Rendere sicuro WordPress

Come rendere sicuro WordPress

Rendere sicuro WordPress è essenziale per lo sviluppo e l’aggiornamento del proprio blog o sito vetrina che sia.

Ancora una volta chiediamo aiuto ai vari plugin WordPress per individuare le vulnerabilità e rafforzarle a fronte di un possibile attacco hacker o simile, insomma vediamo come rendere sicuro WordPress.

Rendere sicuro WordPress
Rendere sicuro WordPress

Punto uno: L’antivirus

Tra i migliori modi per rendere sicuro WordPress troviamo quello di installare un antivirus.

Ebbene sì, anche per WordPress esiste un antivirus.

All’inizio pensavo fosse una cosa superflua, che non potesse esistere uno “strumento” valido, simile a quelli che operano sui nostri pc contro i virus.

Eppure gli antivirus dedicati alle interfacce web sono dei tools a dir poco utilissimi, quanto meno per tutta una serie di dati che mettono a disposizione per far capire se si è spesso, o meno, soggetti a rischio.

Vi faccio l’esempio del nostro blog Dlame.it:

Attualmente il sito dlame.it riceve circa 3/4.000 visite al mese, non tantissime se si pensa alla media degli altri blog italiani, comunque sia è un sito in crescita con l’80% circa di nuovi utenti sul totale.

Nonostante il blog non abbia numeri di visite esorbitanti si trova di fronte a frequenti attacchi dal web, vediamo perché:

Solo questa settimana sono stati bloccati dal nostro antivirus 21 IP provenienti dagli Stati Uniti e 8 IP provenienti dall’Irlanda.

IP BLOCCATI DALL'ANTIVIRUS

Inoltre come potete notare nello screenshot in basso qualcuno ha provato ad accedere con i seguenti nomi utenti:

  • admin – Ben 6 tentativi, essendo il nome utente standard di WordPress, ci sono molte probabilità che i proprietari dei siti non lo cambino.
  • dlame – 3 Tentativi
  • badmin – 1 Tentativo
  • magico  – 1 Tentativo
  • indoxploit  – 1 Tentativo

TENTATIVI DI ACCESSO AL SITO

Insomma, capite che tutte queste informazioni senza un antivirus sarebbero passate in sordina, perché non creano particolari allarmismi o difetti al sito web, ma sono comunque dei tentativi di accesso pericolosi, tanto che in molti casi come avete visto vengono automaticamente bloccati degli IP.

Un ultima immagine di esempio è quella del totale degli attacchi bloccati questo mese, ben 329 attacchi bloccati.

Ripeto, non era a conoscenza del fatto che il mio sito va così “di moda” fra i truffaldini online.

attacchi bloccati da wordfence

Nessuna email da wordpress, nessun avvertimento, se non avessi avuto uno strumenti simile probabilmente ad oggi non starei scrivendo questo articolo.

dove inviare le notifiche di allarme

Tra l’altro, come vedete sopra, è possibile impostare una mail dove arrivano tutte le notifiche di allerta.

I dati che avete visto provengono dal mio antivirus preferito: Wordfence Network, utilissimo per rendere sicuro WordPress in maniera automatica, senza smanettarci troppo.

Questo è il suo logo wordfence logo

e cliccando qui invece potete installarlo su WordPress.

Ovviamente come il 90% dei plugin è disponibile sia una versione premium che una free di Wordfence, quella free basta per rendere sicuro WordPress.

Comunque sia se lavorate tramite il vostro blog e avete un minimo di budget a disposizione vi consiglio di acquistare la  versione premium, non oso immaginare che sicurezza possa avere in seguito.

N.B: Non sono pagato per parlar bene di questo antivirus.

Punto due: La Password

la password

Voi mi direte: “Che genio! Non sapevo di dover cambiare password per aumentare la sicurezza del blog!”.

E ciò che penserei anche io nel leggere questo titolo, eppure ci sono “password” e “password” per rendere sicuro WordPress, cosa significa?

Significa che ci sono una serie di password più vulnerabili rispetto ad altre, seguite questi consigli e cambiatela:

  • Non deve essere più corta di 15 caratteri 
  • Accettate la password estratta a caso da WordPress (c’è un opzione quando si va a creare una nuova password che ve la genera in automatico)
  • Ricordatevi di salvarli in posti sicuri e lontani dal web e occhi indiscreti!
  • WordPress stesso consiglia di alternare: Caratteri minuscoli, maiuscoli e numeri, noi invece in base ad una ricerca approfondita abbiamo capito che è meglio utilizzare frasi di senso compiuto.

Esempio:

Anzichè utilizzare -> KlKsidhc172Hajcke23

Sarebbe meglio utilizzare -> alle18vadoafarelaspesaper3 

Sempre se WordPress ve lo accetta (delle volte viene imposto di inserire passkey come nel primo esempio).

