Rendere sicuro un sito WordPress in 10 passaggi

WordPress è di fatto il CMS più noto ed utilizzato e a volte questo può essere uno svantaggio dal punto di vista della sicurezza. Ecco una serie di piccoli accorgimenti che siamo soliti adottare per dormire sonni relativamente tranquilli

Con una semplice chiave di ricerca come ad esempio “come rendere sicuro un sito wordpress“, su Google si possono trovare decine (forse centinaia) di post utili – e in certi casi anche molto dettagliati – che trattano l’argomento “sicurezza di WordPress”. Con molta umiltà crediamo che il nostro post non aggiunga molto di più all’argomento: è un semplice riepilogo dei 10 punti che siamo soliti rispettare per esser certi di dormire sonni tranquilli e far stare sereni anche tutti i clienti che hanno affidato a noi il loro sito in WordPress.

Andiamo quindi con l’elenco:

1. Non usiamo mai l’username admin e impostiamo sempre una password “forte”. Questa è sicuramente la regola generale base per salvaguardare la sicurezza di accesso al back-end.

2. Eseguiamo sempre back-up regolari (giornalieri, settimanali e mensili). In questo modo, in caso di problemi, possiamo ripristinare il sito web in maniera semplice e rapida.

3. Manteniamo aggiornato WordPress e i plug-in attivi sul sito perché le falle di sicurezza che vengono scoperte all’interno del core WordPress, nei temi o nei plug-in installati vengono corrette soltanto dai futuri aggiornamenti.

NB: Prima di lanciare aggiornamenti importanti è altamente consigliato eseguire un back-up dei file (ad esempio aggiornare una versione molto obsoleta di WordPress o di WooCommerce) perché può capitare che qualcosa all’interno del sito, per usare un termine tecnico, “si rompa”.

4. Sito in HTTPS. Rappresenta il punto di partenza per rendere il sito WordPress (ma non solo) sicuro. Permette di crittografare i dati tra il browser e il server e rende più difficile ad eventuali hacker recuperarli. Ormai diversi piani di hosting includono certificati SSL anche gratuiti.

5. Pur prediligendo il design custom all’occorrenza, prima di installare e attivare temi e/o plug-in leggiamo le recensioni, per capire se è un contenuto affidabile o meno. Inoltre verifichiamo che sia attivamente supportato verificando la data dell’ultima versione e l’eventuale disponibilità dell’autore al supporto.

6. Cambiamo il prefisso delle tabelle: usare wp_ è insicuro ed espone il sito ad attacchi di tipo SQL injection. Per prevenirlo vi suggeriamo di cambiarlo in qualcosa diverso e casuale.

7. Impostiamo i permessi corretti via FTP/SSH. Vi consigliamo di impostare 755 per le cartelle, 644 per i file e 400 per il wp-config.php. Non usate mai 777.

8. Per aumentare la sicurezza disabilitiamo l’editing dei file nel pannello di amministrazione di WordPress. Per farlo basta aggiungere nel file wp-config.php nella root del sito la seguente riga:

define( ‘DISALLOW_FILE_EDIT’, true );

9. Nascondiamo le informazioni accessibili, come la versione di WordPress, i messaggi di errore e le informazioni su Apache e PHP: meno informazioni “gratuite” lasciamo disponibili meglio è, per la sicurezza del sito. Per nascondere la versione di WordPress aggiungere nel file functions.php del tema attivo la seguente funzione:

function remove_version_info() {
return ”;
}
add_filter(‘the_generator’, ‘remove_version_info’);

Per nascondere le informazioni su Apache e PHP aggiungere al file .htaccess nella root del sito le seguenti righe:

ServerSignature Off
Header unset X-Powered-By

10. Limitiamo i tentativi di login all’area amministrazione: in questo modo sarà possibile contrastare abbastanza efficacemente attacchi brute-force ad opera di bot. Plug-in di sicurezza come Wordfence o Loginizer includono già questa opzione, così come altri plug-in.

 

Sogni d’oro ; )

Vuoi affidare il tuo sito WordPress a mani esperte? Scrivici!

Il tuo nome (richiesto)

La tua email (richiesto)

Indica il budget per il tuo progetto

Oggetto

Il tuo messaggio

Immagine di controllo captcha

Per poter inviare la richiesta di contatto, è necessario accettare le condizioni sulla privacy

Informativa ai sensi dell'art. 13 del D.Lgs 196/2003 e ex artt. 13-14 Reg.to UE 2016/679
I dati conferiti con la compilazione del presente modulo saranno oggetto di trattamento cartaceo ed informatizzato. I suoi dati saranno utilizzati esclusivamente per poter rispondere alla Sua richiesta. Il conferimento dei dati e il consenso al trattamento è obbligatorio, la sua mancanza comporterà l’impossibilità d’inviare l’eMail di richiesta di contatto e di poterLe rispondere. I dati da Lei conferiti potranno essere, previo Suo consenso, anche utilizzati per l’invio di materiale informativo e pubblicitario o per comunicazioni commerciali riguardanti nuovi prodotti o aggiornamenti e novità sui prodotti già esistenti. Il conferimento dei dati per tale finalità e/o il consenso al trattamento è facoltativo e la sua mancanza non potrà comportare l’impossibilità di eseguire la prestazione richiesta. I dati verranno da noi conservati per il tempo strettamente necessario alla gestione di quanto da Lei richiesto.
Titolare del trattamento è ALGORITMA SRL a cui potrà rivolgersi per l’esercizio dei diritti di cui all’art 7 D.lgs. 196/2003 ex artt. 15-22 Reg.to UE 2016/679. Per la visione dell’informativa completa si rimanda a questo link



Share this article

Leave a comment