Home » Sicurezza & Hackeraggi » Better WP Security – Metti in Sicurezza il Tuo WordPress

Better WP Security – Metti in Sicurezza il Tuo WordPress

La questione della sicurezza è da sempre molto sentita, spendiamo giornate a creare nuovo contenuto per il nostro sito per poi farci spazzare tutti i nostri sforzi grazie a qualche hackbimbominkia nel giro di una manciata di minuti! Questa è sicuramente una situazione che vogliamo evitare e grazie ai consigli di Piero ti mostriamo come fare!

Era da un pò di tempo che pensavo di realizzare un articolo che permettesse a te e agli altri utenti WordPress di mettere in sicurezza la tua piattaforma e proprio quando stavo definendo la scaletta da seguire ecco che vedo apparire all’interno della community WordPress Italy+ un video realizzato da Piero Mazzini.

Dato che non mi piace inventare l’acqua calda ho deciso di usare come appoggio il suo video per condividere alcuni concetti di sicurezza che questo plugin ci aiuta a mettere in pratica. Se l’argomento sicurezza è di tuo interesse colgo al volo l’occasione per ricordarti l’articolo 8 Semplici Consigli per Preparare il tuo WordPress alla Battaglia dove grazie ai consigli di due esperti WordPress (Massimo della Rovere e Maurizio Pellizzone) sono stato in grado di fornirti dei semplici passi per incrementare la sicurezza della tua piattaforma.

Oggi invece andremo a parlare delle principali impostazioni che il plugin Better WP Security ci mette a disposizione.

Prima di vedere dal vivo i vari suggerimenti ti devo ricordare una cosa che molto probabilmente potrà scombussolare le tue certezze, un computer sicuro non esiste! Con questa affermazione non voglio dirti che è impossibile rendere la vita più difficile a tutti quei simpaticoni che tentano di entrare nel nostro sito, grazie ai consigli di Piero e alle funzionalità di questo plugin sarà un gioco da ragazzi aumentare la sicurezza di WordPress, quello che sto cercando di dirti è che se qualcuno decide di entrare nel tuo sito e ha sia competenze che tempo da perdere, è molto probabile che riesca nel suo intento.

Purtroppo il web è fatto anche di queste persone…

Fortunatamente ci sono sviluppatori che permettono anche a noi non addetti ai lavori di cambiare il comportamento di default di WordPress e questo ti permetterà di allontanare tutti coloro che hanno intenzione di entrare nel tuo sito perché hanno letto qualche tecnica all’interno di un hacker forum, che per fortuna nostra sono circa il 95% dei così definiti hacker (anche se cracker sarebbe il termine più adeguato).

La prima cosa che devi fare, non tanto per aumentare la sicurezza ma per avere almeno una copia del tuo sito pronta da ripristinare, è quella di creare un backup della tua installazione WordPress. Piero ci mostra come sia possibile creare un backup direttamente con l’uso di Better WP Security (che però ti consente di fare soltanto un backup del tuo database), quello che ti consiglio io è invece utilizzare il plugin BackWPup che ti ho presentato un pò di tempo fa all’interno della serie Weekly Plugin.

Esistono moltissimi altri sistemi di backup che ti permetteranno di salvare sia i dati che il database del tuo sito (in questo modo salvi praticamente tutto) e quindi lascio a te la scelta dello strumento ma, la cosa importante che devi capire, è che avrai bisogno di un sistema di backup! Magari anche mantenere diverse versioni del tuo backup salvate in posti differenti perché, quando si parla di sicurezza, ti assicuro che le paranoie non sono mai troppe.

Un Bottone per una Base di Sicurezza

Come dicevo poco fa, questo plugin è veramente potente anche per tutti i non addetti ai lavori, infatti presenta al suo interno la possibilità di sistemare le principali falle di sicurezza presenti in WordPress premendo un semplice bottone.

Premendo il bottone One-Click Protection si innescano diversi meccanismi che permettono di rafforzare le difese del proprio WordPress ma, se come me e sei interessato a conoscere che cosa fa questo singolo bottone, devo subito dirti che non è facile avere informazioni a riguardo. Con questo non voglio scoraggiarti, anzi, premere questo bottone è la prima cosa che ti permetterà di dormire sonno più tranquilli ma sicuramente dovrai navigare all’interno delle impostazioni di questo plugin per dormire come un sasso!

Tutto quello che sono riuscito a scoprire è che questo bottone permette di fare alcuni controlli di base come il controllo sulla presenza di un account amministratore con il nome admin, se le tua area login è protetta da attacchi di tipo brute force e rimuove anche qualche file che sono ritenuti inutili dopo aver installato questa piattaforma.

Sono Sempre gli Utenti

Talvolta coloro che permettono l’ingresso ai malintenzionati sono proprio gli utenti che gestiscono il sito! Non sto dicendo che personalmente vanno a contattare un hacker e gli chiedono se gentilmente possono entrare nel sistema piuttosto è colpa della loro sbadataggine che permettono di scoprire alcune falle di sistema e facilitano l’ingresso alla propria piattaforma.

