Avrai già sicuramente già sentito parlare di WordPress. Si tratta di un dei CMS più utilizzati al mondo: basti pensare che domina il mercato dei CMS con una percentuale del 65%. È proprio per questo che, spesso, coloro che scelgono WordPress come CMS finiscono per essere vittima di attacchi informatici.
Anche se famoso per una lunga serie di vantaggi, WordPress spesse volte può dimostrarsi vulnerabile lato sicurezza, soprattutto quando si sceglie di fare uso di un software obsoleto o si pratica una gestione scarsamente efficiente delle credenziali.
Esistono tuttavia una serie di best practice da seguire per ridurre al massimo il rischio di attacchi hacker, così da mettere in sicurezza WordPress. In questo articolo vediamo nel dettaglio 9 best practice, per migliorare notevolmente la sicurezza di WordPress.
1. Acquista un certificato SSL
Acquistare un certificato SSL (link interno all’articolo “Che cos’è il certificato SSL”) rappresenta una delle prime e fondamentali misure da intraprendere per proteggere WordPress. Usare un protocollo HTTPS per il proprio sito permette infatti di disporre di un passaggio criptato e sicuro delle informazioni, evitando che dati sensibili entrino in mano di terzi indesiderati.
2. Scegli password complesse e aggiornarle spesso
Per essere davvero complesso una password deve essere composta da lettere sia maiuscole che minuscole, da caratteri alfanumerici e da caratteri speciali, preferibilmente anche senza che esista un nesso o una relazione logica. Inoltre, più la password sarà lunga e più sarà il tempo di cui gli hacker avranno bisogno per forzarla.
È sempre poi consigliato attivare l’autenticazione a due fattori!
3. Imposta un username diverso da “admin” per l’amministratore
Scegliere di usare un username diverso da “admin” e invece utilizzarlo per nominare un account creato da “subcriber” permetterà di ostacolare gli attacchi informatici. Sarà così possibile proteggere l’account dell’amministratore e i suoi dati di contatto da pericolose pratiche di bruteforcing, e cioè da quell’invio massimo di password nella speranza di individuare quella corretta.
4. Aggiungi un plugin di sicurezza per monitorare le modifiche da parte di terzi
Per migliorare la sicurezza di WordPress possono essere installati tanti diversi plugin e per difendere efficacemente il proprio sito dall’attacco da parte di utenti malintenzionati o malware indesiderati. Attenzione però a non incappare in plugin “nulled” e cioè nelle copie pirata dei plugin ufficiali, solamente per risparmiare sui costi di gestione.
5. Modifica il file wp-config.php
Proteggere il file di configurazione wp-config.php significa proteggere una marea di informazioni sensibili da indesiderati attacchi hacker. Per aumentare la sicurezza di WordPress basterà quindi modificare il prefisso delle tabelle, disorientando quindi i malintenzionati che non sapranno più dove andare a cercare le informazioni. Un’altra soluzione risiede nel nascondere direttamente il file wp-config.php.
6. Disabilita il file editing da backend
Un altro escamotage per proteggere WordPress è quello di disattivare questa funzione di file editing direttamente dalla dashboard, tramite l’aggiunta del seguente codice al file wp-config.php:
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true); CONTROLLARE CODICE7. Nascondi la versione di WordPress
Nascondere la versione di WordPress in uso significa nascondere anche le falle e i punti deboli che questa versione presenta, rendendo così il lavoro molto più difficile ad eventuali hacker. Se nel codice sorgente della homepage compare quindi la versione, basterà nasconderla aggiungendo il seguente codice:
remove_action(‘wp_head’, ‘wp_generator’); CONTROLLARE CODICE8. Aggiorna WordPress costantemente e svogli backup periodici
Aggiornare poi WordPress e i suoi plugin è un’attività estremamente importante per garantire il corretto funzionamento di WordPress, correggendo prontamente errori o bug che potrebbero rappresentare falle fatali per la sicurezza del sistema.
Di buona norma, per mettere in sicurezza WordPress, sarebbe consigliato attivare anche una routine di backup con cadenza giornaliera, o perlomeno ogni settimana, così anche da garantire lo storage dei dati nel caso di problemi in fase di aggiornamento.
9. Attivare un Web Application Firewall
Attivare un servizio di WAF (Web Application Firewall), è un’altra delle best practices da tenere in considerazione, questo tipo di servizio si interpone tra l’utente e il nostro sito web e blocca preventivamente i tentativi di attacco prima che questi arrivino al nostro sito.
Il servizio WAF filtra traffico dannoso proveniente da attacchi come cross-site forgery (CRS), cross-site-scripting (XSS), attacchi DDoS, inclusione di file e SQL injection.
10. Scegli un Hosting sicuro e affidabile
Disporre di un hosting che permette il costante monitoraggio e aggiornamento degli accessi è fondamentale per garantire i giusti standard di sicurezza WordPress. Affidandoti a un hosting di qualità avrai la possibilità di implementare misure avanzate, che permettono di proteggere un sito anche nelle fasi più delicate di installazione e aggiornamento.
Scopri i servizi Rack One per la web security: proponiamo misure evolute per la sicurezza di WordPress e non solo, mettendo sempre al primo posto la sicurezza dei tuoi dati e informazioni sensibili. Rack One è infatti una delle prime aziende protocollate con la Polizia delle Telecomunicazione, per lo scambio di importanti informazioni sui pericoli informatici.