Come proteggere il tuo sito WordPress: 16 essenziali consigli, 13 ottimi Plugin e tool esterni…

Proteggere WordPress (ed ogni sito in generale), applicare le procedure essenziali per prevenire danni, è un’abitudine che tutti dovrebbero prendere perché gli imprevisti possono avvenire da un momento all’altro, per diversi motivi: malfunzionamento server, attacchi esterni, errori di gestione, ecc… Ad esser più sensibili sotto questo aspetto sono i CMS rispetto ai classici siti in html.

Tra questi il più colpito in assoluto è appunto il nostro amato WordPress. Non certo perché sia il più vulnerabile (semmai il contrario) ma solo perché quello nettamente più usato.

Ho preparato per te una breve lista di comportamenti da adottare e una serie di plugin e altri strumenti per render più sicuro il tuo sito WordPress ed evitare guai, seguimi…

 

Attenzione-wordpress1

Per la mia esperienza, la maggioranza degli utenti sottovalutano completamente i problemi di sicurezza e spesso li ignorano proprio. Usano password al limite del possibile (tipo nome cognome), usano ancora l’amministratore admin (o il proprio nome) e non tengono in considerazione le minime misure di sicurezza raccomandate.

Questi sono facili prede di attacchi da parte di chiunque e anche per questo ogni giorno decine e decine di siti WordPress vengono abbattuti.

La sicurezza del tuo sito è importantissima perché in qualunque momento potresti avere problemi gravi e il punto non è solo che potresti non poter più accedere al tuo sito, non trovarlo più perché abbattuto…o “solo” malfunzionante perché è stato infettato da virus, malware, ecc…

Il problema peggiore è che altri ne potrebbero prendere il controllo senza che tu sappia nulla e poi trovarti magari, oltre al ripristino del sito, a pagare soldi per danni al tuo hosting o a siti di terzi…

A tal proposito considera che da un anno a questa parte sono partiti in tutto il mondo attacchi automatizzati brute force. Semplificando, utenti che usano una serie di computer per violare altri siti, ne prendono il controllo e usano a loro volta tali siti per attaccarne altri. Pian piano hanno messo in piedi un esercito di robot che scorrazza per la rete a fare guai.

Quando ti troverai col sito violato che farai?

  • Ti rivolgi a un tecnico specializzato ok, quanto ti costa?
  • E quanto potresti dover spendere per danni a terzi?
  • Senza contare i danni di immagine e posizionamento…

Meglio prevenire che curare non credi?

Questi sono le regole minime di sicurezza da adottare:

  1. Tieni aggiornato e protetto il tuo computer (e i dispositivi con cui ti colleghi al sito)
  2. Tieni aggiornato il client ftp e cambia regolarmente password (se il tuo hosting lo supporta meglio usare SFTP)
  3. Scegli con attenzione un Hosting di qualità (non fidarti solo perché lo vedi in tv…)
  4. Programma regolari backup e ogni tanto fanne uno manuale (non ti affidare solo a quello del tuo hosting)
  5. Non usare come nome di login admin
  6. Non mostrare il nome utente
  7. Per l’account amministratore usa un’email solo per tale scopo e che conosci solo tu
  8. Per pubblicare articoli non serve l’amministratore. Crea un utente Editore e collegati con quello regolarmente e solo quando proprio indispensabile con l’utente amministratore.
  9. Non usare il classico prefisso wp_ per le tabelle del database
  10. Usa password complesse sia per il database che per l’account amministratore
  11. Dopo l’installazione elimina il file install.php
  12. Imposta le chiavi segrete nel file wp-config, generale con questo tool e sostituisci le relative voci nel file originale
  13. Tieni aggiornato WordPress
  14. Scegli Temi e Plugin solo da fonti sicure, tienili aggiornati ed elimina ciò che non usi
  15. Disabilita l’editor di Temi e Plugin
  16. Nascondi la versione di WordPress

Ovviamente ci sarebbe da fare molto altro per proteggere il proprio sito e l’ideale sarebbe aggiungere delle regole nel file .htaccess

In alternativa vi sono tanti ottimi plugin che permettono di avere un sito più sicuro. Eccone un buon elenco:

TAC

Come detto dovresti sempre prendere da fonti attendibili il tuo tema, detto ciò, questo utile plugin ti aiuta a trovare codice malevolo o offuscato nei temi. Basta attivarlo e lui ti restituisce i risultati per tutti i temi installati.

