Sicurezza WordPress
Questo tutorial riguarda i seguenti argomenti:
WordPress è il sistema di blogging e CMS più popolare, il che lo rende il bersaglio favorito dagli hackers. Avere un sito WordPress significa anche fare uno sforzo in più per proteggere i tuoi dati e quelli dei visitatori. Di seguito offriamo un sommario delle pratiche migliori per mettere WordPress in sicurezza. È importante notare che queste misure non garantiscono una protezione totale contro i tentativi di hacking, soprattutto perché un sito sicuro al 100% non esiste, ma ti forniranno tutela contro la maggior parte degli attacchi.
Mantieni il tuo sito WordPress e i plugin aggiornati
È molto importante mantenere i file di WordPress e tutti i tuoi plugins aggiornati all’ultima versione. La maggior parte delle ultime versioni WordPress e dei plugin contengono patch di sicurezza. Anche se non è sempre facile sfruttare queste vulnerabilità è bene sistemarle.
Per maggiori informazioni su questa materia, leggi il nostro tutorial su come aggiornare WordPress e su come usare gli aggiornamenti automatici di WordPress.
Scarica plugins e temi solo dalla repository ufficiale
Usare plugin scaricati da sorgenti ufficiali è molto importante. I file scaricati da sorgenti non ufficiali sono spesso modificati con codice aggiuntivo in grado di offrire una porta d’accesso a intrusi che intendano usare ed infettare il tuo sito.
Proteggi la tua area admin WordPress
È importante limitare l’accesso alla tua area amministratore WordPress solo alle persone che ne hanno effettivamente bisogno. A meno che il tuo sito non supporti la registrazione degli utenti o la creazione di contenuti da front end, i tuoi visitatori non dovrebbero essere in grado di accedere alla tua cartella /wp-admin/ o al file wp-login.php. La cosa migliore da fare è prendere il proprio IP locale (puoi usare un sito come whatismyip.com per scoprirlo) e aggiungere nel file .htaccess della tua cartella admin WordPress queste linee di codice sostituendo xx.xxx.xxx.xxx con il tuo indirizzo IP:
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
Nel caso tu volessi consentire l’accesso da diversi computer (ad esempio dall’ufficio, dal computer di casa, dal tuo laptop, ecc.), aggiungi un altra riga Allow from xx.xxx.xxx.xxx
Se desideri invece raggiungere la tua area admin da qualsiasi indirizzo IP (ad esempio se fai spesso affidamento su connessioni WiFi libere), limitare la tua area admin ad un indirizzo IP singolo o solo ad alcuni di essi può essere sconveniente. In questi casi raccomandiamo di limitare il numero consentito di tentativi di login errati al tuo sito. In questo modo proteggerai il tuo sito WordPress da attacchi brute-force e da persone che cercano di indovinare la tua password. A questo scopo, puoi usare il nostro plugin Security Optimizer.
Non usare “admin” come username
La maggior parte degli aggressori darà per scontato che il tuo username sia “admin”. Puoi facilmente bloccare molti attacchi brute-force e di altro tipo usando un altro username. Se stai installando un nuovo sito WordPress, ti verrà chiesto di scegliere l’admin username durante il processo di installazione. Se già possiedi un sito WordPress, puoi seguire le istruzioni del nostro tutorial come cambiare il tuo username WordPress.
Usa password sicure
Ci sono moltissime persone che usano password come “password” o “123456” come dettagli per effettuare il login da amministratore. Non c’è bisogno di dire che queste password possono essere facilmente indovinate e sono in cima alla lista di tutti i manuali per l’attacco. Un buon consiglio è usare una intera frase che abbia senso per te e che tu possa ricordare facilmente. Queste password sono molto, ma molto migliori di quelle ad una singola parola.
Assicurati che il tuo computer sia libero da virus e malware
Se il tuo computer è infettato con un virus o un software malware, un potenziale aggressore potrebbe avere accesso ai tuoi dettagli di login e creare un accesso valido al tuo sito, aggirando le misure di sicurezza prese in precedenza. Questo è il motivo per cui è molto importante installare un programma antivirus aggiornato e mantenere controllati e puliti tutti i computer che usi per accedere al tuo sito WordPress con privilegi da amministratore.