Come aumentare la sicurezza di WordPress

WordPress è uno dei CMS più diffusi nel web, sta quasi diventando uno standard per tirare su un sito web sia personale che professionale. Come tutte le cose nel mondo del web, più sono diffuse e più sono vulnerabili. Di seguito, ecco dei semplici consigli su come aumentare la sicurezza di WordPress:

Backup prima di tutto!
Non esiste cosa più sicura di possedere un backup completo (per completo intendo file con database) in questo modo, anche se abbiamo subito un attacco massiccio con danni irrebaparbili, con pochi click possiamo far tornare su una versione intatta. Se il nostro piano hosting non prevede un backup periodico, dobbiamo occuparcene noi, personalmente ho acquistato il plugin UpdrafPlus, questo mi consente di stabilire una routine di backup in locale o su diversi servizi online (Drive, Dropbox, S3, ecc.). Altrimenti, sfruttiamo i servizi offerti dal piano hosting che abbiamo scelto. Riguardo quest’ultimo requisito, posso consigliare i seguenti piani che consentono un restore della propria installazione con pochi passi:

– SiteGround
– GoDaddy – WordPress Gestito

Nota: consiglio questi piani perchè ho avuto modo di testarli sia a livello di performance che di restore. Per maggiori dettagli, leggete quest’altro mio articolo

Username e password non scontate
Evitate la username di default come “admin” o qualsiasi associabile al vostro nome o quello del sito, ad esempio, nel mio caso, ho evitato la user “admin” e “fabrizio”. Per quanto riguarda la password, quasi inutile dirlo, ma sconsiglio “0000”, “password”, “1234”, ecc. Create una password con almeno una lettera maiuscola, un numero e un carattere speciale. Se avete poca fantasia, basta cercare su google “Password generator” e sarete serviti.

CloudFlare!
CloudFlare è uno dei servizi da me più utilizzati. I suoi benefici sono principalmente due, il primo ti consente di rendere più veloce il caricamento del tuo sito perchè distribuisce i file più comuni in una CDN, il secondo, cerca di capire se il traffico in entrata si tratta di traffico organico (quindi naturale) spider (motori di ricerca o simili) oppure attacchi. In quest’ultimo caso, cerca di respingerli. Come si fa ad abbianare al nostro sito? Basta eseguire la procedura guidata e sostituire i precedenti DNS con quelli proposti dal servizio.

Ora guardate le statistiche qui sotto, fate caso alla percentuale di traffico servita da CloudFlare e quella dal server.

Da notare anche le Threats, ossia le minacce respinte. Questo servizio è incluso nei piani hosting di SiteGround.

Aggiornare i plugin e la versione di WordPress
I plugin e la versione di WordPress devono essere sempre aggiornati. Spesso gli sviluppatori scoprono delle vulnerabilità che vengono tempestivamente risolte negli aggiornamenti successivi. Tempo fa, una versione del noto plugin “Revolution Slider” possedeva una vulnerabilità che consentiva al malintenzionato di far accesso al file di configurazione “wp-config.php”, purtroppo gli hacker sono riusciti a scoprire tutto questo e si sono divertiti con tante installazioni di WordPress con questa “caratteristica”. Se avete installato WordPress con “Installatron” (o simile) spuntate la funzionalità “aggiorna automaticamente i plugin” e ripetete l’operazione anche per “aggiorna automaticamente wordpress all’ultima versione stabile” (ovviamente se non avete fatto personalizzazioni a plugin).

Cambiare il prefisso della tabella durante l’installazione
Durante l’installazione WordPress di default imposta il prefisso “wp_” alle sue cartelle, per non favorire i malintezionati, cambiate questo valore con qualcosa di diverso che non sia facilmente riconducibile al vostro sito.

Negare l’accesso al file wp-config.php
Questo è uno dei file principali dell’installazione di WordPress, inserite queste righe nel file .htaccess

<files wp-config.php>
order allow,deny
deny from all
</files>

E poi impostate sempre al file .htaccess i permessi 640

Installate il plug-in Wordfence Security
Appena installato, Wordfence inizia controllando se il sito è già infetto facendo una profonda scansione lato server del codice sorgente paragonandolo al repository ufficiale di WordPress per core, temi e plugin. Oltre a questa funzione, cerca di bloccare i tentativi di login.

Ovviamente ci sono anche altre operazioni, ma già con queste potete dormire sonni tranquilli.

Buona fortuna!