• Difendere sito wordpress da hacker

    Come difendere il tuo sito WordPress da attacchi di hacker e malintenzionati che potrebbero tentare di accedere in maniera truffaldina alla tua area admin? Ecco 6 facili trucchi e plugin per rendere più sicuro il tuo WordPress.

    Ti sei svegliato una mattina e ti hanno bucato il sito in WordPress? Temi che possa accadere da un momento all’altro? Oppure guardi le statistiche e vedi una serie interminabile di visite a iltuosito.it/wp-admin e iltuosito.it/wp-login.php… che chiaramente non hai fatto tu?

    È arrivato il momento che qualcuno te lo dica, Cappuccetto Rosso: là fuori ci sono un sacco di lupi cattivi pronti a sbranare te, il tuo sito web, e tua nonna. Per quale motivo, ti chiedi? Magari per inserire nelle innocue pagine del tuo sito link a venditori di pillole blu della felicità matrimoniale; oppure per inoculare nei tuoi articoli virus che faranno al PC dei tuoi utenti lo stesso effetto di una passeggiata nel reparto malattie infettive dell’Ospedale di Kinshasa.

    Come difendersi?

    CONSIGLIO n. 0: aggiorna sempre WordPress, i plugin e i temi

    Non me lo fa’ di’, la prima regola è sempre la stessa: aggiorna WordPress, aggiorna tutti i plugin, aggiorna il tema, aggiorna tua nonna, insomma, aggiorna tutto quello che è in tuo potere aggiornare.
    Se il tuo sito è stato realizzato da una Web Agency o da un Web designer, imploralo di non modificare WordPress o i suoi plugin, o farlo in modo da perdere le modifiche durante i successivi aggiornamenti. Se non funzionano le preghiere, passa alle minacce.

    Infatti, avere WordPress non aggiornato è come andare a dormire con la porta aperta in uno dei peggiori alberghi di Caracas. E lasciare senza aggiornamenti anche i plugin è come condividere la stanza con un compagno di bevute conosciuto 2 ore prima in un bar.

    Fuor di metafora, WordPress è un CMS open source: questo vuol dire che chiunque abbia un po’ di competenze di linguaggio PHP può studiare il codice e tutti i passaggi che hanno portato alla sua creazione, per dare il proprio contibuto… oppure per beccare tutti i punti deboli del sistema.

    Fortunatamente, per un utente che cerca vulnerabilità per sfruttarle, ce ne sono altri 100 che cercano vulnerabilità per correggerle: quindi di tanto in tanto viene rilasciata una nuova versione che corregge tutti i punti deboli trovati nella versione precedente. Per questo è importante aggiornare appena possibile.

    Nota bene: prima di aggiornare fai – oppure fai fare – un backup di tutto il sito e del database… non si può mai sapere!

    Nota bene: prima di aggiornare fai – oppure fai fare – un backup di tutto il sito e del database… non si può mai sapere!

    CONSIGLIO n. 1: Scegli sempre delle password molto forti

    “1234” non è una password forte. No, neanche “password” è una password forte.

    Una password forte deve contenere dei numeri e delle lettere maiuscole, se proprio vuoi fare il figo anche dei simboli come @ & % e simili.
    Bando alle password con il proprio nome o nick name o con il nome del sito. Meglio evitare anche il nome del figlio, della moglie o del cane, data di nascita e numero di telefono.

    Non credo ci sia bisogno di aggiungere di non divulgare la tua password, di non dirla a nessuno, di non inserirla su nessun altro sito se non il tuo… soprattutto se qualcuno ti ha mandato link sospetti via mail!

    Ah, un’ultimo consiglio: non utilizzare la stessa password per più di un sito o servizio!