Questo perché leggendo articoli di giornali riguardo la sicurezza sui social abbiamo scoperto che esistono molti programmi che in maniera random alternano numeri e caratteri trovando la password, paradossalmente ciò sembra più difficile con frasi lunghe, di soli caratteri o pochi numeri.

Ovviamente lasciatevi guidare anche dal vostro buon senso per generare una password nuova.

Punto tre: Cambia nome utente

cambia nome utente

Tornate per un secondo al punto uno.

La seconda immagine vi mostra tutti i tentativi random effettuati da qualcuno questa settimana per entrare nel mio sito, vedete che nome utente ha utilizzato?

Ovviamente non è nessuno di quelli perché io l’ho cambiato, ma di base WordPress vi da proprio il nome utente “admin”, magari se avessi lasciato quello a quest’ora non avrei più il mio sito!

Il consiglio che vi do è quello di digitare a caso sulla tastiera e di utilizzare quello come nome utente, esempio: fbainiacb.

Chi arriverà mai a capire che è quello l’id?

Invece qualche vostro amico/nemico che vi conosce potrebbe sapere quello che utilizzate da sempre, oppure quale mettereste in base alle vostre passioni, esempio: ronaldocr7, forzainter ecc ecc (banali esempi).

Questo è il più semplice ma il più efficace accorgimento per rendere sicuro WordPress ed aumentare la sicurezza del blog.

Punto quattro: Cambia il link d’accesso al sito

Cosa significa?

Significa che quando fate accesso al vostro sito WordPress visitate una pagina simile a questa: www.ilvostrosito.com/sezione-di-login

(ovviamente è un esempio, per non mettere a repentaglio il blog di nessuno non scriverò qual è l’esatto link, anche se i più esperti già lo sanno)

Nel 90% dei casi questo link è uguale per tutti i siti WordPress, cioè:

www.ilmiosito.com/sezione-di-login

www.illorosito.com/sezione-di-login

Capito?

Bene, è evidente che è necessario cambiare questo link con uno qualsiasi, questa pratica aumenta di moltissimo la sicurezza del blog!

Esempio:

www.ilmiosito.com/la-mia-sezione-di-login

In questo modo è difficile che ci sia qualcun’altro al mondo che sappia da dove si accede.

Questa pratica però potrebbe essere molto pericolosa, e per fare ciò vi rimando ad una guida a prima vista molto più esperta di me, quindi clicca qui se sei sicuro di voler vedere come cambiare il link di accesso al tuo sito.

Punto cinque: Aggiorna sempre WordPress

L’aggiornamento costante della piattaforma sulla quale il sito “gira” è di principale importanza; infatti la maggior parte degli aggiornamenti puntano a migliorare la sicurezza del sito.

Questo vale anche se usate altri CMS come PrestaShop.

Se utilizzi WordPress i vari aggiornamenti ti saranno sempre notificati nella barra in alto a sinistra del vostro backoffice. (Il simbolo delle frecce rotanti)

Punto sei: Verifica l’origine di temi e plugin

Questo è un altro punto fondamentale per aumentare la sicurezza del blog.

Non è difficile entrare nel vostro sito se qualcuno ne conosce già la struttura e i vari parametri.

Molti plugin e temi “esterni” ai nostri CMS sono proprio di dubbia provenienza, questo implica che potrebbero essere utilizzati a fini illegali.

Per esempio possono spiare i vostri utenti, rubare i loro dati e persino accedere come amministratori al sito.

Tutto ciò si può evitare scegliendo bene i temi e i vari plugin, innanzitutto assicurandosi che il produttore sia conosciuto.

Qualche ricerca su Google è di indispensabile e fondamentale importanza, inoltre i temi potete sceglierli direttamente da WordPress.

Anche i plugin ovviamente, ma per i temi è più un obbligo che un consiglio, essendo la struttura portante di tutti i dati del blog.

Punto sette: Google Recaptcha

Aggiungere il Google Recaptcha nella fase di login aiuta ad aumentare la sicurezza del blog ed evita che vari software provino password a casaccio fino a prendere quella giusta.

Questo potrebbe capitare. Alcuni hacker avviano i software in maniera automatica e li indirizzano a qualsiasi sito online. Questi software, come già detto prima, fanno una marea di tentativi nei vari campi delle password fino ad azzeccarci.

E’ tra i metodi più diffusi di hackeraggio in questo periodo, ed è bene che si prendano le giuste precauzioni.

Un bel recaptcha sistema i truffaldini.

Conclusione

Spero di averti aiutato con questa piccolissima guida a farti capire come rendere più sicuro WordPress ed aumentare la sicurezza del blog con accorgimenti facili e veloci.

Se conosci altri metodi di sicurezza, plugin o se vuoi semplicemente dirmi cosa ti è piaciuto di più di questo articolo lascia un commento nella sezione in basse, te ne sarei molto grato!

Inoltre se trovi che il mio blog ti piaccia segui Dlame.it sui social, e condividi con i tuoi followers i miei articoli!

Fammi sapere nei commenti qual è il prossimo argomenti che vuoi che io tratti!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *