Come rendere più sicuro WordPress

WordPress è il CMS (Content management system) più utilizzato al mondo, in continua evoluzione ed innovazione. Essendo Open source è supportato da una community di appassionati e sviluppatori che contribuisce a fixare bug e vulnerabilità. Tuttavia è opportuno adoperare alcuni accorgimenti, affinché si riveli il più sicuro possibile, mettendo in crisi utenti malintenzionati, bot malevoli e Cracker. Un sito web craccato a volte risulta “offline”, in altre spiacevoli situazioni poco dopo l’apertura della pagina web avviene un redirect che reindirizza l’utente altrove, mostrando contenuti non molto graditi. Un “sito bucato” oltre a rendere non piacevole l’esperienza utente, comporta una probabile penalizzazione dai motori di ricerca recando seri problemi a privati e titolari di aziende.

Regole fondamentali per rendere più sicuro WordPress

Come rendere più sicuro WordPress dalla prima installazione

 

Durante la prima installazione di WordPress (leggi la guida ufficiale) oltre a configurare il file wp-config.php per mettere in comunicazione i files di WordPress e il database, dobbiamo configurare nello stesso wp-config.php le Salt Keys,  e dobbiamo rinominare il prefisso delle tabelle database.

 

Cosa sono le Salt Keys e come si configurano

 

Le Salt Keys (Authentication Unique Keys and Salts) in italiano (chiavi univoche di autenticazione e salatura), servono a criptare il sistema di accesso al back end di WordPress e a gestire i cookie generati. (Nel momento in cui vengono cambiate qualsiasi utente sino a quel momento loggato verrà disconnesso all’istante).

Il campo delle Salt Keys si trova nel file wp-config.php; per generarle bisogna andare all’indirizzo https://api.wordpress.org/secret-key/1.1/salt/, e sostituire le chiavi di default inserite nel file wp-config.php. (Vedi immagine dimostrativa sotto).

 

 

Come e perché rinominare i prefissi delle tabelle database

 

Le tabelle del database spesso e volentieri sono prese di mira dai Cracker, che tendono tramite “SQL Injection“ di inserire all’interno di esse del codice non “troppo gentile”. Lasciando invariato il prefisso di “default”, le tabelle risultano facilmente individuabili, e quindi attaccabili. Rendiamo agli utenti malintenzionati il lavoro più difficile, rinominando il prefisso della tabella “wp_“.

 

 

  Proteggere l’Utente Admin (SuperUser)

 

Durante la prima installazione di WordPress, viene assegnato all’Utente che creiamo L’ID-1.
L’ID-1 è un ID soggetto ad essere attaccato dai bot malevoli. Una buona pratica consiste nel modificare i privilegi da Amministratore a Sottoscrittoreall’ID-1, dopo aver assegnato i privilegi di SuperUser ad un nuovo Utente, che avrà assegnato come ID il N-2 o superiori.
Così facendo nel caso in cui l’ID-1 venisse bucato, rivelando Username e Password, a Login effettuato l’assalitore si ritroverebbe loggato con il ruolo di Sottoscrittore, e non potrebbe apportare modifiche al core di temi e plugin di WordPress. Inoltre il gestore del sito, accorgendosi dell’attacco sferrato contro l’ID-1, può senz’altro bloccare l’IP ostile.
L’Utente-2 avrà come schermo il filtro difensivo rappresentato dall’ID-1, e quindi risulterà meno vulnerabile a eventuali attacchi informatici.

Istruzioni PHP, i migliori plugin e Cloudflare per rendere sicuro WordPress

Articoli correlati
Menu