Oggi parliamo di sicurezza, un aspetto importante per tutti quelli che utilizzano il pc e ancora di più per chi ha un sito.
Infatti è fondamentale che l’accesso dell’amministratore sia riservato e non accessibile a tutti: solo noi possiamo apportare modifiche al sito e modificarne il codice.
Alcuni attacchi di cracker fanno si che venga impiantato nelle pagine del nostro sito, o addirittura create di nuove, codice malevolo che viene elaborato dal nostro sito.
A volte il codice inserisce dei link a siti poco raccomandabili, altre volte installa nel pc dei visitatori del malware.
Quindi particolare attenzione da parte di tutti i webmaster, con la sicurezza del sito non si scherza!
Dei malintenzionati potrebbero scoprire un modo per entrare in un sito wp per via di una versione non aggiornata del, bug di un plugins. Quando hanno capito dell’esistenza di una falla, riescono a replicare tale procedura su moltissimi siti wp che hanno quelle caratteristiche.
Questo è un problema che può essere risolto dai continui aggiornamenti del codice, così facendo si tappano le falle di sicurazza, e da un bravo amministratore del sito.
Come migliorare la sicurezza di WordPress
Possiamo migliorare la sicurezza di wp:
- scegliendo un nome amministratore diverso da admin
- utilizzando una password lunga e varia (password forte)
- bloccando la registrazione a chiunque (aggiungiamo noi eventuali nuovi utenti)
- installando un plugin che apporta piccole modifiche
Per le prime tre c’è poco da dire.
Se vogliamo migliorare di più la sicurezza allora è meglio installare un plugin come Better WP Security
Utilizzare un plugin aggiuntivo per la sicurezza
Better WP Security è molto completo permette di impostare tante regole che altrimenti sarebbero realizzabili manualmente, con tanta esperienza, oppure con l’utilizzo di più plugin.
Per installarlo si può procedere direttamente dall’amministrazione di wp oppure scaricando il plugin dalla pagina ufficiale.
Tra le varie opzioni con Better WP Security possiamo:
- Cambiare nome all’utente admin
- Cambiare il prefisso delle tabelle nel db
- Proteggere l’accesso al file .htaccess
- Bloccare gli attacchi brute force sulla pagina di login (dopo un tot di tentativi si blocca)
- Nascondere l’area di amministrazione (si cambia nome alla pagina wp-login.php e a wp-admin) e limitarne l’accesso durante il giorno
- Prevenire attacchi xss
- Cambiare la password con una più sicura
- Togliere le info sulla versione nel codice
Di tutte le opzioni non consigliamo di attuare quella che permette di rinominare la cartella wp-content. Infatti è un’operazione che troncherebbe qualsiasi immagine presente nel sito e causerebbe non pochi problemi.
Noi possessori di siti dobbiamo impegnarci a tenere il sito sicuro il più possibile così, anche se la sicurezza al 100% non si potrò mai avere, dormiremo sonni tranquilli!
Image credit: http://www.clickonf5.org/
Daniela says
A parte che si chiamano attacchi XSS, adesso mi sento davvero al sicuro.
WP Team says
Ottimo!! (grazie della segnalazione!)