Come proteggere un blog wordpress da attacchi hacker, aumentare la sicurezza!E’ chiaramente impossibile prevenire completamente gli attacchi degli hacker, ma ci sono tante piccole operazioni che possono aumentare la sicurezza del tuo blog wordpress, riducendo al minimo la possibilità di subire il fastidioso inconveniente. Ecco le principali operazioni da compiere per proteggere il tuo amato blog wordpress!

BACKUP DEL BLOG

Iniziamo con la base, ovvero prima di ogni modifica è consigliabile fare un bel backup dei file che si andranno a modificare, così da evitare un infarto quando vedrai comparire una schermata bianca al posto del tuo blog.

VULNERABILITÀ DEL TUO COMPUTER

Un aspetto che molte persone sottovalutano è la vulnerabilità del computer dal quale accedono, anche solo per una volta, al blog. Assicurati che il PC sia privo di virus, spyware, malware e quant’altro… non ha senso proteggere il tuo blog se sul tuo pc c’è un keyloggerin grado di intercettare il tuo nome utente e password!

UTILIZZA PASSWORD MOLTO RESISTENTI

Come in ogni campo, la password è fondamentale, rendila più complessa possibile, soprattutto per gli utenti con il massimo dei privilegi come l’amministratore.
Ecco come scegliere una password sicura:

  • lunghezza di almeno 8 caratteri alfanumerici, ovvero sia lettere che numeri, magari mixando anche maiuscole con minuscole.
  • non deve contenere il nome utente associato, nè il nome o cognome della persona stessa
  • evitare di utilizzare parole di senso compiuto, come compleanno88, piuttosto usarec8eanmopl8no
  • utilizzare caratteri speciali come # @ ! ?
  • utilizzare software per generare password sicure, ad esempio IOBit
  • non utilizzare come password le date, password di soli numeri, o di nomi reali

Consiglio inoltre di:

  • evitare di salvare automaticamente le password sul computer tramite i browser
  • non salvare la password nel computer
  • sarebbe buona norma anche proteggere l’accesso al nostro pc tramite una password molto sicura

ELIMINA L’UTENTE ADMIN

L’account Admin è l’utente standard che viene creato ad ogni installazione di WordPress, per cui l’hacker può conoscere facilmente il nome utente e concentrarsi solo sulla password (per di più accederà direttamente come amministratore!).
Aggiungi un nuovo utente (deve avere il nome-utente diverso dal nome che faremo visualizzare nel blog), assegnali il permesso di Amministratore. Fai il logout e accedi con le credenziali del nuovo utente. Elimina l’utente Admin e assegna al nuovo utente tutti gli articoli di Admin seguendo le istruzioni a video.

CAMBIARE IL PREFISSO DELLE TABELLE DEL DATABASE

Anche qui wordpress pecca un pochino, nel senso che di default, le tabelle hanno il prefisso wp_ … così l’hacker è più facilitato nel suo sporco lavoro. Dagli filo da torcere, cambia il prefisso, ad esempio mettendo tab_wp_X con X l’iniziale del nome del blog. Ma come fare?
A tal proposito ci viene in aiuto un ottimo plugin, wp security scan, che in un solo click, ci permette di effettuare questa modifica (nella sezione Database).

ELIMINARE GLI ACCOUNT DEGLI UTENTI INATTIVI

Se si è lasciata la possibilità di iscriversi al blog, ti sarà sicuramente capitato di avere nuovi utenti registrati… qui nasce il problema, spesse volte questi utenti utilizzano un nome utente e password molto semplici (per non dire la stessa accoppiata utilizzata in tutto il web). Così facendo gli hacker potrebbero entrare facilmente nel tuo blog, ed in qualche modo creare problemi. Cancella gli utenti inattivi e imposta una politica di creazione delle password più severa, magari tramite un semplice plugin come Login Lock che proporrò anche successivamente.

