Usare un CMS come WordPress consente di ottenere un sito ricco di funzionalità e livelli d’interazione estremamente avanzati; di contro la complessità apre la strada a vulnerabilità dei sistemi che possono portare a maggiori intrusioni dall’esterno. Ogni giorno infatti nuovi attacchi cercano di accedere ai file che controllano il tuo sito per danneggiarlo o per rubare dati, anche personali e sensibili.
WordPress è il CMS più usato al mondo e per questo è probabilmente il più esposto agli attacchi informatici. Come fare quindi per migliorare la sicurezza di WordPress senza rinunciare a tutti i vantaggi che offre?
Premetto che questo articolo è un po’ tecnico quindi è rivolto a chi ha già dimestichezza con i sistemi informatici e le loro configurazioni. Se non hai competenze tecniche ti consiglio quindi di rivolgerti ad un professionista che possa:
- verificare lo stato di sicurezza del tuo sito
- consigliarti il piano di hosting più adatto
- aiutarti nella configurazione del servizio e nella gestione periodica.
La scelta del servizio di hosting del sito
Uno dei primi aspetti da considerare per la sicurezza di WordPress è la qualità del servizio di hosting.
Affidati quindi a un’agenzia di hosting in cui è chiaro che l’attenzione alla sicurezza è un elemento importante della politica aziendale. Io mi affido a Vhosting, un’agenzia che presta molta attenzione alla sicurezza, oltre alla velocità e affidabilità dei sistemi.
Un altro consiglio: prima di scegliere un piano, verifica con attenzione quali configurazioni puoi fare direttamente dal tuo pannello e quali puoi chiedere al gestore. Naturalmente più sei libero di agire direttamente più sarai in grado di personalizzare le varie opzioni in base alle reali esigenze del sito.
18 configurazioni da fare per la sicurezza di WordPress
Quando hai attivato il tuo piano di hosting e installato il sito puoi procedere con le configurazioni e i controlli di sicurezza. I controlli di sicurezza di cui devi tenere conto sono moltissimi. Tra questi ti parlerò dei 18 aspetti che considero più rilevanti.
1. Permessi per file e directory
Un CMS contiene decine di cartelle che è importante proteggere per evitare che un attacco informatico possa copiarvi dei file malevoli.
Per proteggerle occorre impostare i permessi di accesso corretti: 644 per i file, 755 per le cartelle e 600 per il file wp-config.
Se non sono impostati in questo modo, questi file possono essere usati per danneggiare il tuo sito.
2. Chiavi di sicurezza
WordPress utilizza delle chiavi di sicurezza, memorizzate nel file wp-config, per garantire una migliore crittografia dell’informazione.
Un’ottima chiave di sicurezza deve essere lunga almeno 60 caratteri e deve contenere caratteri casuali, alfanumerici e numerici, sufficientemente complessi.
Una chiave più semplice rende il sistema vulnerabile.
3. Permessi per l’esplorazione di directory
Se l’esplorazione di directory è attivata, gli hacker possono ottenere informazioni sul tuo sito, come ad esempio quali plugin stai utilizzando.
Solitamente questa funzione è disabilitata in modo predefinito ma è sempre meglio verificare.
4. Sicurezza delle cartelle wp-includes, wp-content/uploads
In questo caso si tratta di verificare che l’esecuzione dei file PHP nelle cartelle wp-includes, wp-content/uploads sia vietata.
La cartella può contenere file PHP non sicuri che potrebbero essere utilizzati per danneggiare il tuo sito.
5. Sicurezza del file di configurazione
Il file wp-config contiene informazioni vitali per il sito. Se, per qualche motivo, l’elaborazione dei file PHP dal server web viene disattivata, gli hacker saranno in grado di accedere al contenuto di questo file.
Il controllo di sicurezza verifica quindi che l’accesso non autorizzato al file wp-config sia bloccato.
6. Disattiva concatenazione di script per il pannello dell’amministratore WordPress
Questa misura di sicurezza disattiva la concatenazione di script in esecuzione nel pannello dell’amministratore di WordPress, difendendo il tuo sito Web da alcuni attacchi DDoS.
