Il popolare sistema di gestione dei contenuti WordPress è ormai molto diffuso. In questo articolo vorremmo darvi alcuni consigli per rendere sicura la vostra installazione di WordPress.
A causa dell'elevata distribuzione di wordpress è purtroppo anche un bersaglio popolare per gli hacker e purtroppo si verificano anche attacchi automatici alle installazioni di WordPress dove si controlla se contengono lacune di sicurezza note.
È quindi molto importante che manteniate sempre aggiornato il vostro WordPress. Per l'uso professionale è anche ragionevole assumere un'agenzia per tenere aggiornato il WordPress e scegliere un webhoster che utilizzi anche un firewall per proteggere il sistema da attacchi conosciuti.
Abbiamo elencato i punti più importanti su come proteggere la vostra installazione di WordPress.
[tie_list type="checklist"]- Mantenere WordPress sempre aggiornato
WordPress non è solo un software per blog, ma può anche essere dotato di varie funzioni attraverso i cosiddetti plug-in, cioè le estensioni. Molti utenti utilizzano plugin e design speciali (temi) per i singoli siti web. Il problema principale degli attacchi è la mancanza di aggiornamento delle installazioni.
Suggerimento: per l'installazione di WordPress scegliete un web host con un'interfaccia di amministrazione che vi aiuti ad aggiornare WordPress e i plugin. Il nostro consiglio è l'utilizzo di Plesk come software di gestione.
Attivare l'aggiornamento automatico di WordPress.
Il software è quindi sempre aggiornato. Questo è possibile anche per molti Plusin.
Si consiglia di accedere regolarmente all'interfaccia di amministrazione di wordpress e di controllare lo stato attuale del software. WordPress mostra direttamente se sono disponibili aggiornamenti.
Più problematici sono i temi, cioè i disegni finiti che di solito contengono plus-ins a pagamento. Questi temi di solito non vengono installati automaticamente, ma devono essere aggiornati manualmente. Per fare questo, è necessario scaricare la versione corrente del tema dal produttore e copiarla nella directory dei temi. Dopo l'aggiornamento, di solito è sufficiente effettuare solo poche impostazioni nelle Amministrazioni dei Temi.
[tie_list type="checklist"]- Utilizzare connessioni criptate.
I dati di login di WordPress sono molto richiesti e possono essere facilmente spiati in una rete insicura, ad esempio se si accede a un WLan aperto in un ristorante o in un hotel.
Per questo motivo si dovrebbe sempre utilizzare un certificato per una homepage. È meglio scegliere un web host che possa creare un certificato per voi. Questo costa solo pochi euro all'anno per una protezione professionale della vostra installazione.
Assicuratevi sempre di avere un accesso criptato alla vostra installazione di WordPress tramite https://, nonché un accesso sicuro alla posta elettronica e, se necessario, un login FTP sicuro. Una volta utilizzata una connessione non criptata, si consiglia di cambiare immediatamente tutte le password.
[tie_list type="checklist"]- Salvare il file wp-login.php
Esiste anche la possibilità di rinominare la directory wp-admin, ma questo può portare a problemi con la funzionalità di WordPress. Il modo più semplice per proteggersi dalla maggior parte degli attacchi di forza bruta in cui le password sono semplicemente indovinate è quello di includere un codice nel file .htaccess. Questo può essere combinato bene con la protezione con password.
[tie_list type="checklist"]- Proteggete la vostra directory di amministrazione con una password.
Inoltre, è necessario proteggere questa directory con una password. Il vostro fornitore offre la possibilità di impostare la protezione degli elenchi per determinati elenchi. Proteggete la vostra directory di amministrazione con un nome utente e una password complicata, lunga almeno 12 caratteri e contenente caratteri speciali. Non scegliere mai password di soli 8 caratteri. Questi sono ormai generalmente considerati insicuri e di solito possono essere decifrati rapidamente, poiché sono stati precalcolati a seconda del tipo di crittografia.
