Come difendere il tuo sito WordPress da attacchi di hacker e malintenzionati che potrebbero tentare di accedere in maniera truffaldina alla tua area admin? Ecco 6 facili trucchi e plugin per rendere più sicuro il tuo WordPress.
Ti sei svegliato una mattina e ti hanno bucato il sito in WordPress? Temi che possa accadere da un momento all’altro? Oppure guardi le statistiche e vedi una serie interminabile di visite a iltuosito.it/wp-admin e iltuosito.it/wp-login.php… che chiaramente non hai fatto tu?
È arrivato il momento che qualcuno te lo dica, Cappuccetto Rosso: là fuori ci sono un sacco di lupi cattivi pronti a sbranare te, il tuo sito web, e tua nonna. Per quale motivo, ti chiedi? Magari per inserire nelle innocue pagine del tuo sito link a venditori di pillole blu della felicità matrimoniale; oppure per inoculare nei tuoi articoli virus che faranno al PC dei tuoi utenti lo stesso effetto di una passeggiata nel reparto malattie infettive dell’Ospedale di Kinshasa.
Come difendersi?
CONSIGLIO n. 0: aggiorna sempre WordPress, i plugin e i temi
Non me lo fa’ di’, la prima regola è sempre la stessa: aggiorna WordPress, aggiorna tutti i plugin, aggiorna il tema, aggiorna tua nonna, insomma, aggiorna tutto quello che è in tuo potere aggiornare.
Se il tuo sito è stato realizzato da una Web Agency o da un Web designer, imploralo di non modificare WordPress o i suoi plugin, o farlo in modo da perdere le modifiche durante i successivi aggiornamenti. Se non funzionano le preghiere, passa alle minacce.
Infatti, avere WordPress non aggiornato è come andare a dormire con la porta aperta in uno dei peggiori alberghi di Caracas. E lasciare senza aggiornamenti anche i plugin è come condividere la stanza con un compagno di bevute conosciuto 2 ore prima in un bar.
Fuor di metafora, WordPress è un CMS open source: questo vuol dire che chiunque abbia un po’ di competenze di linguaggio PHP può studiare il codice e tutti i passaggi che hanno portato alla sua creazione, per dare il proprio contibuto… oppure per beccare tutti i punti deboli del sistema.
Fortunatamente, per un utente che cerca vulnerabilità per sfruttarle, ce ne sono altri 100 che cercano vulnerabilità per correggerle: quindi di tanto in tanto viene rilasciata una nuova versione che corregge tutti i punti deboli trovati nella versione precedente. Per questo è importante aggiornare appena possibile.
Nota bene: prima di aggiornare fai – oppure fai fare – un backup di tutto il sito e del database… non si può mai sapere!
CONSIGLIO n. 1: Scegli sempre delle password molto forti
“1234” non è una password forte. No, neanche “password” è una password forte.
Una password forte deve contenere dei numeri e delle lettere maiuscole, se proprio vuoi fare il figo anche dei simboli come @ & % e simili.
Bando alle password con il proprio nome o nick name o con il nome del sito. Meglio evitare anche il nome del figlio, della moglie o del cane, data di nascita e numero di telefono.
Non credo ci sia bisogno di aggiungere di non divulgare la tua password, di non dirla a nessuno, di non inserirla su nessun altro sito se non il tuo… soprattutto se qualcuno ti ha mandato link sospetti via mail!
Ah, un’ultimo consiglio: non utilizzare la stessa password per più di un sito o servizio!
CONSIGLIO n. 2: Limita i tentativi di login
La maggior parte degli hacker non visita certo l’area admin del tuo sito in prima persona… utilizza dei programmi automatizzati, che inseriscono una dietro l’altra una serie di combinazioni di caratteri all’interno del tuo campo password finché non beccano proprio la tua password.
Per questo, potresti impedire il login se un utente inserisce una password sbagliata, diaciamo, per 3 volte.
Come? Con un plugin come Login Lock Down, ad esempio.
CONSIGLIO n. 3: Non usare lo username “admin”
Se per un hacker è così semplice recuperare la tua password potresti mettergli i bastoni tra le ruote… cambiando lo username.
Lo username predefinito per l’amministratore è “admin”, è chiaro che qualsiasi furbacchione potrebbe dare per scontato che quello sia anche il tuo…
CONSIGLIO n. 4: Cambia la URL per accedere all’amministrazione
Se vuoi dimenticarti di quelle visite sospette alle URL iltuosito.it/wp-admin e iltuosito.it/wp-login.php, puoi usare un plugin come WPS Hide Login.
Questo plugin ti permette di scegliere una URL personalizzata che conosci solo tu per accedere all’area amministrazione del tuo sito, come ad esempio iltuosito.it/hackersuka.
E tutti quelli che non conoscono la URL esatta… resteranno con un palmo di naso e vedranno solo una pagina di errore!
CONSIGLIO n. 5: Usa l’autenticazione a 2 fattori
Con il plugin Google Authenticator si aggiungerà un nuovo campo alla tua schermata di login:
Ogni volta che vorrai entrare nell’area amministrazione, riceverai un codice casuale temporaneo sul tuo cellulare, grazie all’App Google Authenticator.
CONSIGLIO n. 6: Usa un firewall
Se sei proprio maniaco della sicurezza, infine, potresti optare per un Firewall che blocchi automaticamente tutti gli accessi sospetti al tuo sito. Ad esempio una buona scelta può essere Sucuri, che protegge da attacchi al tuo sito, al tuo server e permette anche di “ripulire” un sito già compromesso.
Questi sono solo alcuni dei consigli che posso darti per rendere il tuo sito più sicuro; come vedi si tratta per lo più di accorgimenti semplici che puoi adottare in autonomia, oppure la cui implementazione può essere chiesta al tuo webmaster di fiducia.
Spero che questo ti basti per dormire sonni tranquilli 😉
5 risposte a “6 consigli (+ 1) per rendere sicuro il tuo sito in WordPress”
Ciao! Hai qualche consiglio su un plugin per difendermi dagli hacker? Mi sto facendo un sacco di paranoie, ho paura di perdere tutti i dati del mio sito… hai qualche consiglio da darmi?
Grazie per averne parlato, finalmente un’analisi sulla sicurezza di WordPress. Mi è servito!
Il tuo sito è molto interessante, stai pur certa che ci tornerò spesso 😉
Grazie per questo fantastico post! Mi è piaciuto molto leggerlo, sei una grande blogger. Volevo incoraggiarti a continuare così. Buona giornata!
Mi piace tanto la grafica del tuo sito. Hai mai avuto problemi di compatibilità tra i vari dispositivi e browser? Sul mio blog ho avuto qualche utente che si è lamentato perché non si vedeva bene su Explorer… magari potresti scrivere un articolo che parla proprio di questo 🙂