Molto spesso si installa WordPress senza pensare alla sua messa in sicurezza, in modo da proteggerlo da attacchi esterni che possono comprometterne la funzionalità.

In questo post vediamo come rendere sicura la nostra installazione di WordPress in 7 mosse.

Si tratta di modifiche non particolarmente difficili ma che vanno eseguite con attenzione in quanto possono causare problemi al blog se effettuate da utenti inesperti.

1. Utilizza sempre l’ultima versione di WordPress e dei plugins

Può sembrare un consiglio ovvio, ma quasi sempre i siti che vengono compromessi non sono aggiornati alla versione più recente di WordPress.

Ad ogni rilascio gli sviluppatori correggono bug più o meno gravi che possono riguardare la sicurezza del blog. Le ultime versioni di WordPress segnalano automaticamente gli aggiornamenti disponibili e consentono l’installazione automatica: tieni sempre d’occhio la bacheca.

Gli stessi consigli valgono per i plugin installati: utilizza sempre l’ultima versione (che anche in questo caso viene notificata direttamente nella bacheca di WordPress)

2. Cambia lo username dell’amministratore

Continuando a utilizzare l’utente “admin” come amministratore semplifichi la vita di eventuali cracker in quanto saranno già a conoscenza di almeno uno dei due parametri di login (l’altro è la password, che si spera non conoscano!).

Per cambiare l’utente di default crea un nuovo utente con privilegi da amministratore, effettua il logout e rientra con il nuovo utente. Ora puoi rimuovere l’utente “admin”.

3. Utilizza una password sicura

L’errore più comune quando si parla di password è quello di utilizzare parole ovvie o date conosciute; scegli sempre una password lunga (almeno 8 caratteri) e che non abbia un senso.

Sul sito howsecureismypassword.net puoi controllare quanto tempo ci vuole a decifrare la tua password con un computer di media potenza.

4. Non mostrare la versione utilizzata

Pochi lo sanno, ma WordPress crea automaticamente un meta tag nel codice html, mostrando la versione utilizzata.

WordPress 3.0.1 ad esempio mostra:

<meta name=”generator” content=”WordPress 3.0.1″ />

Indicando la versione utilizzata si forniscono ulteriori indizi a utenti malintenzionati che potrebbero sfruttare vulnerabilità note della vostra versione di WordPress.

Per eliminare questo meta tag vai in Aspetto -> Editor -> Functions.php

Aggiungi questo codice al termine del file, prima del tag di chiusura di php: ?>

remove_action(‘wp_head’,'wp_generator’);

Per verificare il successo dell’operazione carica il tuo blog e visualizza il sorgente html: se il meta tag chiamato “generator” è sparito vuol dire che la modifica ha funzionato.

5. Usa le security keys

Le security keys sono 4 chiavi di autenticazione e 4 hashing salts (stringhe casuali) che servono a migliorare la sicurezza dei cookies. Le chiavi sono memorizzate nel file wp-config.php e hanno questo aspetto:

define(‘AUTH_KEY’, ‘put your unique phrase here’);

define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);

define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);

define(‘NONCE_KEY’, ‘put your unique phrase here’);

define(‘AUTH_SALT’, ‘put your unique phrase here’);

define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);

define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);

define(‘NONCE_SALT’, ‘put your unique phrase here’);

Ad ogni chiave va associato un valore casuale di 60 caratteri. Puoi generarlo manualmente oppure utilizzare lo strumento ufficiale di WordPress. Cliccando sul link si ottengono 8 righe di chiavi univoche da copiare e incollare al posto di quelle presenti in wp-config.php

Le security keys possono essere modificate in qualsiasi momento e non creano problemi; ricorda soltanto che qualsiasi utente dovrà effettuare nuovamente il login dopo l’aggiornamento delle chiavi.

6. Proteggi la cartella wp-admin con una password a livello di server

L’accesso alla bacheca richiede già una combinazione username/password, ma aggiungere un nuovo login lato server non può che aumentare la sicurezza generale.
Grazie all’utilizzo dei file .htaccess e .htpasswd il server ti chiederà di effettuare il login alla cartella prima di poter accedere alla schermata di login di WordPress.
Per far ciò devi prima di tutto creare all’interno della cartella wp-admin un file chiamato .htpasswd – questo file conterrà i dati di login.

La password memorizzata nel file è criptata, per cui deve essere generata utilizzando strumenti appositi come quello messo a disposizione da questo sito.

Una volta creato il file .htpasswd crea il file .htaccess (sempre all’interno di wp-admin) e inserisci il seguente contenuto (rimpiazza /path/to/ con la path del tuo file .htpasswd):

AuthUserFile /path/to/.htpasswd
AuthName “Blog”
AuthType Basic

require valid-user

Se hai seguito le istruzioni, ora ti sarà chiesto di effettuare il login ogni volta che proverai ad accedere alla cartella wp-admin.

7. Installa un plugin per la verifica della sicurezza

Il plugin WP Security Scan controlla regolarmente la tua installazione di WordPress suggerendoti le modifiche da apportare: ti consigliamo di installarlo e di tenerlo sempre d’occhio così da intervenire ogni volta che ti viene segnalato un potenziale problema di sicurezza.

Grazie a questi 7 consigli garantirai maggior sicurezza al tuo blog, mettendolo al riparo dallo sfruttamento di vulnerabilità note e problemi più o meno gravi.

Se hai suggerimenti o osservazioni, non esitare a commentare!