7. Disattiva pingback
Tramite i pingback altri siti WordPress possono lasciare commenti automaticamente sotto i tuoi post.
Disattivando i pingback XML-RPC per l’intero sito web WordPress, i malintenzionati non potranno più sfruttarli per lanciare attacchi DDoS.
8. Protezione hotlink
Impedisce ad altri siti Web di visualizzare, collegare o incorporare le tue immagini. Questa pratica si definisce “hotlinking” ed è in grado di esaurire rapidamente la larghezza di banda e rendere il tuo sito non più disponibile.
9. Disattiva linguaggi di scripting inutilizzati
Disattivando il supporto dei linguaggi di scripting non utilizzati da WordPress, come Python e Perl assicuri che il sito web non possa essere compromesso sfruttando le vulnerabilità di questi linguaggi.
10. Disattiva esecuzione PHP nelle directory della cache
Se un file PHP compromesso riesce a entrare in una delle cartelle della cache del tuo sito, la sua esecuzione può danneggiare l’intero sito.
11. Disattiva modifica dei file nella Dashboard di WordPress
Nel caso in cui un account di Amministrazione sia compromesso, questa misura gli impedisce di aggiungere facilmente codice eseguibile nocivo a plugin e temi.
12. Prefisso tabella del database
Consiste nel verificare che il prefisso dei nomi delle tabelle del database sia diverso dal prefisso standard wp_.
Se utilizzi il prefisso standard infatti è più facile conoscere con precisione l’intera struttura del database. Il prefisso va quindi modificato e questo avviene in modo che tutto funzioni senza problemi.
13. Protezione da bot
I bot sono dei programmi automatici che eseguono la scansione del tuo sito alla ricerca di vulnerabilità. Spesso causano un sovraccarico di richieste e quindi un utilizzo eccessivo delle risorse Questa protezione mette al sicuro il tuo sito web da bot inutili o dannosi.
14. Blocca l’accesso a file sensibili
Questa misura protegge determinati file che possono contenere dati sensibili quali credenziali di connessione o varie informazioni che possono essere sfruttate o rubate.
15. Blocca l’accesso a file potenzialmente sensibili
Questa misura di sicurezza impedisce l’accesso pubblico a determinati file come i file di registro, gli script della shell e altri file eseguibili che potrebbero essere sfruttati per compromettere la tua istanza di WordPress
16. Blocca l’accesso a .htaccess e .htpasswd
Questa misura protegge l’accesso a questi due file in modo da impedire agli hacker di attaccare il tuo sito con una varietà di exploit e violazioni di sicurezza.
17. Blocca scansioni degli autori
L’obiettivo di queste scansioni è trovare nomi utente di utenti registrati (in particolare dell’amministratore di WordPress) e scatenare attacchi per accedere al tuo sito web tramite la pagina di login.
Questa misura di sicurezza impedisce quindi alle scansioni di apprendere i nomi utente.
18. Nome utente dell’amministratore
Tutti i malintenzionati sanno che il nome predefinito dell’utente amministratore è ‘admin’, in questo caso non resta che indovinare la password per poter accedere al sistema come amministratore. Viene creato un nuovo utente con nome di login e password casuali e lo stesso profilo e proprietà dell’amministratore attuale che viene rimosso.
Ricorda quindi di cambiare sempre il nome di default dell’amministratore del sito.
Una modifica questa, che puoi fare dal pannello di WordPress e non da quello del servizio di hosting, ma che vale comunque la pena evidenziare,
Conclusione
Come hai letto in questo articolo, le configurazioni di cui tenere conto sono numerose e tutte molto importanti per aumentare la sicurezza di WordPress.
Per i miei clienti mi affido da anni a un’azienda che ha nella sicurezza uno dei suoi punti di forza.
Se hai un sito WordPress o ti occupi di web design e preferisci delegare gli aspetti più tecnici di gestione del CMS, contattami per un preventivo di gestione del servizio di hosting.
Il mio lavoro consiste infatti nel gestire lo spazio web che ospita il sito, così non dovrai preoccuparti degli aggiornamenti di sistema e del backup dei dati.
Per saperne di più visita la pagina del servizio di hosting gestito.