3 consigli per la sicurezza del tuo sito WordPress

WordPress sicurezza consigli

Mettere in sicurezza il proprio sito o blog WordPress, e in generale di qualsiasi altro CMS (Content Management System), consente di proteggerlo da eventuali attacchi evitando la perdita di dati, tempo e soldi e di migliorare il posizionamento dei contenuti nei risultati di ricerca dei motori.

Premetto di non essere un’esperta in materia, ma avendo un blog da quasi due anni, mi sono dovuta premunire proprio allo scopo di proteggerlo e pertanto condivido questi consigli base per mettere in sicurezza il proprio sito WordPress.

Blog WordPress – Backup e aggiornamenti regolari

Il primo consiglio è quello di tenere sempre aggiornata la versione del CMS che stiamo usando e dei plugin installati a ogni nuovo rilascio. Infatti, l’ultimo update contiene la risoluzione di bug e falle di sicurezza presenti in precedenza che un eventuale cracker (criminali informatici) potrebbe conoscere e usare contro di noi.

Prima di eseguire l’aggiornamento del sito al nuovo CMS, soprattutto se si tratta di una “major release“, è consigliabile fare un backup completo del sito.
Per il backup periodico del tuo sito puoi installare dei programmi che lo facciano in automatico e richiedere il servizio di archivio settimanale e giornaliero al tuo fornitore di hosting.

Tuttavia, è sempre consigliabile eseguire un backup manuale mensile e salvare tutti i dati in locale o su una memoria esterna.

Backup procedura

Puoi procedere manualmente con:

  • l’esportazione da WordPress di tutti gli articoli, le pagine, i commenti, i campi personalizzati, i termini, i menu di navigazione e gli articoli personalizzati, attraverso l’opzione “Esporta” dentro Strumenti che trovi nella spalla sinistra del menù. In genere, lascio selezionata l’opzione “Tutti i contenuti”;
  • l’esportazione del database MySql. Semplicemente collegati alla pagina relativa al servizio MySql del tuo fornitore con i dati di accesso e scarica il relativo archivio del tuo sito.
  • il backup della cartella www del tuo sito tramite accesso FTP del tuo fornitore di hosting.

Dopo aver aggiornato i plugin, verificandone la compatibilità con la nuova versione del CMS, dalla dashboard puoi procedere con l’aggiornamento.

Se hai fatto delle modifiche al tema (lato php, css), ti conviene creare un Tema Child, che eredita tutte le caratteristiche del genitore, e personalizzare il file “style.css”, così non perderai i cambiamenti fatti una volta che avrai aggiornato il tema padre.

Non tenere “admin” nel percorso al pannello di accesso del tuo CMS

I maggiori attacchi da parte dei cracker avvengono usando come url questo tipo: iltuosito/wp-admin o tuosito/wp-login, e come username di accesso la parola “admin”, provando una serie di combinazioni per la password. Il secondo consiglio è di cambiare il percorso di accesso e di usare una password complessa, che puoi generare attraverso servizi gratuiti automatici.

WordPress sicurezza consigli-utente adminPer cambiare l’utente admin, invece, entra in WordPress e clicca su “Profilo”, voce presente nella spalla sinistra del menù, poi su “Nuovo utente”. Inserisci tutti i dati e assegnagli i privilegi di Autore, in modo che sia in grado solo di scrivere e di pubblicare articoli. Ora crea un altro utente che abbia invece una forte password e rendilo Amministratore. A questo punto accedi a WordPress con l’account appena creato e cambia il ruolo dell’admin in Sottoscrittore o in Autore. Se un cracker riuscisse a entrare con questi dati non avrebbe comunque i privilegi per commettere troppi danni.
Altrimenti, potresti semplicemente cancellare l’utente (ex admin) e attribuire le pagine e gli articoli al nuovo amministratore.

Cancella i dati sulla versione del tuo CMS

Il terzo e ultimo consiglio è quello di eliminare dalla root del tuo sito i file readme.html, license.txt e .hmtl e LEGGIMI.txt perché contengono informazioni relative alla versione della tua installazione che potrebbe facilitare i malintezionati a entrare, se ne conoscono le falle.
In questo caso, bisognerà però cancellarli nuovamente a ogni successivo aggiornamento di WordPress.

 

WordPress sicurezza consigli-plugin

WordPress sicurezza consigli: Ci sono infine molti plugin utili a nascondere in modo semiautomatico l’indirizzo /wp-admin nel percorso di accesso al sito e a cambiare l’utente “admin”. Personalmente uso iTheme Security per WordPress che, inoltre, blocca gli indirizzi ip che generano troppi errori 404, protegge l’accesso al file .htaccess, arresta gli attacchi brute force (tentato accesso al sito) e molto altro ancora.

 

Stai già proteggendo il tuo sito e se sì, con quali mezzi? Hai mai subito un attacco in passato? Mi piacerebbe conoscere la tua esperienza nei commenti. A presto 🙂

6 commenti

  1. Sonia 29 Aprile, 2015 Rispondi
    • Maura Cannaviello 29 Aprile, 2015 Rispondi
      • Sonia 30 Aprile, 2015 Rispondi
        • Maura Cannaviello 30 Aprile, 2015 Rispondi
          • Sonia 1 Maggio, 2015
  2. Luciano Caruso 13 Settembre, 2017 Rispondi

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.