In questi giorni devo affrontare per lavoro delle tematiche di sicurezza informatica legate al web e alle attività malevole di SEO spamming. Per questo motivo colgo l’occasione per condividere in un post alcuni consigli, molto comuni in rete, per tenere in sicurezza il proprio blog (soprattutto se basato su WordPress).
Conoscere il nemico è importante: tentativi malevoli di accesso all’area riservata, SQL injection, comment SPAM e vulnerabilità nei plugin e nelle versioni di WordPress. Questi sono le minacce al vostro blog ma è possibile mettere in sicurezza WordPress attraverso piccole e semplici accortezze.
Questo articolo non vuole essere un manuale di sicurezza informatica, ma vuole solo dare informazioni e suggerimenti utili su quelle che sono le principali azioni per proteggere il blog ed avere un’installazione sicura.
- Mantenere aggiornata la piattaforma WordPress: le versioni che vengono periodicamente rilasciate ufficialmente contengono spesso preziosi aggiornamenti legati alla sicurezza del blog (oltre che alle varie altre funzionalità). Per questo motivo è importante prestare attenzione a tenere il sistema il più aggiornato possibile.
- Cambiare l’account da amministratore: il nome utente predefinito dopo l’installazione di WordPress è “admin“; proprio per questo è il primo account che ogni male intenzionato può provare ad utilizzare per entrare nel sistema. Quindi è consigliato disattivare questo utente dopo averne creato prima un altro con i permessi da amministratore, oppure è possibile rinominare direttamente l’account da “admin” a qualcosa difficile da trovare al primo colpo (ad esempio, “adm6Yo9“).
- Rinominare le tabelle nel database: se non si è ancora installato WordPress è sufficiente specificare, durante l’installazione, di utilizzare un altro prefisso per le tabelle (es. “wp_4Gep6_” o “jHb53d_“) al posto di quello predefinito (“wp_“). Altrimenti, se è già installata la piattaforma di blogging, si possono utilizzare diversi plugin, come WP Security Scan e WP-DBManager. Attenzione: è consigliato fare un backup completo del database prima di eseguire l’operazione di renaming.
- Proteggere l’area amministrativa: può sembrare un’operazione noiosa, ma è molto utile. Per limitare l’accesso alle cartelle di sistema (come wp-content/, wp-includes/ e wp-admin/) è necessario creare un file .htaccess. Un altro modo per proteggere l’area di accesso è possibile inserire una password a livello server.
- Rimuovere le informazioni sulla versione di WordPress: la versione della piattaforma di blogging soprattutto se non aggiornata, fornisce alcuni dati utili ad hacker o spammer malevoli. Pertanto si consiglia di nascondere la versione di WordPress attraverso l’interfaccia di modifica del codice (andando a commentare la linea che contiene <meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” /> nel file header.php) oppure usando plugin specifici (come Hide WordPress Version o lo stesso WP Security Scan).
- Installare plugin affidabili: controllate sempre la fonte dei plugin che installate sul vostro blog. Il sito ufficiale di WordPress dove cercare estensioni affidabili è Plugin Directory.
Consigli sempre utili:
- Backup periodico di database e cartelle di sistema di WordPress.
- Password sicure: usare password di almeno 8 caratteri composte da lettere (sia minuscole che maiuscole), numeri e caratteri speciali. Ad esempio “a8{P#f7” potrebbe essere una password sicura. È sconsigliato l’uso di parole di senso comune e presenti su un qualsiasi dizionario (es. “pizzetta”). Se proprio volete usarla, mettetela almeno in una versione un po’ più sicura, tipo “piZz3tT@”.
- Restringere il numero di tentativi di accesso tramite login e password: esiste un plugin apposito che fa al caso nostro Login LockDown.
- Proteggere l’indicizzazione nei motori di ricerca di cartelle di sistema: attraverso un file robots.txt è possibile disabilitare la visita di spider e robots nelle cartelle tipo wp-admin/, wp-content/ e wp-includes/.