creare siti web con wordpress - sicurezza

Grazie alla sua versatilità e semplicità di utilizzo, WordPress è ormai il CMS Open Source più diffuso al mondo. È uno strumento utilissimo per la creazione di siti web, tanto che ormai viene utilizzato da molti sviluppatori e agenzie anche per realizzare siti web professionali. Di conseguenza, come ogni software o sistema operativo molto popolare, viene spesso preso di mira da attacchi esterni, atti ad accedere a dati sensibili o addirittura a sfruttare le sue vulnerabilità per prenderne il controllo parziale ed utilizzarlo a proprio vantaggio. Per questo motivo il tema della “Sicurezza WordPress” non può essere trascurato.

Oltretutto, WordPress viene ormai largamente utilizzato anche per realizzare siti e-commerce e portali dalle funzionalità più complesse, grazie sia al grande numero di plugin ed estensioni esistenti (come ad esempio Woocommerce) e all’enorme comunità di sviluppatori presente in rete. Ignorare o prendere con leggerezza la protezione dei dati, l’uso di password sicure e il backup dei dati, può pertanto portare a conseguenze spiacevoli. Una su tutte, la “semplice” eventualità di dover eliminare e reinstallare da capo tutto il sito per rimuovere i problemi generati dagli attacchi di hacker e malintenzionati di ogni genere.

Chiaramente mettere in sicurezza un server in modo completo e professionale è una pratica molto complicata, che bisogna lasciar fare a dei professionisti del settore.

Tuttavia, esistono alcuni accorgimenti che permettono di limitare i possibili danni, o quantomeno di proteggersi da attacchi non mirati, che vengono lanciati in rete su larga scala per puro divertimento, ma che comunque potrebbero causare notevoli problemi al nostro sito.

Ecco una lista dei più comuni e semplici da implementare.

1. Backup periodico

Un backup periodico di file e database, ad esempio giornaliero per il database e settimanale o mensile per i file, ti consente di avere sempre una versione aggiornata del tuo sito per poterlo ripristinare il sito web in poco tempo nel caso in cui esso venga compromesso da un “attacco” esterno.

Alcuni hosting provider forniscono dei pacchetti “tutto incluso”, in cui oltre ai servizi fondamentali come registrazione del dominio, hosting, MySQL, email, etc., forniscono anche un servizio di backup giornaliero e/o settimanale sia dei file contenuti nello spazio di hosting, sia del database. Questa è senz’altro la soluzione più comoda, fondamentalmente perché tu non devi fare niente. Tuttavia se vuoi risparmiare un po’ sul servizio di hosting, esistono numerose altre soluzioni. Da plugin gratuiti come BackUpWordPress fino a plugin più completi come WordPress Backup & Clone Master (che ti consente di copiare automaticamente il backup appena creato su una tua cartella DropBox o Google Drive) c’è veramente solo l’imbarazzo della scelta.

2. Manutenzione e aggiornamento continuo

WordPress è una piattaforma in continuo sviluppo. La comunità di sviluppatori di WordPress è molto attiva e molto spesso, non appena viene scoperta una vulnerabilità, in brevissimo tempo viene rilasciato un aggiornamento che risolve il problema.

Per questo motivo è bene mantenere WordPress, i plugin e i temi che hai installato sempre aggiornati all’ultima versione disponibile.

3. Installazione di Plugin per la sicurezza

Un ottimo plugin gratuito per incrementare la sicurezza del proprio sito WordPress è Wordfence Security che, tra le altre cose, è in grado di confrontare i files del tuo sito con quelli presenti nell’archivio ufficiale di WordPress, e avvisarti nel caso in cui rilevasse dei cambiamenti di codice (ad es: PHP) “sospetti” al loro interno.

Inoltre è possibile configurarlo in modo da ricevere una notifica ogni volta che un utente amministratore fa login all’interno dell’amministrazione e ti mantiene sempre informato sullo stato delle varie release, avvisandoti quando i tuoi plugin o WordPress stesso necessitano di un aggiornamento.

4. Rispettare qualche accorgimento in fase di installazione

Mentre installi il tuo sito WordPress, all’interno del file wp-config.php, ai fini del miglioramento della sicurezza, oltre a scegliere delle credenziali per l’autenticazione nel database robuste e sicure, è importante compiere due azioni fondamentali: cambiare il prefisso di default delle tabelle e impostare le secret keys.

PREFISSO DELLE TABELLE

Spesso gli attacchi di tipo “SLQ injection”, per violare il database di un sito, confidano nel fatto che il prefisso di default delle tabelle è “wp_” poichè da questo elemento si possono dedurre tutti i nomi delle tabelle stesse (es: wp_options, wp_posts, wp_users. etc.).

Uno dei modi per rendere un po’ più sicuro il nostro sito è quello di cambiare il prefisso all’interno del file wp-config.php, cambiando la riga

$table_prefix = ‘wp_’;

in qualcos’altro (possibilmente di poco prevedibile o deducibile) a nostra scelta, come ad esempio:

$table_prefix = ‘is99_’;

In questo caso occorre fare attenzione perché la procedura indicata è valida solo in fase di installazione, quando il database non è ancora stato creato e WordPress non configurato.
Per effettuare la procedura su un sito già esistente, è necessario cambiare i nomi di tutte le tabelle in accordo con il nuovo prefisso inserito (ad es: wp_options diventa is99_options e così via), pertanto in quest’ultimo caso la procedura è consigliata ad utenti che hanno molta dimistichezza con MySQL.

IMPOSTARE LE SECRET KEYS

Sempre all’interno del file di configurazione, è possibile impostare le cosiddette “Secret Keys”, che consentono di criptare le proprie password di autenticazione.

Tali chiavi possono essere generate manualmente (l’importante è che siano totalmente casuali) oppure si possono reperire cliccando sul link al servizio gratuito fornito da WordPress.org. Vanno inserite al posto della stringa “put your unique phrase here”.

sicurezza wordpress

5. Bloccare l’accesso diretto al file di configurazione

Come abbiamo visto, il file di configurazione principale di WordPress (wp-config.php) contiene i dati sensibili del tuo sito, come il nome utente e relativa password per l’accesso al database e le salt keys. È bene quindi proteggere questo file da qualsiasi possibilità accesso diretto dall’esterno.

Per fare questo, ti basterà aprire il file .htaccess (presente nella root del sito e/o nella cartella in cui hai installato WordPress) con un editor di testo, ed aggiungere le seguenti istruzioni:

# Protezione accesso diretto wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>

Spero che questo articolo sul tema della “Sicurezza WordPress” ti sia stato utile e, come al solito, ti invito a condividerlo e lasciarmi un commento o contattarmi attraverso il contact form presente nella pagina contatti per qualsiasi dubbio o chiarimento. Cercherò di risponderti il prima possibile.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *