MoebiusMania

Se anche voi come me avete deciso di usare WordPress come piattaforma per sviluppare il vostro sito o blog, è importante che siate coscienti del fatto che (chi più chi meno) tutti i siti e CMS possono essere violati da utenti con intenzioni "maligne". I motivi di questi attacchi sono ignoti anche a me, tuttavia non voglio neanche scoprirli... ecco perché in questo articolo ho deciso di raccogliere e condividere alcune strategie che ho letto ed utilizzo per migliorare la sicurezza dei propri siti su piattaforma WordPress, ripeto migliorare in quanto nessun tecnica o plugin rende un sito invulnerabile.

1. Scegliere o migrare su un hosting serio

Cosa intendo per serio, intendo un hosting che mette a disposizione in modo semplice e rapido dei canali di comunicazione e ti tiene, non dico costantemente ma quasi, aggiornato sulla loro situazione di sicurezza. Purtroppo in Italia questi provider mancano, Aruba per esempio che è uno dei più grandi del nostro paese, ha passato gli ultimi 8 mesi a tenere nascosto ai suoi utenti dei pesanti problemi di sicurezza, per lo più il loro sistema di assistenza è scadente e il pannello dello status dell'infrastruttura è ben nascosto... Register è un pochettino meglio ma sulla qualità del serivizio devono ancora migliorare, considerando che non è proprio economico. I provider che consiglio di mio sono: Netsons e Blacknight se vi servono domini .it , mentre in qualunque altro caso consiglio MediaTemple (il mio attuale), Firehost o Site5.

2. Non usare l'utente admin

Questa è una cosa semplice e rapida, ma spesso sottovalutata. Quando installiamo Wordpress sul nostro hosting, viene creato in automatico un utente "admin" con password a nostra scelta e privilegi da amministratore, e spesso e volentieri rimaniamo con questo utente... un maleintenzionato che vuole entrare dal pannello di backend (per parlare di un caso semplice) deve indovinare username e password, mettendo "admin" ha gia fatto metà del lavoro! Quindi create un'altro utente di tipo amministratore o rinominate admin (da Wordpress 3.0 è possibile proprio in fase di creazione), se scegliete il primo caso, riloggate con la vostra nuova utenza e impostate l'utente admin con privilegi bassi, cosi da evitare a priori possibili danni ;) .

3. Backup periodici

Mi auguro che lo stiate gia facendo, tuttavia si consiglia sempre e vivamente di effettuare dei backup del proprio sito specie se i contenuti cambiano o si aggiornano frequentemente. In genere gli attacchi verso i CMS inseriscono del codice malevolo nel tema del nostro sito, siccome non è sempre facile trovarlo - distinguerlo - eliminarlo, la cosa migliorare sarebbe sovrascrivere i file corrotti online con una copia pulita, magari che abbiamo salvato sul nostro computer. Se usate un tema acquistato in giro, non cancellate i file originali che un giorno potrebbero servire proprio a questo. Per backuppare i contenuti invece abbiamo vari metodi, possiamo usare il pulsante "Esporta" che troviamo sotto "Strumenti" che genera un file XML di archivio con tutti o una parte dei nostri contenuti pronti poi per essere re-importati (indovinate? il pulsante "Importa sempre sotto "Strumenti"!). Se siete smanettoni di MySQL potete accedere direttamente al vostro database e dalle interfacce tipo PhpMyAdmin è sempre disponibile un'opzione per creare un backup delle varie tabelle da salvare sul proprio computer. Ma uno dei metodi più apprezzati in generale è quello di utilizzare il plugin WordPress Database Backup , che permette di effettuare i backup senza accedere al MySQL e offrendoci la possibilità di programmare i backup in modo ciclico (tipo una volta a settimana) inviandoci il tutto a una nostra casella email!

4. Bloccare il login (plugin)

C'è un simpatico plugin che si chiama Login Lockdown che fa una cosa che in giro sicuramente avrete visto più di una volta: se qualcuno inserisce 3 password errate in 5 minuti, gli viene bloccata la pagina di accesso per 60 minuti. Ovviamente tutti questi parametri possono essere personalizzati.

5. Firewallizzare (plugin)

Un altro plugin che rientra nel "must" per quanto riguarda la sicurezza è il WordPress Firewall, una comoda utility che monitora continuamente l'attività del nostro sito per quanto riguarda gli accessi (desiderati e non) permettendoci eventualmente di bloccare determinati indirizzi IP è inviandoci una mail in caso venga rilevato un tentativo di infiltrazione. In conclusione... Questa ripeto è una raccolta rapida di metodi comuni, se avete altre idee, teniche o plugin da suggerire sentitevi liberi di segnalarli nei commenti di questo post!