano virus o violazioni.
Puoi sia utilizzare il tuo plugin per la sicurezza di WordPress oppure puoi utilizzare dei tools online gratuiti di scansione antivirus e Malware, qui ti elenco i migliori:
1 – https://sitecheck.sucuri.net
2 – https://www.siteguarding.com
3 – https://www.virustotal.com
Eseguire la scansione online è abbastanza semplice, devi solo inserire URL del tuo sito Web e i loro Crawler scansioneranno il tuo sito Web per cercare Malware e codice dannoso.
Ovviamente tieni presente che la maggior parte degli scanner di sicurezza di WordPress può semplicemente scansionare il tuo sito web ma non possono rimuovere il Malware o ripulire un sito web infetto.
Ripristino di un sito WordPress compromesso o hackerato.
Avere un sito WordPress “compromesso” include molteplici circostanze che possono andare dall’infezione di Virus malevoli come Trojan o Malware oppure ad intrusioni al sito con relativi danni incalcolabili.
Torno a ripetere anche qui che in moltissime occasioni mi sono trovato di fronte a titolari di siti web in WordPress anche di aziende importanti che non disponevano di un backup e non si sono resi conto della sua importanza incluse le impostazioni di sicurezza del sito web fino a quando ormai era troppo tardi e mi hanno contattato disperati.
Gli hacker installano backdoor sui siti interessati e, se queste backdoor non vengono risolte correttamente, è probabile che il tuo sito web venga nuovamente violato appena si accorgano del suo ripristino e torni punto e a capo, ecco perché insieme al ripristino del sito è di importanza vitale mettere in sicurezza WordPress per rendere la vita difficile a chi volesse creare danni per i propri scopi e impedire eventuali (facili) attacchi.
Ripristinare un sito WordPress compromesso da qualche Malware o peggio da qualche intrusione hacker richiede competenze di alto livello e molta esperienza per sapere dove mettere le mani e i controlli da eseguire, ecco perché ti consiglio di rivolgerti ad un professionista esperto di WordPress, anche perché se non sai quello che stai facendo sprechi solo tempo.
Vietata la Riproduzione.
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!