Come rendere sicuro WordPress nel [2019 Guida]

Uno degli aspetti da non dimenticare è quello di rendere sicuro WordPress e proteggere il sito in WordPress da futuri problemi.

Uno degli aspetti che spesso si sottovaluta è la possibilità di essere hackerati visto il grande mare che è Internet, ma questo non vuole dire esserne immuni. Per questo motivo è necessario vedere quali sono i passaggi necessari per rendere sicura la propria installazione di WordPress.

Le basi da cui iniziare per proteggere il tuo sito wordpress

Per iniziare il tuo percorso su come mettere in sicurezza il tuo sito web devi partire dalla cosa più ovvia, ma fondamentale, tenere aggiornato WordPress, i plugin installati, anche quelli che risultano non abilitati, e il tema usato. Questo perché spesso gli aggiornamenti contengono anche correzioni di bug sulla sicurezza del software.

Statistiche delle infezioni sui CMS nel 2018

Wordrpress è la piattaforma più usata al mondo per creare siti web, pertanto, è anche quella più bersagliata dai virus. Questo grafico realizzato dal blog.sucuri.net mostra l’andamento crescente dal 2017 al 2018 del numero delle infezioni in base ai vari CMS.

Rendere sicuro WordPress. Grafico delle infezioni
Analisi Infezione CMS

Questo non implica che un CMS è instrisicamente più sicuro rispetto ad un altro, ma mostra la distribuzione delle infezioni in base alla popolarità della piattaforma.

Una cosa importante da tenere in considerazione è la scarsa propensione degli utenti a non aggiornare le proprie piattaforme, nonostante la disponibilità degli aggiornamenti messi a disposizione dagli sviluppatori, e che eviterebbe in questo modo il propagarsi delle infezioni.

Come rendere sicuro WordPress. La guida 2019

Ideare username e password di accesso che sono difficili da decriptare consenteno di incrementare la sicurezza della propria installazione, per questo motivo evita password di facile individuazione.

Gli 11 passi da seguire per avere un sito più sicuro sono i seguenti:

  • Utilizzo del protocollo HTTPS;
  • Modificare il prefix (prefisso) delle tabelle del database in fase di installazione di WordPress o successivamente tramite phpMyAdmin;
  • Disabilità l’editor interno di WordPress;
  • Disabilità indice della directory visualizzabile nel browser;
  • Generare nuove chiavi di sicurezza da inserire nel file wp-config.php;
  • Bloccare l’accesso al file .HTACCESS;
  • Bloccare l’accesso al file wp-config.php;
  • Bloccare l’accesso a file multipli;
  • Disattiva il protocollo XML-RPC;
  • Limita il numero dei tentativi di Login e abilitazione del logout dopo un certo lasso di tempo tramite plugin;
  • Disatttiva REST API.

Il protocollo HTTPS consente di inviare dati crittografati tramite la rete. Questa funzionalità deve essere fornito dal web hosting, pertanto accertati che il pacchetto che comprerai per ospitare il tuo sito web abbia questo requisito.

Rendere sicuro WordPress modificando il prefisso delle tabelle

Cambiare il prefisso tabella del database “wp_”, consente di proteggere il sito WordPress migliorandone la sicurezza.

Per questa ragione è consigliabile durante la fase d’installazione di WordPress modificare il prefisso di default della tabella personalizzandolo a tuo piacimento.

Come rendere sicuro WordPress tramite database
Rendere sicuro WordPress tramite modifica prefisso tabella

Per modificare il prefisso vai nel campo denominato “Prefisso tabella” e sostituisce “wp_” con il tuo prefisso. Questo renderà più difficile la violazione del database da parte degli hacker.

Disattivare l’editor per proteggere il sito in WordPress

Disabilitare l’editor di testo interno a WordPress serve ad evitare che persone non autorizzate possano accedere ai file di WordPress, oppure ai plugin di creare collegamenti verso script esterni dannosi.

La procedura da seguire è semplice, basta aprire con un editor di testo il file wp-config.php ed aggiungere la segunte riga: define(‘DISALLOW_FILE_EDIT’, true);

Rendere sicuro WordPress. Disabilitare editor
Proteggere il sito WordPress disbilitando l’editor.

A questo punto se andrai a vedere nel pannello gestionale di WordPress sotto la voce “Aspetto” noterai che non ci sarà più la scritta “Editor“.

Evita di mostrare la struttura del sito tramite il browser.

Un altro fattore che contribuisce a rendere sicuro WordPress è impedire la visualizzazione della struttura del sito (cartelle e file) tramite il browser a chiunque.

Digita il seguente url: “nomedeltuodominio.it/wp-content/uploads”.

Se otterrai un risultato simile a quello dell’immagine sottostante, allora, dovrai correre ai ripari.

Proteggere WordPress. Struttura sito
Struttura del sito

Prima di procedere a qualunque variazione su questo file è importante fare una copia di backup.

Per evitare che ciò accada, basta aggiungere al file .htaccess il comando “Options -Indexes“. Di solito questo file è posizionato nella cartella sul web hosting all’interno dell’installazione di WordPress

Una volta salvato il file con la modifica, potrai verificare il suo effetto richiamando nuovamente l’url della pagina.

Questa volta dovrebbe mostrare una magina web con la scritta “Accesso Negato“.