Dopo la protezione con password, aprire il file .htaccess e inserire il seguente codice qui sopra
ErroreDocumento 401 "Bloccato
ErroreDocumento 403 "Bloccato
# Consente l'accesso ai plugin a admin-ajax.php nonostante la protezione con password
<Files admin-ajax.php
Ordine consentire, negare
Consentire da tutti
Soddisfare qualsiasi
In questo modo si garantisce che i plugin WordPress possano ancora richiamare i file.
[tie_list type="checklist"]- Utilizzare plugin e temi il più possibile utilizzati
I plugin sono di solito responsabili delle falle di sicurezza del vostro WordPress. I plugin e i temi sono piccoli pacchetti software forniti da fornitori terzi. In linea di principio l'idea è buona, ma ora ci sono molti fornitori dubbiosi e anche fornitori che semplicemente non hanno alcuna conoscenza e quindi creano software che contengono falle di sicurezza. Non c'è praticamente nessuna protezione contro questo per i profani. Si consiglia quindi di utilizzare solo plugin che sono stati installati molto spesso e che hanno una buona valutazione.
Non utilizzare temi gratuiti che si possono scaricare da qualsiasi sito web. Acquistate un tema, ad esempio presso Themeforest o Templatemonster, da un cosiddetto fornitore d'élite, ovvero da team di programmazione professionali che hanno generato un elevato fatturato.
Prestare attenzione anche alla data dell'ultima installazione. I fornitori che non aggiornano i loro plugin e temi o che hanno già interrotto lo sviluppo non sono raccomandati.
[tie_list type="checklist"]- Cancellare i temi e i plugin non utilizzati
Se il vostro sito web è pronto e volete iniziare, vi consigliamo sempre di eliminare completamente i plugin e i temi non utilizzati. Questo vale anche per i temi propri di WordPress che non possono essere rimossi facilmente. I possibili aggressori amano nascondere i loro file in queste directory standard, per cui si consiglia di cancellare completamente i file inutilizzati. È possibile farlo tramite l'interfaccia di amministrazione e, se necessario, anche tramite FTP. Basta cancellare le directory dalla directory dei temi che non si utilizzano.
[tie_list type="checklist"]Utilizzare un firewall applicativo
[/tie_list]Se possibile si dovrebbe utilizzare un firewall applicativo. Si tratta di un software che controlla ogni connessione e offre molte possibilità per prevenire potenziali attacchi.
Con molti provider ci sono opzioni gratuite come fail2ban (consigliato), mod_security WAF per bloccare gli attacchi noti o gli indirizzi IP dubbi. Con gli ambienti di hosting condiviso, cioè i piccoli account di hosting, questo di solito non è possibile perché ci sono troppe caratteristiche speciali che non possono essere impostate globalmente. Per un uso professionale, si consiglia in ogni caso di utilizzare un V-server gestito, quindi un ambiente separato solo per il tuo sito web.
Con alcuni fornitori premium potete anche utilizzare una soluzione firewall esterna per il vostro sito web. In questo caso sono adatti sistemi come Barracuda, Sonicwall o Imperva. Questi sistemi filtrano il traffico prima che raggiunga il server web e quindi bloccano la maggior parte degli attacchi. Una tale soluzione è relativamente costosa con 50-250 Euro al mese ed è adatta solo per uso professionale.
Conclusione: creare un sito web da soli è molto facile con WordPress. Anche l'aggiornamento automatico che molti webhosters offrono è utile rispetto ad altri sistemi di gestione dei contenuti. Se vi assicurate sempre che le estensioni siano aggiornate (almeno una volta alla settimana), non vi può accadere nulla di particolare.
Anche ciò che non costa nulla non è buono. Purtroppo, questo è vero per molti plugin e temi. Si prega di notare che molti truffatori infettano i temi con codice maligno e poi li distribuiscono gratuitamente come loro tema. Non appena avrete installato qualcosa di simile, il vostro sito web sarà utilizzato in pochissimo tempo per inviare Spam o abusa degli attacchi contro gli altri.
