WordPress è un CMS facile da usare e più sicuro di quanto ci si pensi, ma come ogni sistema molto conosciuto ha delle falle, che si dovranno conoscere per proteggere il sito.

In un articolo precedente facevo presente come il cambio della URL del login fosse un buon metodo per aumentare la difficoltà di accesso al sito. Oggi, aggiungerò altre operazioni da compiere per rendere più sicuro il sito.

Operazioni che non richiedono conoscenze tecniche

Di seguito una lista di operazioni che puoi compiere anche se non hai mai operato su un sito o su uno spazio web a livello di programmazione.

• aggiorna WordPress: ogni aggiornamento risolve dei problemi precedenti, di conseguenza anche eventuali falle riconosciute e risolte.
• aggiornare i plugins: anche i plugins possono portare a falle nella sicurezza. L’aggiornamento dei plugins e sopratutto dei temi è fondamentale. Si consiglia di aggiornare qualsiasi strumento si debba utilizzare, anche se temporaneamente disattivata.
• cambiare il nome dell’amministratore: di base il nome dell’account amministrativo è admin, ma questo rende particolarmente insicuro l’account. Cambia il nome.
• password sicure: utilizza lunghe password che utilizzano lettere maiuscole e minuscole, numeri e caratteri speciali.
• non mettere più siti WordPress nello stesso spazio web: se anche un solo sito è vulnerabile, l’accesso agli altri viene facilitato.

Proteggere il sito tramite i servizi degli hosting ed i plugins.

Per compiere queste operazioni non è richiesto la conoscenza del codice, ma solo degli strumenti più comuni utilizzati dai servizi di hosting ed alcuni plugins di complemento:

• rendi non visibili i dotfiles: le ultime versioni di CPanel nascondono nella configurazione base i dotfiles (come .htaccess per capirci), che possono essere resi visibili solo durante un accesso da File Manager in cui si richiede puntualmente di modificare l’impostazione di visibilità.
• utilizza un plugin per l’autenticazione a due fattori: viene molto spesso utilizzata per le app mobile, ma può essere utile anche su WordPress
• installa un firewall online tramite plugin.
• installa il protocollo SSL (HTTPS): di norma gli host offrono almeno un servizio gratuito per mettere in sicurezza i siti.
• installa il Google Authenticator plugin per aumentare la sicurezza del sito.

Proteggere WordPress grazie alla padronanza del codice

• inserire le chiavi di sicurezza di WordPress, lunghe almeno 60 caratteri per fattori di sicurezza.
• inserire un file .htaccess all’interno di ogni cartella per evitare che file PHP vengano processati: alcune cartelle, come wp-content/updates sono spesso a rischio di attacco. Per evitare che accada qualcosa basta inibire l’attivazione di processi presenti su file PHP.
• bloccare bot tramite htaccess.
• proteggere gli hotlink: ossia i file che potrebbero venire linkate e utilizzate da terze fonti usando il vostro server come traino. Per evitarlo basta poco.
• eliminare i pannelli di editing: all’interno dei menu Aspetto e Plugin sono presenti degli editor che danno accesso al codice. Dato il rischio di intrusione in questa sezione del sito, è meglio eliminare questi accessi tramite il codice da inserire nel file wp-config define( 'DISALLOW_FILE_EDIT', true );

Le operazioni da compiere per proteggere un sito non sono certo finite qui, e in certi casi non potremmo fare molto contro determinati tipi di attacchi, come per esempio i DDOS.

Di conseguenza, il mio consiglio è sempre quello di tenere ben protetto (magari in un altro spazio) un backup del sito.