Antivirus

Simile ai precedente permette di fare una scansione e analizzare regolarmente il tema in uso, tener lontano file dannosi e fare pulizia. Attenzione che, pur essendo affidabile, a volte segnala falsi positivi.

Exploit Scanner

Questo plugin ti permette di fare una scansione dei file del sito e trovare eventuali criticità, tipiche da intrusioni di hacker, in articoli/pagine e plugin. Se trova anomalie bisogna intervenire manualmente. Per questo è richiesta una certa conoscenza tecnica.

Hide WordPress Version

Questo plugin ti consente di nascondere la versione di wordpress

Login LockDown

Con questo puoi bloccare i tentativi ripetuti di accesso al sito (tipico negli attacchi brute force) bloccando automaticamente gli utenti che sbagliano tot tentativi.

Captcha

Utile per aggiungere un captcha matematico sull’area di login (e complicare la vita agli script). Oltre a proteggerti da potenziale spam solitamente inserito automaticamente dai robot nei commenti.

Security Scan

Ovvero un plugin piuttosto completo che ti permette di effettuare la scansione del tuo sito  e trovare eventuali criticità, file sospetti, problemi di sicurezza nel database, nei permessi di file e cartelle e propone soluzioni. Puoi cambiare il prefisso delle tabelle del database e molto altro.

AskApache Password Protect

Creare un doppio livello di protezione sull’area di login è straconsigliato. Askpassword ti consente di proteggere la directory wp-admin aggiungendo appunto un ulteriore richiesta di dati (oltre ai classici di login).

Plugin WordPress di protezione a 360°

Tutti quelli citati sopra coprono specifici problemi ma per non usare troppi plugin, quando possibile, meglio usare un unico plugin che copra tutte le problematiche.

I seguenti sono tutti plugin completi di protezione. Ovvero delle suite che contengono (quasi) tutto ciò che seve in un unica soluzione.

Better wP Security

Sicuramente uno dei più utilizzati e tra i migliori. Qui trovi un ottimo video dell’amico e collega Piero Mazzini

BulletProf Security

WordFence

All in One Security & Firewall

Controlla la “reputazione” del tuo sito

Plugin Sucuri

Sucuri una volta installato ti permette di verificare lo stato dei file del tuo sito. Verificare se sei stato inserito in qualche lista nera e molto altro.

Per verificare se il tuo sito è finito in una lista nera esistono tanti strumenti gratuiti sul web, questo è un ottimo sito:

Urlvoid

Il seguente è invece offre strumento con cui, oltre a poter verificare il sito, andando alla voce Recent Detections, vengono segnalati gli ultimi siti trovati ad alto rischio o con sospetti malware, virus e problemi simili.

Web Site Inspector

 

In Conclusione

Non aspettare che il tuo sito venga devastato, di trovarti la mattina col sito sparito o una bella comunicazione di Google che ti dice che sei bannato (quando te lo dice). Sempre meglio prevenire che curare, ricordalo, per evitare danni al sito e dover sostenere poi spese ingenti ma anche perché se arriva prima Google è già tardi…

Segui quindi almeno i semplici consigli che ti ho suggerito. Poi, se vuoi stare più tranquillo, prova WP Protezione+, ti risparmierai un sacco di tempo, soldi e guai.

Ovviamente questo non è certo un articolo esaustivo, ben venga un tuo contributo! 😉

4 commenti in “Come proteggere il tuo sito WordPress: 16 essenziali consigli, 13 ottimi Plugin e tool esterni…

Avatar image
Josè 3:23

Ciao Marco,
complimenti per l’articolo… sono qui per la segnalazione che ha fatto Valerio Conti nella sua newsletter… 🙂
Ti segnalo che l’ultimo link, con la parola “WP Protezione +”, porta qui: http://marcoguglielmetti.it/bf/ che è una pagina non trovata 😉
1abbraccio
Josè

Avatar image
Marco 11:34

Ciao Josè,
grazie.

Comunque ho corretto ieri quel link e a me risulta ok.

Tu vedi ancora il link che non funziona???

Grazie ancora

A presto

Marco 😉

Avatar image
Josè 13:50

ora è ok! 😉

Avatar image

Bene, ciao Josè e grazie! 😉

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *