Quando si crea un blog con WordPress è bene curare molto attentamente la sicurezza del proprio blog in modo da evitare brutte sorprese. WordPress infatti detiene il triste record di essere uno dei CMS più colpiti da attacchi di hacker e spam, ma come possono fare gi utenit meno esperti a proteggere WordPress da questi pericoli?
Esistono molti modi per rendere il proprio blog più sicuro ed eccone alcuni che considero i migliori.
Attacchi Bruteforce
Mai usare lo username “Admin”
Quando si installa WordPress un errore comune è quello di dare al profilo di amministrazione definito durante l’installazione il nome admin, questa è la cosa peggiore che possiate fare!. Un attacco molto comune usato per trovare le credenziali di amministratore sono gli attacchi Bruteforce. Questo attacco solitamente automatizzato tenterà di crakkare le vostre credenziali semplicemente provando varie combinazioni di username e password e indovinate quale nome utente questo bot cercherà per primo? Ovviamente admin.
Per quanto siano fastidiosi questi attacchi proteggersi è molto semplice.
Prima di tutto durante il processo di installazione non usate uno username comune come Admin,Amministratore ecc ma un nome utente casuale dopodiche una volta che entrate nella sezione admin di WordPress, appena finita l’installazione create 2 nuovi utenti. Uno con i poteri di admin ed un nome casuale come ad esempio lklkjiu33 ed un altro che utilizzerete per pubblicare gli articoli, rispondere ai commenti e così via con poteri di editor. Dopodiche accedete nuovamente alla sezione admin, questa volota utilizzando il profilo di amministrazione creato in precedenza, ed eliminate il profilo admin creato durante l’installazione. Una volta fatto ciò ricordatevi di pubblicare sempre gli articoli utilizzando il profilo Editor e mai il profilo di amministratore questo renderà più difficile il lavoro a coloro che tentano di rubarvi le credenziali.
Usare password complicate
Anche questo passo è fondamentale per proteggersi dagli attacchi bruteforce, infatti se malauguratamente i cracker fossero riusciti a trovare il vostro nome utente dell’account di amministrazione usare password molto complicate può rendergli il lavoro più difficile. Quindi quando create una password non pensate a quanto sia facile da ricordare ma piuttosto a quanto sia sicura, password come 01234 o banana è un invito a farsi crakkare. Una buona password deve avere una lunghezza media di almeno 10 caratteri ed utilizzare lettere maiuscole,lettere minuscole numeri e possibilmente caratteri speciali come ad esempio !$&; un esempio di buona password è questo ASyre33$$rs5. Ovviamenete questa regola non vale solo per l’account amministratore ma anche per tutti gli altri account!
Limitare i tentativi di login
Come già detto in precedenza questo tipo di attacco prova in modo automatico ad accedere alla sezione admin di WordPress inserendo credenziali casuali quindi un ottimo modo per proteggersi è limitare i tentativi di login. Sul sito ufficiale di WP sono disponibili tantissimi plug-in che offrono questa funzionalità, il più semplice da utilizzare per questo scopo è sicuramente Login LockDown
Spam
Una altra piaga che colpisce WordPress è lo spam nei commenti e non solo, infatti una tecnica molto utilizzate per creare backlink con tecniche black hat è quella di “spammare” i blog / siti altrui con il proprio link (mossa poco intelligente Google si è fatto furbo). Anche qui esistono vari modi per proteggersi.
Disattivate la registrazione
Primo passo da fare è sicuramente quello di disattivare la registrazione. Se non avete esigenze particolari che richiedono la registrazione degli utenti come sezioni private e via dicendo, la cosa migliore per abbattere lo spam in modo drastico ed evitare di riempire il database di utenti finti, è disattivare la registrazione. Infatti molti bot ancora prima di postare il loro inutile commento tentano di registrarsi al sito e quando il tentativo va a vuoto una grossa percentuale di loro “esce” dal sito.
Usare Cloudflare
Non smetterò mai di consigliarlo, Claudflare non solo rende il sito molto più veloce ma permette di creare un vero e proprio muro contro i vari attacchi di DDos e spam. Infatti questo servizio utilizza diversi tipi di filtri per ridurre al minimo il pericolo di subire una valanga di spam. Questi filtri inoltre sono abbastanza personalizzabili secondo le proprie esigenze ed è gratis 🙂
Link Nofollow
<a href="https://sito1234.com" rel="nofollow">Testo</a>
Se anche dopo tutti questi accorgimenti continuate ad avere problemi di spam un ottimo modo per scoraggiare gli eventuali spammer è quello di utilizzare l’attributo nofollow per i link. Questo attributo renderà praticamente invisibili i suddetti link ai crawler dei vari motori di ricerca.
Plug-in
Sul sito ufficiale di WordPress ovviamente non mancano una valanga di plugin contro lo spam ma state attenti, molti di questi oltre che essere un deterrente per i bot è un deterrente anche per gli utenti. Il mio consiglio è di evitare assolutamente i plugin captcha ovvero quelli che obbligano l’utente che vuole commentare ad inserire un codice, questo perché può essere molto fastidioso e far rinunciare l’utente a commentare. Io personalmente vi consiglio questo plugin.
Tentativi di Hacking
Leggendo i log del vostro sito/blog può capitare di trovarsi di fronte a visite insolite ovvero visitatori che non cercano pagine del vostro sito ma cartelle specifiche come quelle di Phpmyadmin oppure file di WordPress. Questi sono chiari tentativi di scovare file vulnerabili per poter danneggiare il vostro blog, a mio avviso sono la minaccia peggiore tra le 2 citate prima; lo spam e gli attacchi bruteforce sono molto semplici da contrastare anche perchè sono eseguiti quasi sempre in automatico da bot. I tentativi di intrusione sono spesso eseguiti da persone abbastanza esperte quindi non basta un captcha per fermarli.
Tenere SEMPRE aggiornato il sito
Un buon modo per ridurre le possibilità di avere “falle” nel sistema è quello di tenere aggiornato costantemente WordPress e i suoi plugins. Infatti è molto importante aggiornare entrambi perchè con ogni aggiornamento vengono risolti problemi di sicurezza anche molto importanti.
Permessi FIle
Impostare correttamente i permessi dei file contenuti sul proprio server è molto importante perché attraverso i permessi CHMOD è possibile limitare la compromissione dei file. Questi permessi ovviamente dipendono dalle vostre esigenze esitino plugins che magari richiedono permessi più elevati di altri come ad esempio la possibilità di modificare il file .htaccess. Quindi non mi sento di consigliarvi con esattezza quali permessi utilizzare per file e cartelle perchè questo potrebbe compromettere il funzionamento del vostro sito. E’ bene ricordare che più questi permessi sono restrittivi meglio è, in particolare per la cartella wp-admin e il file chiave di WordPress come il file wp-config.php (dove risiedono le credenziali per la connessione al database) e il file .hataccess.
Bloccare il traffico
Sebbene molti la considerino una misura drastica molto spesso questa è la migliore soluzione al problema. La maggior parte degli attacchi hacker e non solo viene da paesi come la Cina,Russia e Ucraina e bloccare l’accesso al sito a questi paesi a volte può rivelarsi un toccasana per il vostro blog.
Non dimenticarsi file di backup
Utenti inesperti che magari pensano che tenere i file di backup del database sul server sia un ottimo modo per conservarli è un errore che spesso può essere fatale. Infatti una delle prime cose che viene cercata da chi vuole “espugnare” il vostro blog sono file come dump.sql backup.sql e così via e anche se pensate che cambiando il nome si risolva il problema non è così. Quindi è IMPORTANTISSIMO non lasciare mai file di backup sul proprio server ma scaricarli sul proprio pc e conservarli.
Plugins
Esistono diversi plugin che permettono di proteggere il proprio sito da questo tipo di attacchi e di analizzare il traffico sul proprio blog.I più famosi che mi sento di consigliare sono BulletProof Security,Wordfence Security.
Conclusioni
Come sempre voglio ricordare che nulla sarà mai sicuro al 100%, se un craker esperto vuole “manomettere” il vostro sito prima o poi ce la farà ma se potete rendetegli la vita più difficile. Ovviamente esistono altri modi anche più efficaci di quelli elencati ma richiedono server dedicati o VPS, quindi non li ho elencati dato che questa guida voleva essere rivolta a tutti e la maggior parte degli utenti utilizza WordPress su shared hosting.In conclusione è bene ricordare che: WordPress pùo essere protetto finché si vuole ed essere un muro invalicabile, ma le fondamenta di questo muro sono il server e se il server non è aggiornato e impostato correttamente in modo da “respingere” attacchi diretti, è molto facile far crollare questo muro. Se avete altri buoni consigli lasciate un commento.