Consigli su come rendere sicuro un sito WordPress

Come rendere sicuro un sito WordPressRendere sicuro un sito WordPress oggi è importantissimo. In questa guida vi segnaliamo alcuni suggerimenti utili per garantirvi un sito sicuro e performante

Abbiamo parlato più volte di WordPress e del fatto che essendo il CMS più usato, a volte, può essere uno svantaggio dal punto di vista della sicurezza. Per garantirvi una certa tranquillità e rendere sicuro un sito WordPress ci sono dei validi plugin (che abbiamo visto qui e qui) e una serie di accorgimenti che oltre a renderlo a prova di attacco, garantiscono delle performance ottimali. Vediamoli insieme.

Suggerimenti per rendere sicuro un sito WordPress

  1. Mantenere WordPress aggiornato. Solitamente il CMS rilascia spesso aggiornamenti e bugfix, è quindi consigliabile aggiornarlo non appena sono disponibili nuove versioni.
  2. Impostare gli aggiornamenti automatici. È raro che capitino problemi se si rispettano le linee guida del software ed è possibile impostarli per inviarvi una mail in modo da verificare.
  3. Eseguire backup regolari. Sui nostri Shared Hosting tale opzione è gratuita ed avviene settimanalmente in maniera incrementale.
  4. Cambiare l’ URL di login. wp-login.php è davvero molto semplice da indovinare per cui è meglio cambiare tale impostazione, vi sono diversi plugin per farlo.
  5. Bloccare le registrazioni. Sulle installazioni più vecchie di default chiunque può registrarsi, vi consiglio di cambiare tale impostazione cliccando su: Impostazioni, Generali e togliere la spunta da “chiunque può registrarsi” alla voce Iscrizione, sarà possibile aggiungere gli utenti dal pannello admin normalmente.
  6. Cambiare l’utente admin. Il consiglio è quello di utilizzare un utente diverso.
  7. Impostare una password sicura e difficile da indovinare per l’utente admin, l’ FTP e il database.
  8. Leggere le recensioni prima di installare e attivare i plugin, leggendole è possibile capire dai commenti se un plugin è affidabile o meno, inoltre verifichiamo che sia attivamente supportato verificando la data dell’ultima versione.
  9. Usare un certificato SSL. Rappresenta il punto di partenza per rendere un sito WordPress sicuro, permette di crittografare i dati tra il browser e il server e rende più difficile ad eventuali hacker recuperarli.
  10. Cambiare il prefisso delle tabelle, usare wp_ è insicuro ed espone il vostro sito ad attacchi di tipo SQL injection, per prevenirlo occorre cambiarlo in qualcosa diverso e casuale, ad esempio 4f2ou_
  11. Non usare mai un unico utente per accedere al database, occorre infatti creare un utente ed un database per ogni nuova installazione.

Best practice utili per rendere sicuro un sito WordPress

  1. Mettere in sicurezza il wp-config.php. È consigliabile impostare tale file al di fuori della document root in modo da evitare accessi abusivi, in alternativa agire sulla config;
  2. Mettere in sicurezza wp-includes, questo include i file necessari al core di wordpress, per questo motivo è consigliabile bloccare l’accesso;
  3. Permettere solo file sicuri per la cartella wp-content:
  4. Impostare i permessi corretti via FTP/SSH, è consigliabile impostare 755 per le cartelle, 644 per i file e 400 per il wp-config.php, non usare mai 777.
  5. Disabilitare l’editing dei file, questo evita che un hacker in possesso delle credenziali di admin possa editare i file, basta impostare nel wp-config.php:

Come ottimizzare le performance

  1. Migliorare la sicurezza con un Firewall, avere un WAF (web application firewall) può essere utile per evitare gli attacchi più comuni.
  2. Configurare un robots.txt, vi sono diverse possibili direttive, il consiglio è quello di impostare le seguenti in modo da ridurre le visite simultanee dei bot:

    È consigliabile non aggiungere molte direttive al robots.txt in quanto i motori di ricerca ad esempio Google considerano solo i primi 500KB di tale file.
  3. Bloccare i bot malevoli, in questo modo non eseguiranno richieste al vostro server:
  4. Abilitare la cache del browser, questo permette tra l’ altro di migliorare il punteggio di pagespeed:
  5. Disabilitare il Directory Browsing, questo permette di non visualizzare i file presenti nelle cartelle diversi da un file di index:
  6. Limitare l’ accesso per il backend ai soli ip autorizzati:

Bloccare comportamenti potenzialmente malevoli

  1. Blocca xmlrcp.php:
  2. Blocca la scansione degli autori su WordPress, questo viene spesso usato come punto di partenza per un attacco bruteforce:
  3. Blocca l’ .htaccess:
  4. Esegui regolarmente delle scansioni di base del sito, in questo modo puoi rendere WordPress sicuro, ci sono degli strumenti gratuiti che possono eseguire una prima scansione di sicurezza ad esempio virustotal e Anti-Malware Security, inoltre se hai un tuo server ClamAV e Kaspersky possono aiutarti a migliorare la sicurezza generale del server.

Grazie a tutti questi suggerimenti sarà possibile rendere un sito WordPress sicuro e performante.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Accedi

Registrati | Password dimenticata?