Una volta installato sul nostro hosting il CMS Wordpress sfruttando l’opzione di KeliCMS dobbiamo iniziare a creare contenuti di qualità per il nostro sito/blog.
Terminata questa fase il nostro prossimo compito sarà di far sì che il nostro blog/sito sia sicuro e non rappresenti una minaccia nè per noi nè per altri siti o utenti.
Di seguito i consigli dei nostri esperti che possono aiutarvi a tenere la situazione saldamente sotto controllo:
1) Teniamo sempre aggiornato il nostro WordPress all’ultima versione
Wordpress è un CMS Open Source quindi non avendo un vero e proprio staff che ci lavora quotidianamente spesso vengono scoperti bug o problemi di protezione che possono rendere il vs. sito pericoloso per i vostri utenti o per altri siti internet (provocando attacchi DDoS).
E’ importante quindi mantenere il sistema sempre aggiornato in maniera tale da non permettere a malintenzionati ed hacker di violare il sito.
2) Scegliamo sempre Password sicure
Nonostante la banalità della cosa, spesso gli hacker riescono a violare i nostri siti web soprattutto a causa di password d’accesso troppo semplici e facilmente individuabili. Secondo alcune statistiche circa l’8% dei siti web realizzati in WordPress viene violato in questo modo. Per questo motivo è importante utilizzare sempre una password complessa, lunga (almeno 8 caratteri) e composta da numeri, lettere e caratteri speciali
3) Non usate l’utente “admin”
L’utente admin è uno standard e viene creato in fase di installazione di WordPress; ovviamente per questa sua caratteristica gli hacker sanno che nel 99% dei casi l’username di accesso sarà “admin” fattore che può semplificare notevolmente la violazione di un sito. Sostituitelo e renderete ancora più arduo per l’hacker di turno recuperare le vostre credenziali d’accesso.
4) Rimuoviamo la visualizzazione dell’username nella pagina archivio dell’autore
Di default WordPress crea la pagina “/author/username-autore”; ciò permette a un utente malevolo di individuare l’username con il quale iniziare a provare ad accedere al sito. E’ buona prassi dal proprio profilo utente modificare la stringa dell’username inserendone una differente.
5) Impediamo di effettuare Hammering in fase di login
Esistono plugin che possono permetterci di limitare il numero di volte che, in fase di login, si possono commettere errori. Questi plugin, quando un utente ha superato il limite imposto, bloccheranno l’accesso dall’indirizzo IP di provenienza delle richieste. Un’ottimo plugin che vi consigliamo è a questo indirizzo: https://wordpress.org/plugins/limit-login-attempts/
6) Bloccare l’editor dei file
WordPress permette di accedere alla sezione “Aspetto” -> “Editor”. In questa sezione gli utenti autorizzati possono modificare i file che compongono il nostro tema. Se un hacker dovesse riuscire ad accedere al nostro pannello WordPress potrebbe facilmente modificare i file del tema arrecando grossi danni.
Per impedire che ciò avvenga possiamo scongiurare questa possibilità aggiungendo nel nostro file wp-config.php la seguente stringa:
define( ‘DISALLOW_FILE_EDIT’, true );
7) Fai un Backup…Fai un backup…Hai fatto un backup?
Quando scegli il tuo servizio Hosting assicurati che abbia un servizio di backup automatico e attivalo.
Infatti non è piacevole doversi ricordare ogni giorno di effettuare il backup del proprio sito web o scaricarlo manualmente, soprattutto se si ha una connessione internet molto lenta.
Vi segnaliamo per i più pigri e “parsimoniosi” un plugin che permette di creare il backup del proprio sito e depositarlo sul servizio cloud di Dropbox. L’indirizzo del plugin è: http://wordpress.org/plugins/wordpress-backup-to-dropbox/ (attenzione a non riempire la casella dropbox).
8) Plugin sempre aggiornati (e affidabili)
I maggiori problemi di sicurezza si riscontrano quando vengono utilizzati plugin obsoleti o non aggiornati.
E’ buona prassi cercare sempre di utilizzare i plugin popolari che hanno uno staff dietro che li mantiene costantemente aggiornati. Nella sezione dei plugin del sito wordpress è possibile vedere l’ultima data di rilascio degli aggiornamenti ricevuti da un plugin.
