WordPress è il CMS blog più utilizzato nella comunità online, ma richiede una serie di accorgimenti per mantenerlo sempre attivo e funzionante.Avevamo visto qualche giorno fa i suggerimenti avanzati per migliorare la sicurezza di WordPress (e non solo), in questo articolo ci concentremo su aspetti leggermente più basilari che appaiono, alla prova dei fatti, altrettanto importanti. Passiamo quindi alla rassegna dei principali trucchi per mettere in sicurezza WP senza correre troppi rischi, cominciando dalle cose a cui probabilmente siamo meno portati a pensare.
- Al momento dell’installazione è bene scegliere un login diverso da “admin” per l’utente amministratore. Si tratta di un accorgimento che eviterà di facilitare il lavoro ad attaccanti che provino ad indovinare, dalla finestra di login del vostro sito, la vostra password e la vostra username. Esiste inoltre un plugin username changer per cambiare il nome utente a vostro piacimento (ma è abbastanza vecchiotto e non è detto che funzioni sulle nuove versioni), ma potete anche – più semplicemente – accedere con “admin“, creare un nuovo utente amministratore con un altro nome, accedere con quest’ultimo account e rimuovere definitivamente “admin“.
- Nascondete la versione di WordPress che state utilizzando mediante questo semplice codice all’interno del functions.php del vostro tema corrente:
function no_generator() { return ''; } add_filter( 'the_generator', 'no_generator' ); - Aggiornate quanto prima le versioni di WP ogni volta che sarà richiesto, facendo attenzione a scegliere quello con la lingua corretta: normalmente gli upgrade italiani escono qualche giorno dopo quelli in inglese.
- Evitate al massimo i plugin che non provengano dal repository ufficiale (wordpress.org), specie se sono gratuiti e se promettono i classici “mari e monti” – in ambito SEO ve ne sono almeno un paio che possono minare seriamente alla sicurezza del vostro blog, oltre che farvi rischiare penalizzazioni.
- Non utilizzate mai password facili da indovinare (e cambiatele periodicamente), se possibile generatele online mediante un generatore gratuito di password.
- Rinominate il prefisso delle tabelle del vostro database da “wp_” a quello che preferite, potete farlo con un plugin quale WP Security Scan oppure Better WP Security Scan.
- Nascondete dalla visualizzazione pubblica la cartella /wp-content/plugins/, in quanto è una delle prime ad essere visualizzata dai malintenzionati, i quali potrebbero sfruttare bug noti per accedere indebitamente al sito (caricare file arbitrari, cancellare contenuti da remoto, sostituire la home page). Potete evitare il listing sia mediante htaccess che, ad esempio, inserendo un file index.php vuoto nella cartella in questione mediante FTP.
- Cancellate il file wp-admin/install.php dopo aver finito l’istallazione principale, oppure rinominatelo con un nome di fantasia.
- (aggiornamento) Installate i seguenti plugin di WordPress, potete farne uso per potenziare la sicurezza di WP ed eseguire scansioni di controllo periodicamente:
Un commento