La primissima cosa da fare è modificare il nome admin che fino a poco tempo fa veniva installato di default da WordPress, ma cambiare nome utente non ti sarà sufficiente. Come ci mostra Piero, sarà molto utile anche modificare l’ID del proprio amministratore; troppe volte infatti questo identificatore rimane al valore 1 (che identifica il primo utente creato dalla piattaforma e che, con tutta probabilità, è anche l’amministratore del sito).

Personalmente ho preso la buona abitudine di modificare il ruolo dell’utente con ID 1 (il mio consiglio è quello di impostare il ruolo a Subscriber) in questo modo, anche se qualcuno riesce ad entrare nel mio sito con le credenziali dell’utente con questo ID non avrà alcun potere e non potrà fare praticamente niente all’interno del mio pannello di amministrazione; mentre tengo il mio amministratore ben al sicuro mescolato tra i vari utenti con un nome utente particolare ed una password bella forte . Ovviamente grazie a questo plugin potrai evitare questa pratica e dovrai soltanto seguire i passaggi consigliati per cambiare il nome e ID del tuo amministratore.

Che Fare se Sei Lontano?

Anche se passi molto tempo di fronte al pannello di amministrazione del tuo WordPress (se sei come me ed hai intenzioni serie per far crescere il tuo blog sono sicuro che lo stai già facendo) c’è da dire che spesso questa piattaforma resta tutta sola. Per quanto sia alto il desiderio di mantenere aggiornato e riempire di contenuti il proprio calendario editoriale c’è da dire che non è possibile stare sempre di fronte al computer (dormirai qualche ora, oppure no?!?).

Abbiamo visto poco fa che premendo un semplice bottone sarai in grado di mettere in sicurezza il tuo WordPress (ti ricordo che queste sono soltanto alcune opzioni automatiche e ci sono mooolte altre opzioni da attivare all’interno di questo plugin) ma bisogna sempre capire che questo non basta e ci sono molte occasioni in cui WordPress si troverà da solo a fronteggiare le sfide che Internet gli propone.

Una caratteristica molto apprezzata anche dal nostro Eugenio (di cui ne ha parlato anche all’interno di uno dei nostri hangout) è stata proprio quella che ti permetterà di definire dei periodi in cui poter disattivare il lato admin di WordPress e fare in modo che nessuno sia in grado di accedere alla nostra priattaforma. Anche Piero ci parla di questa funzionalità e la spiega in modo veramente semplice.

Quindi se vai in vacanza, se sai che tutte le notti dalle 2 alle 7 del mattino non entrerai nel pannello di amministrazione, puoi disattivare il pannello di amministrazione per un periodo ben preciso ma, allo stesso tempo, devi stare molto attento perché questa è una modifica che taglierà fuori anche te e ti impedirà di accedere al tuo WordPress. Ricorda quindi che per quanto potente sia questa funzionalità dovrai stare molto attento ad impostare gli orari corretti!

Come ci ricorda Pietro, l’ora che dovrai impostare non sarà quella presente nel tuo sistema, ma controlla l’orario che ti viene proposto dallo stesso Better WP Security (che segue l’orario del server) e svolgi i tuoi calcoli per rispettare le fasce orarie a te più consone.

Nascondi quello che Non Serve e Cambia Login

Piero prosegue nel suo video parlandoci anche del backup (anche se io evito di affrontarlo in questa versione testuale e ti suggerisco BackWPup) ma cosa ben più interessante è che ti viene lasciata la possibilità di nascondere alcune URL pericolose che potrebbero aiutare gli utenti malintenzionati ad accedere al proprio sito.

Queste sono impostazioni che lo stesso plugin ha attivato nel momento in cui hai premuto il bottone One-Click Protection, ben più interessante sono invece le possibilità che ti vengono offerte per modificare la URL che punta alla pagina login e a quella di amministrazione.

Chiunque usa WordPress per più di un paio di settimane si dovrebbe essere accorto che se scrivi nella barra degli indirizzi del browser qualcosa come `http://miosito.it/wp-login.php` oppure `http://miosito.it/wp-admin/` questa piattaforma ci mostra il modulo di login dove è possibile inserire il proprio nome utente e password ed accedere successivamente all’area di amministrazione. Non credere che hacker (o cracker) usano strumenti molto differenti anzi, ad essere sincero, quando vogliono entrare in un sito WordPress usano la tua stessa schermata di login.

Per aumentare la sicurezza del tuo sito, una tra le prime cose che potresti fare è limitare il numero di tentativi di accesse e Piero ci mostra come sia possibile navigare nelle impostazioni di questo plugin e ti permetterà di modificare le impostazioni di default.

Per ulteriori tutorial riguradanti Worepress non ti resta altro che andare QUI.
Nel nostro sito potrai trovare molti tutorial tutti riguardanti WordPress adatti a tutti partendo dai principianti fino ad arrivare agli esperti che però potrebbero avere dimenticato un passaggio.
Sulla destra dell’homepage troverai sia gli articoli pubblicati recentemente sia tutte le macrocategorie che trattiamo nel sito. In alternativa puoi scrivere la parola o le parole chiave in alto a destra nella ricerca del sito e troverai tutto ciò che riguarda quello che hai cercato. BUONA VISIONE!

Lascia un Commento