Geekissimo

WordPress: 14 consigli per mettere in sicurezza il vostro blog

 
Denis Dosi
26 Marzo 2011
2 commenti

La sicurezza di un blog/sito WordPress è da tenere in altissima considerazione; qualsiasi sito può subire un attacco, ma con l’utilizzo di questi consigli è possibile limitare i rischi. Quando tutto funziona correttamente non dobbiamo sentirci al sicuro, ma è il momento giusto per testare le proprie difese e cercare di prevenire eventuali problemi.

Eseguire il backup del vostro blog regolarmente e completamente:
Prima di una qualsiasi modifica, eseguite il backup completo del vostro blog WordPress. E’ assolutamente necessario “mettere al sicuro” le parti più importanti quali sono il database MySQL e l’account FTP.
Esistono varie alternative per ottenere lo stesso risultato, tra queste Vaultpress e Online Backup; nel primo caso l’opzione è proposta direttamente da Automattic (l’organizzazione alle spalle di WordPress), offre backup completi o parziali impostando vari intervalli di tempo (tutti i giorni, una volta al mese), opzione a pagamento. Online Backup è invece un’ottima soluzione gratuita; dopo essersi registrati sul sito, è possibile impostare il proprio backup quando e come si preferisce.

Mantenere il proprio sito WordPress aggiornato:
L’85% dei blog WordPress sotto attacco hanno tralasciato mesi e mesi di aggiornamenti, in questo modo hanno “perso” le patch di sicurezza rilasciate e sono risultati essere maggiormente vulnerabili.

Testare le proprie vulnerabilità:
WP Security Plugin, oltre a permetter di cambiare il prefisso, identifica le vulnerabilità del sistema; in particolare visualizza i permessi di accesso alle cartelle ed eventuali avvisi.

Utilizzare password sicure:
Un account amministratore con elevati privilegi (sia in WordPress che in un qualsiasi PC desktop), deve avere una password con almeno 8 caratteri includendo: Numeri e Simboli Speciali.
Si consiglia di non utilizzare password puramente testuali o parole facilmente riscontrabili in un qualsiasi dizionario di lingua italiana; è ugualmente sconsigliato utilizzare date di nascita o informazioni facilmente reperibili in rete, ricordate che con l’avvento di internet la poca privacy rimasta sta lentamente scemando.

Cambiare il prefisso del vostro database:
Quando installate WordPress, il prefisso assegnato al database MySQL è wp_. Se non prestate la giusta attenzione a questo parametro, potrebbe essere troppo tardi. Per far questo, utilizzate il WP Security Scan Plugin.

Vietare l’accesso ai file di installazione WordPress:
Di default ognuno può accedere ai files del tipo wp-content, attraverso un semplice browser. Bloccate, modificando i permessi, ogni tipo di accesso ai vostri files di installazione.

Cancellare l’account “admin” creato di default:
Di default, WordPress crea, durante l’installazione, un account chiamato Admin. Se non viene cancellato, colui che attaccherà il vostro blog dovrà cercare solamente la password per potervi accedere.
Per risolvere questo “problema”, create un nuovo account con privilegi di amministratore, eseguite il logout dal vecchio account, entrate con il nuovo e cancellate “admin” di default.

Nascondere la versione di wordpress:
Se visualizzate il codice sorgente del vostro sito, molto probabilmente notate la presenza di un meta tag indicante la versione di WordPress attualmente in uso.

meta name=”generator” content=”Wordpress 3.1.x”/

Colui che attacca il vostro sito, conoscendo la versione in utilizzo, è in grado di risalire ai bug da sfruttare per intromettersi nel sistema.

Creare security keys in wp-config.php:
Per garantire maggiore sicurezza, inserite nel file wp-config.php (un file contenente il collegamento con il database MySQL) una serie di chiavi di sicurezza generate casualmente.

