Come proteggere un blog WordPress
La terminologia di hacker e cracker è molto spesso confusa su Internet, in sostanza gli hacker sono quelle persone esperte in campo informatico capaci di violare i sistemi di sicurezza per il solo fine di proteggere la sicurezza stessa. Sembra un po’ un controsenso, ma in realtà queste persone vanno in cerca di falle nella sicurezza per segnalarle ai dovuti interessati.
I cracker (non i biscotti) sono anche loro esperti di sistemi informatici; il loro scopo a differenza degli hacker, è sfruttare le falle di sicurezza per un proprio torna conto. Questi ultimi sono anche chiamati Black Hat Hacker.
Le basi della sicurezza
Pensate al blog come una vostra azienda, nella quale oltre ad essere i dirigenti siete responsabili dei contenuti e degli eventuali introiti. Come ben sapete un’azienda viene costruita su delle fondamenta solide. È molto importante quindi scegliere un hosting sicuro e affidabile che vi possa donare una base solida.
Ci sarebbe da dire davvero molto, ma in questo articolo mi concentrerò principalmente sulla sicurezza del CMS.
Partendo dal presupposto che avete scelto un buon hosting, questo non sarà responsabile se il vostro blog verrà attaccato, i responsabili della sicurezza siete voi.
Come proteggere WordPress dagli attacchi informatici
I fattori fondamentali per una buona sicurezza sono essenzialmente i seguenti:
1. Hosting affidabile
Come già accennato in precedenza l’hosting è alla base della sicurezza. Costruire una casa su delle fondamenta solide è il primo passo per proteggersi da “terremoti”.
2. Aggiornare costantemente WordPress, plugin e tema
Aggiornate sempre all’ultima versione di WordPress. La maggior parte degli aggiornamenti porta infatti con sé sempre fix sulla sicurezza. I malintenzionati tendono ad attaccare le versioni meno recenti di WordPress perché sono a conoscenza di falle sistemate nelle versioni successive, sanno dunque dove attaccarvi e come farlo.
Uno degli strumenti utilizzati da parte dei pirati informatici per individuare la versione di WordPress è CMS Detector. Basta infatti inserire l’url di qualsiasi sito web per analizzarne il tipo di piattaforma e la relativa versione.
Stessa cosa dicasi per i plugin. È buona norma tenere aggiornati tutti i plugin installati, questi possono infatti essere veicolo di exploit e garantire l’accesso al sito, stessa cosa dicasi per il tema. Un buon tema deve sempre essere aggiornato periodicamente da parte dell’autore per poter fornire sempre una sicurezza in più.
3. Installare dei plugin per aumentare la sicurezza
WordPress mette a disposizione plugin di tutti i generi, in questo modo è semplice implementare funzionalità. Alcuni di questi possono essere utilizzati per migliorare la sicurezza del blog/sito. I più utilizzati sono:
I plugin indicati sono delle ottime soluzioni per migliorare la sicurezza WordPress. Prendiamo in esame All In One Wp Security & Firewall, possiamo configurarlo come segue per essere più protetti:
3.1 Cambiare nickname di default
Installate l’addon recandovi su “Plugin -> Aggiungi Nuovo” e immettendo nel campo di ricerca “All In One Wp Security & Firewall”, fate click su installa. Recatevi quindi su “Sicurezza WP” disponibile nel menu laterale sinistro di WordPress, e fate click su “Account Utente” come da immagine:
-
- Nome amministratore
Cliccando su edit verrete reindirizzati sul vostro profilo WordPress, modificate il nickname e salvate. Per impostazione predefinita, WordPress configura il nome utente amministratore come “admin” al momento dell’installazione.
Gli hacker cercano di approfittare di queste informazioni, tentando attacchi brute force, dove hanno più possibilità di indovinare la password utilizzando “admin” come nome utente.
Dal punto di vista della sicurezza, la modifica del nome utente “admin” è una delle prime e più intelligenti cose che dovresti fare sul tuo sito.
3.2 Precauzioni sulla schermata di accesso
È buona norma impedire attacchi brute force, questa tecnica è la più utilizzata dai malintenzionati, questi infatti utilizzano un numero indefinito di combinazioni per tentare di accedere al vostro blog / sito.
