Blog

Mettere in sicurezza WordPress: la guida

DI    ,

Mettere in sicurezza WordPress e proteggerlo da attacchi e intrusioni

Mettere in sicurezza WordPress è un passo FONDAMENTALE per il vostro sito/blog.

Nell’articolo predecente dove spiegavo come pulire un sito attaccato da un hacker, proteggere il vostro sito è il passo successivo necessario.

1° Passo – Nomi utenti e password

Per chi non lo sapesse, usare come username “admin” per l’account amministratore è come dire ad un hacker: “prego entri pure”. Quindi se rientrate in questa casistica, provvedete subito a cambiarlo in altro.
Nel mentre procedete a cambiare username, impostate il vostro profilo con un nome e/o cognome e cambiate la voce “Nome pubblico da visualizzare” con uno diverso dal semplice username. Con questo stratagemma evitate di dire pubblicamente qual’è l’username che usate per il vostro profile amministratore.

Usate password complesse. Nel caso aveste subito un attacco hacker, allora cambiate la vostra password immediatamente.

Per sicurezza cambiate anche la password del vostro account FTP. Non si è mai troppo sicuri in questi casi.

2° Passo – File .htaccess

Procedete a crare un file txt chiamato .htaccess (senza estensione ovviamente) e inserite questo codice al suo interno

Questo file andrà inserito all’interno della cartella wp-content/uploads ed impedirà l’esecuzione di file .php all’interno di questa cartella e delle sottocartelle. Infatti molte volte gli hacker partono caricando dei file .php con codice malevolo proprio in questa cartella, che contiene tutte le vostre immagini.

Se non usate lingue russe, cinesi o altre che richiedono file .php all’interno della cartella /languages, allora caricate questo file anche al suo interno.

3° Passo – Plugin sulla sicurezza

Mettere in sicurezza WordPress necessita anche di un plugin che vi aiuta ad impostare alcune cose che altrimenti richiederebbe programmazione php non indifferente.

Io vi guiderò con AIO WP Security & Firewall che è il plugin che utilizzo e conosco maggiormente. Dal link che segue erò potrete trovare una lista dei migliori plugin sulla sicurezza di WordPress.

Una volta installato vi troverete la nuova voce “Sicurezza WP” nel menu laterale.

Cliccando su di essa vi si aprirà una dashboard con alcuno box e indicatori che segnalano lo stato di sicurezza del vostro sito.

Menu “Impostazioni”

In questa pagina dobbiamo solo andare a spuntare la voce “Rimuovi Generatore Meta Info WP:”

Impostazioni generali plugin per mettere in sicurezza WordPress

Questo nasconderà dal vostro sito che versione di WordPress state utilizzando.

Menu “Account utente”

Se avete eseguito già il primo passo indicato in questa guida, allora non dovrete fare altro in questa sezione che possa mettere in sicurezza WordPress.

Menu “Login Utente”

Andremo ad impostare quanti tentativi si hanno inserendo un nickname o una password errata, prima di essere bloccati con l’IP dal vostro sito. Questo è utile quando gli hacker tentano di indovinare la vostra password tentando migliaia di combinazioni in pochissimi secondi.

Infatti tramite queste opzioni potremmo indicare che dopo 5 tentativi l’IP venga bloccato per 1 ora. A voi decidere quanti tentativi e per quanto deve durare il blocco. Potrete inoltre decidere di bloccare immediatemente se qualcuno tenta di accedere con un nickname non esistente.

P.s. Attenzione che se avete un sito con registrazione e accesso pubblico di utilizzare valori alti. E’ normale che un utente possa scordarsi il nickname e/o la password e sicuramente tenterà più volte di provare delle combinazioni.

Login utente plugin per mettere in sicurezza WordPress

In questo esempio si è dato un massimo di 3 tentativi dopo di che l’IP verrà bloccato per 2 ore. Inoltre si è impostato il blocco immediato nel caso di username non esistente.

Nella tab “Forza Logout Utente” potrete impostare invece se forza l’uscita di quasiasi utente dopo un tot di tempo stabilito. Questa opzione è puramente facoltativa, in quanto non è fondamentale alla sicurezza di WordPress.

Le altre tab di questa sezione servono solamente come report e attività.

Menu “Registrazione Utente”

Il prossimo passo per mettere in sicurezza WordPress è quello della gestione delle registrazioni di utenti sul vostro CMS.

Qua troverete il controllo delle registrazioni di nuovi utenti sul vostro sito web.

Nel caso abbiate già disabilitato le registrazioni da WordPress allora non vi dovete preoccupare di questa sezione, altrimenti potrete decidere se moderare le registrazioni e se inserire un captcha nel form di registrazione (applicabile solo a form di default di wordpress).

Solitamente se avete le registrazioni attive, moderare e approvare manualmente le nuove registrazioni, non è mai una buona strategia. Ovviamente a meno che non avete necessità particolari.

Menu “Sicurezza Database”

Come prevedibile dal nome, in questa sezione ci occuperemo di mettere in sicurezza un aspetto del vostro database.

Di default WordPress inserisce come prefisso delle vostre tabelle “wp_”. Siccome tutti sanno di questo nome, sarebbe meglio cambiarlo in qualche cosa di personalizzato.

In questa sezione potrete cambirne il nome in uno deciso da voi, oppure generarne uno automaticamente.

ATTENZIONE: prima di procedere con questa operazione è sempre consigliato fare un backup del database.

Menu “Sicurezza File Sistemi”

Ora procediamo a rendere sicuri i vostri file e cartelle.

Infatti se le vostre cartelle o file avessere permessi troppo alti, è come se daste l’intero accesso al vostro sito al pubblico.