    Lastpass.com password manager
    Come fare a ricordare tutte queste password? Se hai la memoria di un pesce rosso come me, basta una sola password per ricordarle tutte!
    Con Lastpass.com puoi salvare in una cassaforte a prova di bomba tutte le tue password e farle comparire automaticamente con un clic quando ti servono. Ha anche dei componenti aggiuntivi per il browser, che compileranno il campo password al posto tuo.

    CONSIGLIO n. 2: Limita i tentativi di login

    La maggior parte degli hacker non visita certo l’area admin del tuo sito in prima persona… utilizza dei programmi automatizzati, che inseriscono una dietro l’altra una serie di combinazioni di caratteri all’interno del tuo campo password finché non beccano proprio la tua password.
    Per questo, potresti impedire il login se un utente inserisce una password sbagliata, diaciamo, per 3 volte.

    Come? Con un plugin come Login Lock Down, ad esempio.

    CONSIGLIO n. 3: Non usare lo username "admin"

    Se per un hacker è così semplice recuperare la tua password potresti mettergli i bastoni tra le ruote… cambiando lo username.

    Lo username predefinito per l’amministratore è “admin”, è chiaro che qualsiasi furbacchione potrebbe dare per scontato che quello sia anche il tuo…

    CONSIGLIO n. 4: Cambia la URL per accedere all'amministrazione

    Se vuoi dimenticarti di quelle visite sospette alle URL iltuosito.it/wp-admin e iltuosito.it/wp-login.php, puoi usare un plugin come WPS Hide Login.
    Questo plugin ti permette di scegliere una URL personalizzata che conosci solo tu per accedere all’area amministrazione del tuo sito, come ad esempio iltuosito.it/hackersuka.

    E tutti quelli che non conoscono la URL esatta… resteranno con un palmo di naso e vedranno solo una pagina di errore!

    CONSIGLIO n. 5: Usa l'autenticazione a 2 fattori

    Con il plugin Google Authenticator si aggiungerà un nuovo campo alla tua schermata di login:

    Google Authenticator plugin WordPress per autenticazione a 2 fattori

    Ogni volta che vorrai entrare nell’area amministrazione, riceverai un codice casuale temporaneo sul tuo cellulare, grazie all’App Google Authenticator.

    CONSIGLIO n. 6: Usa un firewall

    Se sei proprio maniaco della sicurezza, infine, potresti optare per un Firewall che blocchi automaticamente tutti gli accessi sospetti al tuo sito. Ad esempio una buona scelta può essere Sucuri, che protegge da attacchi al tuo sito, al tuo server e permette anche di “ripulire” un sito già compromesso.

    Questi sono solo alcuni dei consigli che posso darti per rendere il tuo sito più sicuro; come vedi si tratta per lo più di accorgimenti semplici che puoi adottare in autonomia, oppure la cui implementazione può essere chiesta al tuo webmaster di fiducia.

    Spero che questo ti basti per dormire sonni tranquilli 😉

    contattami per una consulenza gratuita sul tuo sito Wordpress
    Se invece vuoi una consulenza per rendere il tuo più sito sicuro, se vuoi che un esperto implementi le migliori strategie per bloccare l'accesso ad hacker e furbacchioni, senza compromettere l'usabilità e l'indicizzazione delle tue pagine, contattami:

    Condividi per aggiornare tua nonna… e per far aggiornare i tuoi followers!

    Ciriciao gente!

    Enza

    Vuoi dire la tua? Commenta

    Se vuoi dire la tua, lascia un commento.

    Se sai come si fa, puoi usare questi tag e attributi HTML:

    <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 


    Un breve riepilogo
    6 consigli (+ 1) per la sicurezza del tuo sito in Wordpress
    Titolo articolo
    6 consigli (+ 1) per la sicurezza del tuo sito in Wordpress
    Descrizione
    Come difendere il tuo sito Wordpress da attacchi di hacker che tentano di accedere alla tua area admin? 6 trucchi e plugin per la sicurezza di Wordpress.
    Autore
    Organizzazione
    Enza La Frazia
    Logo