Recatevi su “Login Utente” e abilitate la voce “Attiva Funzioni Blocco Login” come da immagine:
-
- Blocco login
A questo punto configurate tutto come da immagine, abilitando rispettivamente “Consenti richieste di sblocco”, “Mostra Messaggio Errore Generico” e “Notifica via Email”. Il mio consiglio inoltre è quello di settare un massimo di tentativi di login in un intervallo che va da 5 a 10, nel mio caso ho impostato 5, in questo modo il plugin bloccherà l’accesso a quell’indirizzo IP in caso di superamento di tale numero.
Impostate anche un tempo di blocco, generalmente è consigliabile un’ora.
3.3 Permessi su file e directory
Alcuni plugin tendono a modificare i permessi di alcune directory e file, tali permessi garantiscono (accesso, scrittura ed esecuzione).
Nella schermata “Sicurezza File Sistema” impostate i permessi consigliati dal plugin, generalmente i permessi corretti sono 644 per i file, e 755 per le directory.
Il plugin vi consiglierà come segue:
-
- Permessi consigliati Wordpress
Se non conoscete la corrispondenza dei permessi, date un’occhiata a questa tabella:
|
3.4 Firewall
Una funzione molto importante è il Firewall, questa funzionalità permette di modificare il file .htaccess e impostare i seguenti criteri:
- Limita l’upload dei file a 10 Megabyte
- Nega l’accesso al file wp-config.php e al file .htaccess
- Disattiva la firma del server
Il mio consiglio è di attivare la protezione di base, ci sono tuttavia tante altre impostazioni aggiuntive che permettono di aumentare la sicurezza di WordPress. Andando su “Firewall” impostate come segue:
-
- Firewall
Come potete vedere dall’immagine in alto, ho bloccato anche gli accessi al file “debug.log”, questo tipo di file infatti può contenere informazioni sensibili.
NB: Potete ovviamente accedere ai file bloccati collegandovi via ftp.
3.5 Rinominare pagina di login
Un efficace tecnica di prevenzione Brute Force è quella di cambiare l’impostazione predefinita dell’URL della pagina di login di WordPress.
Normalmente, se si vuole accedere a WordPress è necessario digitare l’URL del tuo sito seguito da wp-login.php.
Questa funzione consente di modificare l’URL di accesso impostando il proprio slug (stringa) e rinominare l’ultima parte dell’URL di accesso che contiene il wp-login.php con qualsiasi stringa che ti piace.
In questo modo, bot maligni e hacker non saranno in grado di accedere alla pagina di login perché non conoscono il corretto URL della pagina di login.
Recatevi su “Brute Force” e spuntate “Attiva opzione Rinomina Pagina Login”, questo vi permetterà di cambiare la pagina di accesso, per intenderci wp-login.php.
-
- Prevenzione al brute force
Scegliete quindi un nome a piacere per la pagina di login. Ricordatevi di questo nuovo URL di accesso in modo da non restare chiusi fuori.
4. Abilitare CloudFlare
CloudFlare è un servizio eccellente in grado non solo di proteggere il vostro sito andando a bloccare bot e crawler dal consumo di risorse, ma permette anche di ottimizzare il caricamento delle pagine web.
Se utilizzate Altervista, è possibile attivare il servizio gratuitamente recandovi su “Risorse -> CloudFlare” e cliccando su “Attiva”:
-
- Pannello risorse Altervista
-
- CloudFlare
5. Utilizzare il protocollo https anziché http
Alcuni hosting mettono a disposizione la possibilità di abilitare l’https, questo protocollo non fa altro che criptare la connessione tra l’utente e il vostro server.
Impostazione molto utile specialmente per i siti di e-commerce, i quali hanno bisogno di una protezione in più considerando che gli acquirenti utilizzano carte di credito o comunque informazioni sensibili.
Se state utilizzando Altervista, potrebbe farvi comodo attivare questa impostazione recandovi su “Risorse -> HTTPS”:
-
- Protocollo https
NB: Hai bisogno di abilitare CloudFlare prima di attivare https.
6. Registrazione utenti
Personalmente tendo a sconsigliare di abilitare la registrazione utenti sul proprio sito. A meno che non state gestendo un forum, la registrazione su WordPress è pressoché inutile.
