Rendere sicuro un sito WordPress in 10 passaggi

28 Agosto 2019

Web

Indice Contenuti

WordPress è di fatto il CMS più noto ed utilizzato per lo sviluppo di siti internet e a volte questo può essere uno svantaggio dal punto di vista della sicurezza. Ecco una serie di piccoli accorgimenti che siamo soliti adottare per dormire sonni relativamente tranquilli.

Con una semplice chiave di ricerca come ad esempio “come rendere sicuro un sito wordpress”, su Google si possono trovare decine (forse centinaia) di post utili – e in certi casi anche molto dettagliati – che trattano l’argomento “sicurezza di WordPress”.

Con molta umiltà crediamo che il nostro post non aggiunga molto di più all’argomento: è un semplice riepilogo dei 10 punti che siamo soliti rispettare per esser certi di dormire sonni tranquilli e far stare sereni anche tutti i clienti che hanno affidato a noi il loro sito in WordPress.

Andiamo quindi con l’elenco:

1. Non usiamo mai l’username admin

e impostiamo sempre una password “forte”. Questa è sicuramente la regola generale base per salvaguardare la sicurezza di accesso al back-end.

2. Eseguiamo sempre back-up regolari (giornalieri, settimanali e mensili).

In questo modo, in caso di problemi, possiamo ripristinare il sito web in maniera semplice e rapida.

3. Manteniamo aggiornato WordPress

e i plug-in attivi sul sito perché le falle di sicurezza che vengono scoperte all’interno del core WordPress, nei temi o nei plug-in installati vengono corrette soltanto dai futuri aggiornamenti.

NB: Prima di lanciare aggiornamenti importanti è altamente consigliato eseguire un back-up dei file (ad esempio aggiornare una versione molto obsoleta di WordPress o di WooCommerce) perché può capitare che qualcosa all’interno del sito, per usare un termine tecnico, “si rompa”.

4. Sito in HTTPS.

Rappresenta il punto di partenza per rendere il sito WordPress (ma non solo) sicuro. Permette di crittografare i dati tra il browser e il server e rende più difficile ad eventuali hacker recuperarli. Ormai diversi piani di hosting includono certificati SSL anche gratuiti.

5. Leggiamo le recensioni

Pur prediligendo il design custom all’occorrenza, prima di installare e attivare temi e/o plug-in leggiamo le recensioni, per capire se è un contenuto affidabile o meno. Inoltre verifichiamo che sia attivamente supportato verificando la data dell’ultima versione e l’eventuale disponibilità dell’autore al supporto.

6. Cambiamo il prefisso delle tabelle

usare wp_ è insicuro ed espone il sito ad attacchi di tipo SQL injection. Per prevenirlo vi suggeriamo di cambiarlo in qualcosa diverso e casuale.

7. Impostiamo i permessi corretti via FTP/SSH.

Vi consigliamo di impostare 755 per le cartelle, 644 per i file e 400 per il wp-config.php. Non usate mai 777.

8. Disabilitiamo l’editing dei file nel pannello di amministrazione di WordPress.

Per farlo basta aggiungere nel file wp-config.php nella root del sito la seguente riga:

define( ‘DISALLOW_FILE_EDIT’, true );

9. Nascondiamo le informazioni accessibili

come la versione di WordPress, i messaggi di errore e le informazioni su Apache e PHP: meno informazioni “gratuite” lasciamo disponibili meglio è, per la sicurezza del sito. Per nascondere la versione di WordPress aggiungere nel file functions.php del tema attivo la seguente funzione:

function remove_version_info() {
return ”;
}
add_filter(‘the_generator’, ‘remove_version_info’);

Per nascondere le informazioni su Apache e PHP aggiungere al file .htaccess nella root del sito le seguenti righe:

ServerSignature Off
Header unset X-Powered-By

10. Limitiamo i tentativi di login all’area amministrazione

in questo modo sarà possibile contrastare abbastanza efficacemente attacchi brute-force ad opera di bot. Plug-in di sicurezza come Wordfence o Loginizer includono già questa opzione, così come altri plug-in.

Sogni d’oro ; )