Bloccare gli attacchi di forza bruta:
Di default è possibile testare una grandissima quantità di coppie di username e password che potrebbero tentare di connettersi al vostro profilo amministratore. Tuttavia, installando il plugin Login LockDown si restringe il numero di tentativi di accesso al profilo, per un determinato periodo di tempo.

Impedire l’accesso a wp-config.php via Htaccess:
Aprite il file Htaccess nella root del vostro server FTP ed aggiungete la seguente linea di codice. In caso di problemi non permetterà a nessuno di recuperare l’username e la password sul server. Tali righe di codice devono essere comprese tra <>.

filesmatch ^wp-config.php$
deny from all
/filesmatch

Nascondere gli errori di connessione:
Durante il login, WordPress visualizza messaggi di errore nel file functions.php in seguito ad un errore di sistema. Per nasconderli, aggiungete la seguente linea di codice:

add_filter (‘login_error’ create_function (‘$ a’, “return null ;”));

Disabilitare Windows Live Writer:
Windows Live Writer è un software creato da Microsoft che permette di postare gli articoli direttamente dal vostro desktop. Tuttavia, su WordPress, aggiunge una linea di codice nell’header del vostro blog, assolutamente non necessario e insicuro. Potete disabilitarlo con il plugin Ultimate Security Checker.

Verificare la sicurezza dell’host utilizzato:
E’ importante che l’host utilizzato possa offrire le più recenti (e continuamente aggiornate) versioni di Apache, MySQL e PHP.

Concludiamo questa lunga digressione sul mondo WordPress ricordando che quanto scritto in quest’articolo solo solamente una serie di consigli per cercare di limitare i possibili attacchi al vostro sito. E’ importante ricordare che, seguendo tutti i passi, non garantiamo l’assoluta protezione da attacchi informatici, poichè anche il più “sicuro” dei siti non lo sarà mai fino in fondo.

Via| TheCustomizeWindows

Potrebbe interessarti anche
Articoli Correlati
WordPress: 9 plugin per aumentare la sicurezza dei vostri blog

WordPress: 9 plugin per aumentare la sicurezza dei vostri blog

Non bisogna certo essere dei veri geek per intuire quanto possano essere esposti a rischi di sicurezza i milioni di blog che campeggiano allegramente sulla grande rete senza un’adeguata protezione […]

Plugin Lightbox automatico per WordPress

Plugin Lightbox automatico per WordPress

Inizia una nuova settimana. Buon lunedì, quindi! Anche oggi, Geekissimo è pronto a darvi i meglio delle notizie più Geek che la rete ci offre. Iniziamo subito questa giornata, parlando […]

Disattiviamo la Revisione dei Post su WordPress!

Disattiviamo la Revisione dei Post su WordPress!

Tutti ormai usate sicuramente, WordPress 2.7, l’ultima versione del noto CMS per creare Blog. Dalla versione 2.6, è stata introdotta una funzione che salva ogni modifica venga fata all’articolo in […]

10 ottimi plugin per il SEO del vostro WordPress!

10 ottimi plugin per il SEO del vostro WordPress!

Uno dei problemi di molti blogger è sicuramente il SEO, cioè l’ottimizzazione del sito per essere meglio riconosciuto dai motori di ricerca. Sicuramente il SEO è un’aspetto da non sotto […]

I primi plugin da installare su WordPress: Plugin Central e Plugin Installer

I primi plugin da installare su WordPress: Plugin Central e Plugin Installer

Okok abbiamo appena finito d’installare il nostro blog WordPress. E adesso che dobbiamo fare? Beh io innanzitutto consiglierei di installare dei plugin per estendere le funzionalità del blog. Ma quali […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento

  • #1albertopaganotto

    Ottimo!

    26 Mar 2011, 6:38 pm Rispondi|Quota
  • #2@maxanima

    Ottimo post. Volevo chiedere per quanto riguarda il backup, io ho il sito su Aruba. Fa anche il database immagino…funziona con Aruba? e per ripristinare il tutto?

    27 Mar 2011, 7:17 pm Rispondi|Quota