Potreste infatti ritrovarvi a gestire centinaia di migliaia di utenti, e potete metterci la mano sul fuoco che ci saranno sempre degli account fasulli, che potenzialmente potrebbero sfruttare delle falle di sistema per accedere al blog come admin.
Per disabilitare tale funzionalità recatevi su “Impostazioni -> Generali” e togliete la spunta a “Iscrizione (Chiunque può registrarsi)”:
-
- Registrazione Wordpress
Se proprio necessitate di questa funzionalità, è buona norma prendere delle dovute precauzioni. Sconsiglio di utilizzare plugin che inviano link di attivazione, il malintenzionato potrebbe utilizzare email temporanee per aggirare il blocco.
Sfruttando il plugin proposto in alto, e cioè “All In One WP Security & Firewall“, recatevi su “Registrazione Utenti” e mettete la spunta su “Attiva approvazione manuale di nuove registrazioni”:
-
- Registrazione utenti
In questo modo limiterete possibile SPAM, con l’unica pecca di approvare le registrazioni manualmente.
7. Gestione dei commenti
WordPress mette a disposizione un sistema di commenti proprietario, che è ovviamente soggetto a SPAM. Negli scorsi anni si è diffuso un plugin molto efficace (tra l’altro incluso in automatico nel pacchetto WP di Altervista) chiamato Akismet.
Questo addon mette a disposizione un servizio anti-spam avanzato ed è una soluzione che potrebbe fare al casto vostro.
Tuttavia il mio consiglio è quello di affidarvi a Disqus. Ogni utente creando un solo account su Disqus ha la possibilità di commentare su tutti i siti web che implementano questo strumento. Disqus mette a disposizione anche un sistema di like, di segnalazioni e favoriti (un po’ come un piccolo social network unificato dei blog).
L’installazione è molto semplice, recatevi al seguente link, e cliccate su “I want to install Disqus on my site”:
-
- Installazione Disqus
registratevi, e seguite tutti i passaggi per la piattaforma specificata, nel vostro caso WordPress.
PS: Dai un’occhiata a come aggiungere il widget commenti recenti senza installare plugin!
8. Backup regolari
È indispensabile effettuare backup regolari del vostro sito web, il backup permette di salvare il tuo lavoro.
In questo modo se il vostro sito è stato attaccato, potete sempre ripristinarlo in poco tempo grazie al backup.
La maggior parte degli hosting, compreso Altervista, mette a disposizione un servizio di backup automatico. Il mio consiglio è quello di usufruire di tale funzionalità. Tuttavia consiglierei di effettuare almeno una volta alla settimana un backup manuale, collegandovi via ftp al vostro sito e scaricando sul vostro PC tutti i file disponibili sullo spazio web.
9. Cambia periodicamente la tua password
Questa è una regola che vale per tutti i siti web in generale. Cambiare la password con frequenza può sicuramente rafforzare la sicurezza del tuo account.
Per farlo recati su “Utenti -> Il tuo profilo” e nel campo “Nuova Password” fai click su “Genera Password”, salva infine le impostazioni.
10. Prevenire SQL Injection
La SQL Injection è una tecnica utilizzata per attaccare applicazioni di gestione dati, in particolar modo i database. È consigliabile cambiare il prefisso delle tabelle WordPress che è generalmente “wp_” (Altervista utilizza un prefisso proprietario). Vi consiglio ovviamente di effettuare una copia backup prima di procedere.
Utilizzando il plugin scaricato in precedenza All In One WP Security & Firewall, recatevi su “Sicurezza Database” e mette la spunta su “Genera un nuovo prefisso tabelle DB”, scegliete ovviamente un prefisso forte, come una sorta di password.
Questo scoraggerà i malintenzionati nell’utilizzo di SQL Injection.
Conclusioni
Ci sono ovviamente tanti altri piccoli accorgimenti da prendere in considerazione, alcuni di essi è possibile trovarli nel plugin indicato nell’articolo.
Non sottovalutate mai la sicurezza, proprio in questi giorni ho ricevuto un massiccio attacco brute force, e grazie agli accorgimenti presi quando creai il blog non sono riusciti nel loro intento.
Se avete domande o suggerimenti utilizzate la sezione commenti, alla prossima!
Social