Aumenta la sicurezza del tuo sito WordPress!

Quali sono le strategie da seguire per massimizzare la sicurezza del tuo sito?

Almeno un quarto dei siti web online è realizzato in worpress ed ogni giorno, migliaia di questi vengono minacciati da numerosi tentativi di ‘hackeraggio’ che purtroppo, spesso e volentieri, vanno a ‘buon’ fine.Vediamo alcune importanti strategie che aumentano efficacemente la sicurezza del nostro sito.

L’importanza del backup periodico

Il primo accorgimento che dobbiamo sempre seguire è certamente quello di avere una copia aggiornata del nostro sito, inteso come copia aggiornata agli ultimi contenuti caricati. E’ importantissimo, inoltre, effettuare un backup periodico del database: tale periodicità dipende esattamente dalla frequenza con cui vengono caricati nuovi contenuti. Molti fornitori di hosting mettono a disposizione questo servizio: i backup del sito vengono generati automaticamente e si ha la certezza che funzionino. E’ importante che i file di backup si trovino in locazioni diverse rispetto a quella in cui si trova il nostro sito in quanto bisogna impedire all’eventuale hacker che è riuscito a ‘bucare’ il sito di poter mettere mano anche sulle copie del db.
Alternativamente, è possibile usufruire di appositi plugin volti a questo scopo, talvolta gratuiti, talvolta a pagamento a seconda delle funzionalità che sono in grado di fornire. Ne cito giusto un paio:

https://wordpress.org/plugins/wp-db-backup/

oppure

https://wordpress.org/plugins/wordpress-backup-to-dropbox/.

Il secondo, rispetto al primo, consente di eseguire non soltanto il backup del db, ma anche dei media.

Mantenere WordPress aggiornato all’ultima versione

Per massimizzare la sicurezza del nostro sito è fondamentale mantenere WordPress sempre aggiornato all’ultima versione; questo perché, dalla versione 3.7, WP propone aggiornamenti automatici che non riguardano soltanto il core ma principalmente le funzionalità relative a sicurezza e bug in generale.

E’ bene, inoltre, nascondere la versione di WP dei proprio siti. Questo perché, l’hacker che vuole ‘attaccarci’ sfrutterà proprio i punti deboli di essa e, nascondendogliela, gli creeremo scuramente parecchie difficoltà.

Le informazioni relative alla versione sono reperibili in vari modi:

-sono contenute in alcuni file di configurazione,

– vengono accodate come variabile di query string alle URL dei fogli di stile e degli script dove la versione non è specificata

– dai feed rss,

– nel metatag generator.

Per non fornire tali informazioni è’ dunque necessario eliminare i file in questione subito dopo l’installazione, e aggiungere opportuni blocchi di codice dove necessario affinché non vi sia più alcuna traccia di questi dati. Esiste anche un utile plugin con lo scopo di eliminare le informazioni sulla versione, qui di seguito il link:

https://codecanyon.net/item/hide-my-wp-amazing-security-plugin-for-wordpress/4177158

E’ bene anche eliminare tutti quei plugin inattivi che potrebbero fornire dei comodi punti di accesso al sito per eventuali hacker.

Scegliere con attenzione i dati di accesso al backend

Sembrerà banale ma anche la scelta dei dati di accesso al backend del nostro sito WP non deve essere lasciata al caso. Innanzitutto occorre non lasciare mai che esista uno username denominato admin perché sarà ovviamente il primo nome utilizzato per tentare di accedere ‘abusivamente’ al sistema.
Per quanto riguarda la password è fortemente consigliato crearne una con livello di sicurezza strong, o lasciando che sia WP a generarla automaticamente oppure scegliendo le cosiddette passphrase password, composte da più parole che per noi (e solo per noi) siano semplici da ricordare in sequenza.
Gli hacker, infatti, per introdursi nel nostro sito, utilizzano specifici software che tentano ad oltranza combinazioni di parole scelte da un elenco di termini più frequentemente usati come dati di accessi.

Cambiare il nome alle tabelle del database

Al momento dell’installazione di WordPress, le tabelle del database hanno di default, nel proprio nome, il prefisso “wp_” e chiaramente lasciando nomi cosiffatti faciliteremo d gran lunga i tentativi di accesso non autorizzati al nostro database. E’ altamente consigliabile, dunque, modificare tale prefisso in sede di installazione, alternativamente, è possibile modificarlo a posteriori avvalendosi di alcuni plugin, come ad esempio il seguente:

https://wordpress.org/plugins/change-table-prefix/

Modificare le Security keys

Le security keys di WordPress, tradotte in italiano come Chiavi Univoche di Autenticazione e di Salatura servono ad aumentare la sicurezza di WordPress nell’accesso al back end (il pannello di amministrazione). In pratica costituiscono una funzione di sicurezza per le password e le password di hashing in quanto garantiscono una migliore codifica delle informazioni memorizzate nei cookie degli utenti. Le security keys di WordPress possono essere generate automaticamente da un generatore online e devono essere configurate nel file wp-config.php.
Per aumentare la sicurezza con le secrets key è necessario andarle a modificare nel suddetto file config.php sostituendo quelle presenti con nuove chiavi create da generatori di secrets key presenti online, per esempio  Secret Key Generator.
Le security keys di WordPress possono essere modificate in qualsiasi momento. Bisogna, però, ricordare che, modificandole, invalideremo i cookie di WordPress memorizzati nei login, costringendo gli utenti che accedono al sito tramite una password a ripetere il login per ottenere l’autenticazione.