Mettere in sicurezza il proprio sito o blog WordPress, e in generale di qualsiasi altro CMS (Content Management System), consente di proteggerlo da eventuali attacchi evitando la perdita di dati, tempo e soldi e di migliorare il posizionamento dei contenuti nei risultati di ricerca dei motori.
Premetto di non essere un’esperta in materia, ma avendo un blog da quasi due anni, mi sono dovuta premunire proprio allo scopo di proteggerlo e pertanto condivido questi consigli base per mettere in sicurezza il proprio sito WordPress.
Capitoli del post
Blog WordPress – Backup e aggiornamenti regolari
Il primo consiglio è quello di tenere sempre aggiornata la versione del CMS che stiamo usando e dei plugin installati a ogni nuovo rilascio. Infatti, l’ultimo update contiene la risoluzione di bug e falle di sicurezza presenti in precedenza che un eventuale cracker (criminali informatici) potrebbe conoscere e usare contro di noi.
Prima di eseguire l’aggiornamento del sito al nuovo CMS, soprattutto se si tratta di una “major release“, è consigliabile fare un backup completo del sito.
Per il backup periodico del tuo sito puoi installare dei programmi che lo facciano in automatico e richiedere il servizio di archivio settimanale e giornaliero al tuo fornitore di hosting.
Tuttavia, è sempre consigliabile eseguire un backup manuale mensile e salvare tutti i dati in locale o su una memoria esterna.
Backup procedura
Puoi procedere manualmente con:
- l’esportazione da WordPress di tutti gli articoli, le pagine, i commenti, i campi personalizzati, i termini, i menu di navigazione e gli articoli personalizzati, attraverso l’opzione “Esporta” dentro Strumenti che trovi nella spalla sinistra del menù. In genere, lascio selezionata l’opzione “Tutti i contenuti”;
- l’esportazione del database MySql. Semplicemente collegati alla pagina relativa al servizio MySql del tuo fornitore con i dati di accesso e scarica il relativo archivio del tuo sito.
- il backup della cartella www del tuo sito tramite accesso FTP del tuo fornitore di hosting.
Dopo aver aggiornato i plugin, verificandone la compatibilità con la nuova versione del CMS, dalla dashboard puoi procedere con l’aggiornamento.
Se hai fatto delle modifiche al tema (lato php, css), ti conviene creare un Tema Child, che eredita tutte le caratteristiche del genitore, e personalizzare il file “style.css”, così non perderai i cambiamenti fatti una volta che avrai aggiornato il tema padre.
Non tenere “admin” nel percorso al pannello di accesso del tuo CMS
I maggiori attacchi da parte dei cracker avvengono usando come url questo tipo: iltuosito/wp-admin o tuosito/wp-login, e come username di accesso la parola “admin”, provando una serie di combinazioni per la password. Il secondo consiglio è di cambiare il percorso di accesso e di usare una password complessa, che puoi generare attraverso servizi gratuiti automatici.
Per cambiare l’utente admin, invece, entra in WordPress e clicca su “Profilo”, voce presente nella spalla sinistra del menù, poi su “Nuovo utente”. Inserisci tutti i dati e assegnagli i privilegi di Autore, in modo che sia in grado solo di scrivere e di pubblicare articoli. Ora crea un altro utente che abbia invece una forte password e rendilo Amministratore. A questo punto accedi a WordPress con l’account appena creato e cambia il ruolo dell’admin in Sottoscrittore o in Autore. Se un cracker riuscisse a entrare con questi dati non avrebbe comunque i privilegi per commettere troppi danni.
Altrimenti, potresti semplicemente cancellare l’utente (ex admin) e attribuire le pagine e gli articoli al nuovo amministratore.
Cancella i dati sulla versione del tuo CMS
Il terzo e ultimo consiglio è quello di eliminare dalla root del tuo sito i file readme.html, license.txt e .hmtl e LEGGIMI.txt perché contengono informazioni relative alla versione della tua installazione che potrebbe facilitare i malintezionati a entrare, se ne conoscono le falle.
In questo caso, bisognerà però cancellarli nuovamente a ogni successivo aggiornamento di WordPress.
WordPress sicurezza consigli: Ci sono infine molti plugin utili a nascondere in modo semiautomatico l’indirizzo /wp-admin nel percorso di accesso al sito e a cambiare l’utente “admin”. Personalmente uso iTheme Security per WordPress che, inoltre, blocca gli indirizzi ip che generano troppi errori 404, protegge l’accesso al file .htaccess, arresta gli attacchi brute force (tentato accesso al sito) e molto altro ancora.
Stai già proteggendo il tuo sito e se sì, con quali mezzi? Hai mai subito un attacco in passato? Mi piacerebbe conoscere la tua esperienza nei commenti. A presto 🙂
Ciao Maura,
io utilizzo Acunetix Wp Security, lo consoci? Che ne pensi?
Ciao Sonia, non lo conosco. Come ti trovi?
Direi bene, ti da indicazioni su come migliorare la sicurezza ma non credo blocchi eventuali attacchi. Così mi chiedevo se provare con quello che suggerisci tu.
iTheme Security è un plugin molto potente con la possibilità di attivare vari gradi di sicurezza. A mio avviso ci sono un paio di accortezze da prendere, come ad esempio quella di inserire nella white list (lista degli IP “buoni”) il proprio indirizzo per evitare di restare chiusi fuori dal proprio blog… Mi è capitato! Se sei interessata, ho trovato molto utile questo post che spiega nel dettaglio come configurare il plugin: http://flavioweb.net/wordpress-ithemes-security/ Se ti va, fammi sapere come è andata!
Grazie!
Ciao Maura, ottimi consigli. Io penso che IThemes Security sia il miglior plugin che se impostato correttamente rende un sito WP quasi inviolabile. Aggiungerei anche il plugin Wordfence che permette, in caso di attacco, di effettuare uno scan dell’intero sito e ripulirlo da eventuali malware. Purtroppo ho avuto un’esperienza diretta su uno dei miei progetti e ti posso dire che mi ha salvato la vita 😉