In questa pagina troverete una comoda tabella in cui impostare i giusti permessi in maniera facile e veloce. Dovrete avere tutte le voci in verde per stare sicuri.

Sicurezza file mettere in sicurezza wordpress

Prima di passare alla prossima voce nel menu, andiamo a spuntare le voci che trovate nelle altre due tab “Modifica File PHP” e “Accesso File WP” per mettere in sicurezza WordPress anche dalle modifiche di porzioni di codici dei file sorgenti.

Per quanto riguarda i menu “Ricerca WHOIS” e “Gestione Blacklist” non ci riguardano ora in quanto sono strumenti di monitoriaggio e blocco IP.

Vi basti sapere che il primo vi darà la possibilità di ricercare un IP che ritenete sospetto per avere informazioni su di esso.

Gestione Blacklist invece vi da la possibilità di inserire IP in una lista e bloccarli permanentemente dal vostro sito.

Menu “Firewall”

Riguarda regole di firewall su cui non mi andrò ad dilungare eccessivamente.

Vi basti sapere che dovrete spuntare tutte le voci delle prime 4 tab. Sono regole firewall e antivirus che vengono aggiornate regolarmente. Come usate un antivirus per il computer, questo funziona nella stessa maniera per il vostro sito web.

Eviterei di spuntare anche le opzioni della tab “Prevezione hotlinks” in quanto ho notato che spesso impedisce di recuperare le immagini dai vostri articoli e/o pagine quando li condividete sui social.

La tab “Rilevamento 404” vi da la possibilità di monitorare se ci sono tentativi molteplici di raggiungere file che non esistono sul vostro sito web. Infatti alcuni hacker tentano di capire se utilizzate alcuni plugin con vulnerabilità conosciute e tentano di raggiungere quei file per poi avviare le procedure di infiltrazione nel vostro sito web.

Menu “Brute Force”

Questa sezione è una delle più importanti. Infatti andremo a proteggere la parte che riguarda il login dell’area amministratore del vostro sito web.

Ora per accedere alla vostra area admin di WordPress vi basta aggiungere al vostro indirizzo web /wp-admin, giusto?

Ottimo, anzi malissimo.

Quello è l’indirizzo di default che WordPress usa per gli accessi nell’area admin quindi chiunque può tentare di entrare nel vostro sito web. E’ come dare in giro il vostro indirizzo di casa invitandoli a provare ad entrare!

Possiamo risolvere il problema in questa sezione. Nella prima tab che si aprirà potremo andare a modificare il nome della pagina con cui fare l’accesso nell’area admin.

Spuntando la voce attiveremo questa nuova funzione. Nel campo sottostante invece inseriremo il nome della nuova pagina.

Esempio il nome che inserirete nel campo sarà “amministrazione”. Da ora in avanti non digiterete più www.nomesito.it/wp-admin per accedere alla parte amministrativa di wordpress ma bensì www.nomesito.it/amministrazione.

brute force mettere in sicurezza wordpress

Capirete quindi che ora l’indirizzo non sarà più di dominio pubblico, ma lo saprete solo voi.

La seconda tab è un altro metodo per cambiare indirizzo internet dell’area admin, ma più complesso, che nella maggior parte dei casi non serve.

Attenzione che comunque potrete utilizzarne solo una delle due.

P.s. Se nel vostro sito web c’è la possibilità di registrarsi, accedere, recuperare la password, allora una volta attivato la protezione contro i brute force, controllate tutte le pagine appena citate, in quanto questa funzione potrebbe andare ad intaccare il funzionamento delle stesse.

Menu “Prevenzione SPAM”

Da qua potete attivare alcune opzioni interessanti per mettere in sicurezza WordPress da commenti spam.

Diciamo che se avete già attivato il plugin Akismet non dovete preoccuparci di questa sezione, altrimenti potete tranquillamente attivare tutte le voci che trovate.

Menu “Scanner”

Altra funzione interessante di questo plugin per mettere in sicurezza WordPress la troviamo in questa pagina.

Infatti potremo attivare la scansione ad intervalli regolari delle modifiche apportate ai file del nostro sito web. In questa maniera capiremo se qualcuno sta modificando i file del nostro WordPress o meno.

Menu “Altre Impostazioni”

Saltiamo la sezione “Manutenzione” e procediamo alla promissima.

Troveremo tre tab di cui ci interesseranno le ultime due.

Nella prima potremo solo impostare se voglia disattivare il tasto destro del mouse per copiare contenuti. Diciamo che è oramai constatato che è una pratica fastidiosa e sconsigliata per vari motivi.

La seconda tab “Frames” impedirà ad altri siti o persone di visualizzare il nostro sito all’interno di altri siti, utilizzando quindi i nostri contenuti come loro utilizzando inoltre la nostra banda.

La terza tab “Users Enumeration” disattiverà la possibilità di vedere una lista di tutti gli utenti presenti nel nostro sito web.
Infatti con bot o anche semplicemente aggiungendo /?author=1 al vostro dominio, potremo vedere una pagina con le informazioni dell’utente.
In questa maniera invece si otterrà solamente una pagina di blocco.

Conclusione

Una volta impostato il tutto siete ad un ottimo punto per mettere in sicurezza WordPress ed evitare futuri attacchi.

Mi raccomando sempre di fare una copia di backup di tutti i file una volta seguite tutte le operazioni. Non smettete di fare anche un backup regolare del database e dei file dentro la cartelle wp-content.

Se doveste ricevere altri attacchi purtroppo, le cause potrebbero essere falle in alcuni plugin o temi che usate, versioni obsolete di WordPress, file non eliminati/rilevati caricati da hacker oppure addirittura vulnerabilità a livello di server, ed in questo caso non potete farci nulla se non cambiarlo!



Seguici su Facebook

logo footer wolftrick