Mettere in sicurezza sito WordPress

Mettere in sicurezza sito WordPress

Mettere in sicurezza sito WordPress

Come ogni mattina controllo gli accessi del mio sito e come ogni mattina trovo nei logs del WS sbrodolate di chiamate a wp-login.php; così ho deciso di scrivere una piccola guida con alcuni piccoli consigli da seguire per mettere in sicurezza sito WordPress. Solitamente le piattaforme opensource sono più sicure rispetto alle altre in quanto appunto OPEN, quindi ben più testate e di conseguenza stressate. Questo non deve comunque farci abbassare la guardia. In questo articolo vi elencherò una serie di pratiche da seguire per mettere in sicurezza un sito basato su WordPress.

Mettere in sicurezza sito WordPress

  1. Aggiungiamo un PIN alla form di login
    Stealth Login Page

    Stealth Login Page

    L’attacco più comune che viene portato ai danno di WordPress è un brute force attack alla pagina login.php. Tramite il brute force attack si bombarda la pagina di login con migliaia di pacchetti al fine di trovare la password … che magari è debole (password, 123455 etc etc). Per annullare questa procedura esiste un plugin chiamato Stealth Login Page che richiede un PIN per poter accedere all’amministrazione del sito. Se non siete a conoscenza dell’Authrization Code sarete rediretti a una pagina che potrete scegliere voi nella pagina di amministrazione del plugin.
  2. Scegliamo un password sicura Purtroppo c’è ancora chi usa password deboli. La password è la prima barriera di protezione verso gli attacchi. Ci sono delle semplici regole da seguire affinché una password sia sicura:
    • La password deve essere di almeno 8 caratteri
    • Deve contenere sia lettere che numeri
    • Deve avere almeno una lettera maiuscola
    • Deve contenere almeno un carattere speciale
  3. Proteggete la cartella wp-admin e il file wp-login.php Proteggere a cartella wp-admin e il file wp-login.php è di fondamentale importanza. Per questo, esiste un plugin chiamato AskApache Password Protect. Tramite il file .htaccess questo plugin permette di proteggere anche altre parti del sito e il tutto da una semplice pagina di amministrazione. Non è pertanto necessario conoscere le regole di rewrite. Fate attenzione e una cosa però. Qualora il vostro tema utilizza ajax, le visite alle pagine pubbliche del sito potrebbero richiedere l’accesso al file admin-ajax.php che si trova nella cartella wp-admin. Nel caso quindi blocchiate tutta la cartella wp-admin verrà richiesta una password. Per aggirare il problema, sarà sufficiente proteggere con user e pwd il solo accesso al file wp-login.php.
  4. Evitate di usare lo username admin Quando istallate wordpress e vi viene chiesto lo username di amministratore, non scegliete admin. Inventatene un altro qualunque
  5. Mantenete sempre aggiornata la versione di WordPress Molti aggiornamenti di WordPress contengono nuove funzionalità, ma quasi tutti servono a rifare alcuni bug. E’ quindi importante tenersi informati e aggiornare SEMPRE all’ultima versione stabile la vostra versione di WordPress
  6. Usate una OTP (One time password) otp authyLa OTP è una password usa e getta. Esistono diversi metodi per utilizzare questo tipo di autenticazione. Quello che preferisco è AUTHY. Authy è un servizio che genera un token e una volta inserito, qualora corretto, permette l’autenticazione. Il principio di funzionamento è pari a quello delle chiavette genera codici utilizzati per accedere ai servizi bancari. La differenza sta nel fatto che qui la vostra chiavetta sarà il vostro smartphone. Basterà scaricare l’app e digitare la pwd che verrà mostrata nel momento in cui leggete. Ciascun password ha una durata di venti secondi. Il servizio è gratuito (qualora non lo utilizziate per tutti gli utenti del vostro sito). Sulla pagina del sito ufficiale di Authy troverete tutta la documentazione necessaria alla configurazione.

Conclusioni

Applicando tutti insieme questi consigli, avrete fatto dei grossi passi avanti per mettere in sicurezza sito WordPress. Non sarà sicuro al 100% (nulla lo è), e per sempre, ma di sicuro potrete stare un po più tranquilli. Spero di esservi stato utile. Se l’articolo vi è stato utile, condividetelo e se avete dei dubbi, commentate.

Tags: , ,

Trackback dal tuo sito.

Fabio

Appassionato di tecnologia, lavoro nel mondo dell'informatica dal 1999. Mi diletto con PHP e MYSQL e ultimamente mi sono appassionato al mondo SEO ...più per sfida che per necessità. In questo blog voglio condividere con gli utenti quello che imparo, sperando che altri possano trarne "profitto" .

Lascia un commento