Le Secret Key

Un altro fattore da considerare per rendere sicuro WordPress è dato dall’utilizzo delle chiavi univoche di autenticazione e di salatura che sono facilmente generabili tramite il tool online che WordPress mette a disposizione tramite il link SecretKey. Il contenuto va copiato all’interno del file “wp-config.php“.

sicurezza WordPress chiavi univoche
La salaura delle chiavi WordPress

Modificare peridicamente le chiavi univoche consente di annullare i cookie di autorizzazione per l’accesso alla sezione di Login di WordPress costrigendo gli utenti ad una nuova autenticazione.

Questo passaggio diventa necessario quando si sospetta che vi sia stata una breccia nella sicurezza e l’hacker abbia avuto accesso agli account.

Per rendere più efficace la difesa ti consiglio di cambiare queste chiavi periodicamente.

Bloccare l’accesso al file HTACCESS

Per rendere più sicuro WordPress è necessario anche evitare accessi non autorizzati al file .HTACCESS, basta copiare all’interno del file in questione il seguente comando:

<Files .htaccess>order allow,deny deny from all</Files>

Ti ricordo di fare una copia di sicurezza del file prima di procedere con le variazioni

Come mettere in sicurezza il file wp-config.php

Questo file risulta molto importante a livello di sicurezza per il database poiché vi sono inseriti i dati di accesso.

Per evitare che il file sia compromesso è necessario aggiungere al file .htaccess, dopo previa compia di sicurezza, il seguente comando:

<Files wp-config.php> order allow,deny deny from all </Files>

Per bloccare file multipli

La procedura prevede il blocco tramite il file .htaccess, basta copiare questo comando all’interno del file. In questo modo bloccherà tutti i file con le diverse estensioni indicate fra le parentesi tonde.

<FilesMatch ".(ico|pdf|flv|mp3|mpg|mp4|mov|wav|wmv|swf|css|js)$">Order Allow,DenyDeny from all</FilesMatch>

Bloccare il file XMLRPC

Anche questo protocollo può essere usato per aprire una breccia nella sicurezza.

Per bloccare questa porta di accesso è sufficiente copiare il codice sottostante nel file .htaccess.

<Files xmlrpc.php> order allow,deny deny from all </Files>

Questo protocollo svolge diverse funzioni fra cui l’invio dei ping per segnalare ai vari servizi la pubblicazione di un nuovo post, inoltre è adoperato anche da alcuni plugin.

Questo significa che potrebbe non essere possibile disabilitarlo se si vuole continuare ad usare alcune funzioni o servizi.Maggiori dettagli li puoi trovare sul Codex di WordPress

La sicurezza sul file di login per l’accesso a WordPress

Un altro aspetto da considerare per rendere sicuro WordPress è la pagina di accesso per l’amministratore/utenti che è raggiungibile di default dal seguente Url: nometuodiminio.it/ wp-login.php.

Per modificare il percorso e crearne uno personalizzato puoi chiedere aiuto a “Sicurezza Wp“, un plugin dedicato alla sicurezza di WordPress che integra anche altre funzioni, come limitare il numero di tentativi per il login, che consente di proteggersi dai tentativi di indovinare la username e la password di accesso con un attacco di tipo “Brute Force“.

Il software permette di impostare, inoltre, un tempo di logout e di disabilitare i protocollo XML-RPC. Il plugin integra anche un Firewall e tante altre funzioni.

Bloccare REST API

Un altro sistema che può mettere in pericolo la tua installazione è dato dalle REST API che sono utilizzate da WordPress e in parte anche dai plugin, pertanto il supporto tecnico sconsiglia di disabilitarlo.

Le API possono essere richiamate in modo anonimo da chiunque essendo pubbliche, basta digitare il nome del tuo dominio seguito da wp-json/wp/v2/users. Esempio: www.tuodominio.it/wp-json/wp/v2/users.

Da come puoi vedere dall’immagine sottostante, alla voce link vedrai posto alla fine dell’url il nome dell’autore,admin“, che corrisponderà alla mia username per accedere a WordPress.

Proteggere sito WordPress REST API
Proteggere sito WordPress. REST API in chiaro

Per risolvere questo problema il supporto tecnico di WordPress ha fornito una soluzione che non dovrebbe creare problemi nel normale utilizzo del CMS, cioè di acconsentire l’accesso alle API solo agli utenti loggati.

Per implementare questa funzione basta copiare nel file “function.php” della template child il codice sottostante.

add_filter( 'rest_authentication_errors', function( $result ) { if ( ! empty( $result ) ) { return $result; } if ( ! is_user_logged_in() ) { return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) ); } return $result; });

Si usa il file del template figlio per evitare che futuri aggiornamenti di WordPress o del tema padre possano cancellare il codice.

In questo modo chi non è iscritto al sito come utente non è in grado di visualizzare il contentuto della schermata precedente.

La nuova pagina web mostrerà invece un avviso per gli utenti non loggati

Proteggere sito WordPress API
REST API Blocco

Se non si fa questo un qualunque hacker si ritrova già metà del lavoro fatto.

 
La tua iscrizione non può essere convalidata.
La tua iscrizione è avvenuta correttamente.

Non ti dimenticare di…

abbonarti gratuitamente per restare aggiornato sulle nuove pubblicazioni e scaricare la guida su (cosa fare dopo l’installazione di WordPress) alla fine della procedura d’iscrizione.

Ti consiglio di leggere l’articolo riguardante la guida su come adoperare WordPress per avere una panoramica di tutte le sue funzioni.

Fonte del grafico

Se vuoi aggiungere altre informazioni al post oppure porre domande usa la sezione dei commenti.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

YouTube
RSS