La settimana scorsa abbiamo parlato della leggenda urbana secondo la quale WordPress è un cms non sicuro. In questo caso ci sono alcuni argomenti effettivamente veri, WordPress nella sua installazione base mostra il fianco ad attaccanti informatici malintenzionati anche se il vero problema è legato soprattutto alla diffusione di questo software, talmente popolare che esistono software fatti apposta per cercare installazioni vulnerabili e provare a violarli. Questi software agiscono un po’ come gli spider dei motori di ricerca, girano per il web e cercano le vulnerabilità. Usano la tecnica del “ndo cojo cojo” per cui non prendono di mira un sito specifico.
Cominciamo dalle fondamenta, proviamo in questo articolo a non dare nulla per scontato perchè in anni di web abbiamo visto cose che voi umani non potete neanche immaginare.
Non installate temi e plugin di dubbia origine
Abbiamo visto anche questo: gente che per risparmiare qualche euro installa la “versione pirata” di un tema o di un plugin scaricata con qualche torrent o peggio ancora.
In questo caso il sito ve lo state craccando da soli: è prevedibile che qualche furbacchione abbia preso il tema o il plugin, abbia aggiunto un po’ di codice e lo abbia messo in circolazione, in cerca di qualche boccalone con le braccine corte. Quelle righe di codice servono proprio a dargli il controllo del vostro sito e lo avete installato proprio voi!
Quando scegliete un plugin, in particolare se gratuito, fate attenzione alla frequenza con cui viene aggiornato. Troppo spesso abbiamo visto ottimi software realizzati da studenti geniali che, dopo averli realizzati e distribuiti gratuitamente, li hanno abbandonati e non sono più stati aggiornati.
Utente e password ftp e database
Anche in questo caso facciamo un passo indietro: prima ancora di occuparci di WordPress vale la pena ricordare che il nome utente e la password per l’accesso ftp e al database devono essere non banali. Anche il nome utente. E’ sorprendente il numero di tentativi di attacco che avvengono con il metodo “brute force” ovvero un software va per tentativi e prova varie combinazioni di user name e password sperando di azzeccarci. Proprio per questo motivo è importante scegliere anche un nome utente non banale, complichiamogli un po’ la vita. Scegliete delle password lunghe. Non le dovete tenere a memoria, si usano pochissimo, quindi tanto vale scegliere qualcosa di complicato. E lungo!
Automatizzate i backup
Per quanto robusta possa essere la vostra installazione il sito non sarà mai invulnerabile. Pensate alla porta di casa: potete mettere la porta blindata, collegarla a un antifurto e usare l’acciaio di Krupp per le barre interne ma se Lupin III decide di entrare oppure se qualcuno dimentica di chiudere la porta e di collegare l’antifurto c’è poco da fare. Configurate un software che vi faccia i backup, non dovete farli voi, i backup devono essere automatici. Chiedete al vostro hoster di aiutarvi a risolvere questo problema: esistono alcuni plugin ottimi ma, secondo noi, il backup deve agire a monte del cms e mettere in salvo file e database. Se volete usare a tutti i costi un plugin vi consigliamo backup buddy, è a pagamento ma funziona piuttosto bene.
Non usate l’utente “admin”
Un po’ di fantasia, perbacco. Come detto sopra complicate un po’ la vita dei software che provano a indovinare le password del vostro sito, fate in moto che debbano riuscire ad azzeccare anche il nome utente e non solo la password.
Usate password complicate
E soprattutto lunghe, lo abbiamo già detto e lo ripetiamo. Lunghe. Fate in modo che contengano combinazioni di lettere e caratteri, numeri e segni di interpunzione.
Tenete le password al sicuro
E’ inutile usare password robustissime se poi le non le tenete al sicuro. Non sto parlando del post it appiccicato al monitor su cui le scrivete le password del computer, sto parlando del computer stesso: tenetelo al sicuro! Ci sono ormai un’infinità di trojan (potete chiamarli virus, se preferite) che si installato sul computer e non fanno altro che mettersi alla ricerca di password. Quando le trovano le mandano all’autore che ne fa un uso tendenzialmente molto malvagio!
Tenete tutto aggiornato
Aggiornate. Aggiornate tutto, tenete tutto allineato con l’ultima versione possibile e questo soprattutto per WordPress stesso e per i plugin. Anche i temi sarebbero da aggiornare: se le personalizzazioni state fatte come si deve aggiornare il tema non significa necessariamente perdere tutte le modifiche fatte, basta usare i “child theme” ad esempio.
Due plugin per la sicurezza
Veniamo ora a quello che stavate aspettando sopra ogni cosa: i due migliori plugin per la sicurezza di WordPress. Sono ottimi, sono gratuiti e possono anche essere installati contemporaneamente, possono convivere. Alcune funzionalità avanzate sono riservate agli utenti che sottoscrivo un abbonamento a pagamento ma già con le loro funzionalità base sono ottimi.
iThemes Security
Il sito ufficiale è https://ithemes.com/ ma il plugin è installabile direttamente dal repository ufficiale di WordPress e quindi dal back-end del vostro sito. Tra i punti di forza del plugin segnaliamo anche la possibilità di modificare l’utente “admin” quindi anche se avete già installato WordPress senza tener conto del consiglio visto poco più sopra siete ancora in tempo per rimediare
Wordfence
Sito ufficiale http://www.wordfence.com/ ma, anche in questo caso, il plugin è disponibile sul repository ufficiale. Anche questo plugin può contribuire a irrobustire molto la vostra installazione di WordPress, una delle funzioni più carine è quella di segnalare (inviandovi una mail) quando un file del sito viene modificato. Se questo avviene mentre state aggiornato o modificando qualcosa è tutto sotto controllo in tutti gli altri cosi è possibile che stia succedendo qualcosa di strano.
Nessun dei due plugin, da solo, è in grado di mettere totalmente al sicuro un sito basato su WordPress, possiamo considerarli parte di una installazione base.
Lascia un commento