LA SICUREZZA DEL FILE WP-CONFIG.PHP

Il file wp-config.php è importantissimo, ha il compito di contenere tutte le password di accesso ai database, quindi dovrai proteggerlo al massimo!
Basta aggiungere al file .htaccess le seguenti righe di codice, e l’accesso al file verrà negato a chiunque:

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

IMPEDISCI L’INDICIZZAZIONE DELLE CARTELLE WP-

Gli spider scandagliano tutte le pagine del tuo blog per eseguire l’indicizzazione delle stesse… ma avere indicizzate pagine importanti come quelle in wp-admin, wp-content e wp-include, non è una bella cosa!
Per cui devi dire subito agli spider di non indicizzare tutta la cartella admin, come?
Inserisci nel file robots.txt la seguente riga (il file di robots, lo puoi creare automaticamente negli strumenti per webmaster > Configurazione sito > Accesso crawler ):

Disallow: /wp-*

LIMITARE IL NUMERO DI TENTATIVI DI LOGIN NON RIUSCITI SU WORDPRESS

Login Lock limita la possibilità ad un utente di provare e riprovare ad accedere al blog tramite il classico login. Dopo N tentativi falliti in X minuti, verrà bloccato l’indirizzo ip dell’utente per Y minuti. Ottimo per evitare attacchi di hacker tramite Brute Force Attack (attacco di forza bruta, ovvero provare infinite password finchè non si trova la corretta corrispondenza col nome utente).

AGGIORNA SEMPRE WORDPRESS

Tieni per quanto possibile il tuo blog sempre aggiornato all’ultima versione disponibile in quanto vengono spesso apportate modifiche e/o correzioni per migliorare la sicurezza del blog. Per la versione in italiano consiglio la community italiana di WP, per la versione in inglese WordPress.org.

ELIMINARE LA STRINGA DI VERSIONE DI WORDPRESS

Attualmente con la versione 3.2.1, non ho trovato la versione di wordpress nel sorgente, per cui chi ha versioni >= 3.2.1 salti questo punto.
WordPress aggiunge in automatico la versione attualmente installata, informazione che può essere utilizzata dall’hacker per capire come e dove è vulnerabile il blog.
Per eliminarla, tutto ciò che devi fare è aggiungere questo codice nel file functions.php del tuo tema Aspetto > Editor > functions.php :

<? php remove_action ('wp_head', 'wp_generator')?>

Ora controlla il sorgente del tuo blog (clicca col pulsante destro del mouse sulla home del tuo blog, poi scegli HTML oppure Visualizza sorgente pagina), se la versione è ancora presente, cerca ed elimina nel file header.php questa stringa:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

PERMESSI DELLE CARTELLE E FILE

I permessi dei file devono essere i più stringenti possibili quindi cerca dove è possibile di dare permessi 644. Ti propongo un ipotetico schema di permessi, che va adattato da blog a blog.

  • /   :la root della directory di WordPress, tutti i file dovrebbero essere scrivibili solamente da te, tranne .htaccess che deve essere scrivibile anche da WP stesso (per il mod_rewrite).
  • /wp-admin/ : area di amministrazione, tutti i file dovranno essere scrivibili solamente da te.
  • /wp-includes/ : area di inclusioni file di WP, tutti i file dovranno essere scrivibili solamente da te.
  • /wp-content/ : area dedicata agli utenti, con tutto il contenuto che interessa all’utente, tutti i file dovranno essere scrivibili da tutti gli utenti
  • /wp-content/themes/ : cartella dei temi, se possono modificare il tema più utenti, allora devi aprire i permessi a tutti (group), altrimenti i file dovranno essere scrivibili solamente da te.
  • /wp-content/plugins/ : cartella dei plugin, tutti i file dovranno essere scrivibili solamente da te.

In generale posso consigliarti di dare ai file i permessi 644, mentre alle cartelle i permessi 755.
Inoltre se sei su un server condiviso, è bene dare al file wp-config.php permessi 644, che significa che nessun altro utente può leggere le tue password per accedere ai database.
Impostare determinati permessi può comportare il non corretto funzionamento di alcuni plugin; in questo caso poni i file dei plugin a 755.
Come cambiare i permessi? Utilizza FileZilla per accedere via FTP, poi basta cliccare col destro sul file o cartella e scegliere Impostare permessi…

PLUGIN CONSIGLIATI DA ME

Ecco un post dove mostro pochi ma fondamentali plugin per proteggere il tuo blog da virus, malware e attacchi da parte di hacker.

BACKUP PERIODICO DI FILE E POST

Consiglio di effettuare un periodico backup dell’intero blog wordpress, sia dei file fisici che dei post, in maniera tale da essere sempre coperti in caso di danneggiamento di file da parte di intrusioni esterne,

FAI UN BREVE CONTROLLO

Infine, controlla immediatamente se il tuo blog è colpito da qualche problema tramite ilSucuri check.
Per il futuro, puoi controllare periodicamente il numero di pagine trovate dagli spider di google, digitando nel motore di ricerca site:www.nomesito.it . In questo modo vedrai più o meno quante pagine ha il tuo blog, così se qualcuno creerà molte pagine spam, te ne renderai subito conto.