Come migliorare la sicurezza di WordPress
Oggi voglio darti tre consigli per migliorare in pochi minuti la sicurezza del tuo sito WordPress.
Questo articolo prende spunto da una vicenda che mi è capitata recentemente, quando un mio sito ha subito un attacco da parte di qualcuno non meglio identificato che ha provato a forzare l’accesso al backend di WordPress. Qualcuno del Texas a giudicare dall’ip, ma potrebbe anche aver usato un proxy.
Inoltre, è notizia di qualche settimana fa, la scoperta della vulnerabilità nel codice di molti temi e plugin di WordPress1
Questi tre consigli sono facili da mettere in pratica da subito, e già da dopo (se non addirittura durante) la lettura di questo articolo potrai migliorare di molto la sicurezza dei tuoi siti. Cominciamo.
Scegliere un hosting discreto
Chiaro che se il tuo hosting costa 10 euro l’anno non puoi pretendere la stessa garanzia di sicurezza che ti da un hosting più affidabile da 100€. Di solito, questi hoster riempiono i server con migliaia di siti, e se anche uno solo di questi siti ha una falla anche il tuo sito è esposto.
Molto fa la serietà di queste aziende perché se sono brave, anche se costano poco, sì comportano comunque in modo intelligente senza zeppare i server.
Prima di scegliere un hosting economico è buona norma leggere sempre in giro qualche recensione a riguardo. Ad esempio puoi leggere la mia recensione di ServerPlan, il mio hosting, anche se non rientra nella categoria degli hoster economici.
Su certe cose non bisognerebbe comunque risparmiare, perché poi le conseguenze sono care, specie se non fai backup costanti. E se poi il sito è quello di un tuo cliente? Che figura ci fai?
Usare WordFence Security
Questo plugin può sembrare banale ma aumenta di molto la sicurezza del sito. Se qualcuno cerca di accedere ripetutamente dal tuo backend te lo segnala via email, e tu puoi agire di conseguenza, bannando l’ip da cPanel come prima cosa, se posso dare un suggerimento.
Questo plugin migliora la sicurezza di wordpress in modo evidente diminuendo le possibilità di fare login fasulli e molto altro ancora, ed è quindi indispensabile in ogni nuova installazione di WordPress, ma anche per tutti i siti già esistenti che ancora non lo usano.
Inoltre, ciliegina sulla torta, è gratuito.
Utilizzare nomi e password non banali
Utilizzare nomi come “admin” e così via è il modo più facile per crearsi dei grossi problemi. Fortunatamente esistono programmi come 1Password (anche per Windows) che aiutano a creare e memorizzare le password dei propri siti.
Questa gif mostra chiaramente quanto una buona password possa fare la differenza:
Certo è comodo usare sempre le stesse password, ma è anche un comportamento molto pericoloso, perché un potenziale malintenzionato può fare il bello e il cattivo tempo se trova la tua unica password, e il tuo sito diventa l’ultima delle preoccupazioni, pensa all’online banking, la password di Amazon e così via.
Io consiglio 1Password perché lo utilizzo da anni su Mac e devo dire che mi trovo davvero bene. Per svariati motivi sto utilizzando anche un terminale con Windows, e sebbene la versione del programma non sia bella e funzionale come quella del Mac fa comunque il suo lavoro.
Potrai avere il sito meglio protetto con tutte le sicurezze migliori, ma se lasci la porta di ingresso aperta i ladri entrano comodamente.
- Security Advisory: XSS Vulnerability Affecting Multiple WordPress Plugins, Daniel Cid, 20 Aprile 2015. ↩