Come ben sappiamo, o meglio come tutti coloro che possiedono un blog dovrebbero sapere, i siti vengono attaccati dagli hacker a causa di software non aggiornati. Accade spesso, quindi, che un sito che viene preso di mira e attaccato si ritrova ad essere indifeso contro questi attacchi, e il più delle volte la colpa è solo nostra perché non abbiamo adottato tutte le misure necessarie per mettere in sicurezza il nostro lavoro.
Il lavoro che svolgiamo deve ottenere la giusta protezione e la massima attenzione, in questo modo la nostra attività non rischia di essere compromessa. Vi forniamo cinque consigli per rendere più sicuro il vostro WordPress:
- Backup. Ricordatevi che Dovete salvare periodicamente tutti i dati del vostro sito, perché se questo viene compromesso, potete sempre tornare alla situazione originaria semplicemente facendo ricorso ai dati che avete salvato. Il blog è una parte centrale del vostro business online, se utilizzate WordPress, vi consigliamo di salvare tutta la cartella di WordPress e il vostro database. Nel database di WordPress sono contenuti tutti i vostri articoli. Per salvarlo ci sono varie possibilità, ma consigliamo di installare un comodo plugin: WordPress Database Backup.
- Software aggiornato. Aggiornate WordPress non appena esce una nuova release. Molti attacchi infatti, sfruttano la cosiddetta vulnerabilità “zero day”. Quando viene scoperta una falla di sicurezza, il problema viene comunicato al mondo intero pubblicando la notizia su appositi siti. Un malintenzionato potrebbe sfruttare queste informazioni per attaccare i siti che non sono aggiornati. Ad esempio, supponiamo che la versione X di WordPress, fosse vulnerabile ad un determinato attacco. Il malintenzionato scopre questa falla di sicurezza leggendo la notizia pubblicata negli appositi siti. Poi va su Google e cerca tutti i siti che hanno installato quella versione X di WordPress. Questo tipo di ricerca dura pochi secondi e se il tuo sito ha installato la versione X di WordPress, stai rischiando moltissimo. Ricordatevi quindi di aggiornare WordPress e tutti i plugin che usate.
- Temi WordPress ufficiali. Subito dopo aver installato WordPress, la prima cosa che dovete fare è cercare un bel tema. Il tema dell’installazione di base infatti, è alquanto bruttino. Ecco, qui devi dovete prestare la massima attenzione, perché se non usate un tema ufficiale, potreste arrecare grossi problemi di sicurezza nel vostro sito. Alcuni malintenzionati infatti, creano dei temi gratuiti all’interno del quale sono presenti dei punti di accesso segreti. Potete trovare i temi ufficiali di WordPress solo sul sito: http://wordpress.org/extend/themes/. Qualsiasi altro tema scaricato da altri siti, è fonte di rischi. Per essere sicuri occorrerebbe ispezionare il codice contenuto all’interno del tema per verificare la presenza di eventuale codice maligno.
- Cartelle protette. Alcuni siti scarsamente protetti, consentono di visionare i contenuti di tutte le cartelle. Una regola fondamentale di sicurezza è quella di nascondere il più possibile file e cartelle agli occhi dei malintenzionati. Per evitare di rendere le cartelle del tuo sito navigabili, dovete impedirne l’accesso ai motori di ricerca come Google. C’è un file apposito che tutti i motori di ricerca leggono prima di analizzare il sito. Si tratta del file “robots.txt” che però non fornisce tutte le garanzie del caso, meglio quindi configurare il file “.htaccess”. All’interno di questo file potrete specificare le cartelle che non volete rendere accessibili.
- Nessun utente “admin”. L’installazione base di WordPress, prevede l’utente admin predefinito che ha accesso illimitato a WordPress, perciò la prima cosa che tenterà di fare un hacker, è quella di ottenere l’accesso al sito tramite l’utente admin. Quello che si consiglia di fare è che, una volta installato WordPress, bisogna creare un utente amministratore con un nome diverso da admin difficile da indovinare. In seguito cancellate l’utente admin ed entrate in WordPress con il nuovo utente. A questo punto create l’utente che scriverà i post sul vostro blog e impostate dei privilegi di accesso limitati (livello “autore”). Utilizzate sempre il nuovo utente che avete creato per scrivere i post. Un malintenzionato che dovesse scoprire la vostra password, potrà fare ben poco, perché l’utente che utilizzate per scrivere i post non è amministratore.
Questi sono solo alcuni consigli per rendere più sicuro il vostro WordPress. Ricordatevi che, se non prendete delle adeguate contromisure, tutto il vostro lavoro sarà sempre a rischio di attacchi degli hacker. Non fatevi trovare impreparati.
Date un’occhiata al servizio hosting ottimizzato per wordpress che offre Keliweb.
Vincenzo Abate