WordPress è uno dei CMS open source più diffusi per creare un sito web sia per privati che aziende. Come ogni software popolare, anche WordPress è un bersaglio di hacker e malintenzionati che vogliono sfruttare la vulnerabilità del sistema per poter accedere a dati sensibili o addirittura prendere il controllo del server su cui il sito è ospitato. Di seguito alcuni consigli per aumentare la sicurezza di WordPress.
LOGIN SICURO
Il login è una parte fondamentale ed è la prima da mettere in sicurezza adottando l’installazione di un certificato SSL, per evitare la trasmissione di dati in formato “plain text” intercettabile.
Evitare username di default come “admin” o associabili al vostro nome o a quello del sito. Stesso discorso per la password, evitare “0000” o “1234” perché facilmente rintracciabili. Utilizzare password complesse fatte di lettere maiuscole, minuscole, numeri e caratteri speciali. Una password di 8 caratteri richiede poche ore per essere forzata, una di 64 caratteri richiede mesi.
BACKUP PROGRAMMATO
Non esiste cosa più sicura di un backup completo con database, in questo modo possiamo essere sicuri della salvaguardia del sito in caso di attacco massiccio con danni irreparabili, con pochi click ritorna esattamente alla versione intatta. Impostare quindi dei backup giornalieri preferibilmente o almeno con cadenza settimanale.
AGGIORNARE WORDPRESS E PLUGIN
I plugin e la versione di WordPress devono essere costantemente aggiornati. Spesso gli sviluppatori scoprono vulnerabilità che vengono risolte in modo tempestivo attraverso aggiornamenti successivi. A volte invece implementano delle migliorie e quindi tenersi sempre al passo con l’ultima realise è un processo molto importante.
CAMBIARE IL PREFISSO DELLA TABELLA
Durante l’installazione WordPress di default imposta il prefisso “wp_” alle sue cartelle, per non favorire i malintenzionati, cambiate questo valore con qualcosa di diverso che non sia facilmente riconducibile al vostro sito.
NASCONDERE LA VERSIONE DI WORDPRESS
Ogni versione di WordPress ha una sua vulnerabilità e gli hacker lo sanno bene. Perché quindi dargli informazioni sensibili come la versione installata? Nascondergliela è la cosa migliore da fare!
NEGARE L’ACCESSO AL FILE WP-CONFIG.PHP
Questo è uno dei file principali dell’installazione di WordPress, inserite queste righe nel file .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
E poi impostate sempre al file .htaccess i permessi 640.
DISABILITARE L’EDIT DA BACKEND
Disabilitate l’editing dei file da backend con il codice seguente, da aggiungere al file wp-config.php:
define(‘DISALLOW_FILE_EDIT’, true);
______________________________________________________________________________________________________________________________________
Questi sono solo alcuni dei suggerimenti per ridurre le vulnerabilità del vostro sito WordPress, che non risolvono in modo assoluto l’argomento sicurezza, però sono un punto di partenza per una mentalità aperta a queste problematiche.
Per una consulenza in merito a questo argomento e a tutto ciò che riguarda siti internet, e-commerce, web marketing, social media marketing e formazioni non esitare… contattami subito!