Come proteggere il proprio sito wordpress dagli hacker

Proteggere il proprio sito wordpress dagli hacker è, quasi sempre, una delle pratiche meno considerate e talvolta poco conosciute. Gli hacker sono ovunque online e sono sempre pronti a catturare i dati del tuo blog o della tua azienda e persino venderli al miglior offerente. La maggior parte degli attacchi hacker mirano a scovare la password di accesso a wordpress, i malintenzionati proveranno a colpire gli URL relativi a file contenuti nelle cartelle wp-admin,   wp-login,  xmlrpc di WordPress, file conosciuti e noti visto che wordpress è un CMS diffusissimo e di pubblico dominio. Una prima azione assolutamente necessaria è nascondere gli URL che WordPress espone.

Perché è importante nascondere gli URL?

Un hacker deve trovare la tua pagina di accesso, se intende effettuare un attacco. Normalmente, per accedere alla pagina di accesso è sufficiente puntare alla cartella /wp-admin o al file /wp-login.php. La maggior parte dei siti Web WordPress ha il punto di accesso al sito http://miowebsite.com/wp-login.php. Nascondendo la tua pagina di accesso proteggerai il tuo sito web. In questo modo, l’hacker non potrà più identificare il suo principale punto di accesso. 
Un bot che non riesce a trovare la tua pagina di accesso, non può mettere in atto tentativi ripetuti di accesso. Non basta, però, proteggere solo la pagina wp-login.php, anche la directory wp-admin deve essere protetta, più avanti nell’articolo vedremo come fare.

Personalizza e nascondi gli URL di WordPress

Per impostazione predefinita, WordPress mette tutti i tuoi contenuti (inclusi immagini, plugin, temi, caricamenti e altro) in una directory chiamata “wp-content”. Questo nome di cartella predefinito semplifica la scansione di un utente malintenzionato alla ricerca di file con vulnerabilità di sicurezza nell’installazione di WordPress perché sanno già dove si trovano i file vulnerabili. Rinominare la cartella “wp-content” può rendere più difficile o addirittura impossibile ad un hacker trovare i file vulnerabili, poiché le scansioni del file system del tuo sito non produrranno alcun risultato. È inoltre necessario modificare eventuali collegamenti contenenti /wp-content//themes/ e /plugins/ per una maggiore sicurezza.

Che cos’è un attacco Brute Force?

Un attacco Brute Force è un’attività che comporta tentativi ripetitivi e successivi che utilizzano varie combinazioni di password per accedere ad un sito Web.

Gli hacker provano varie combinazioni di nomi utente e password, in modo del tutto ripetitivo ed automatico, fino a quando non vi accedono.  Per i loro attacchi, gli hacker usano  robot o software  automatizzati detti Bot. Questo tipo di attacchi sono comuni contro le piattaforme CMS più diffuse (ad esempio WordPress, Joomla, ecc.) e contro servizi comuni come FTP e SSH.  Le statistiche mostrano che WordPress è stato il CMS, essendo quello più diffuso, più colpito negli ultimi anni. La maggior parte degli attacchi si rivolge a un sito Web, in genere alla pagina di accesso e al file xmlrpc. Di solito, ogni ID o username (ad es. “Admin”) ha una password. Tutto ciò che gli hacker devono fare è recuperare la password sulla base di algoritmi eseguiti ripetutamente da un Bot.

Cosa fare per impedire un attacco Brute Force?

Ogni amministratore di wordpress, dovrebbe dettare una serie di linee guida ai suoi publisher. Innanzitutto il primo errore che si fa è porre pochissima attenzione all’impostazione della password al primo accesso. Presta attenzione, quindi, alle tue password, impostando criteri più restrittivi in fase di generazione.

Limitare i tentativi di accesso. È buona norma limitare i tentativi di accesso ad un numero non superiore a 3. Questo significa che se un malintenzionato effettuasse accessi ripetuti per recuperare la password, sicuramente non riuscirebbe mai a farlo nei primi 3 tentativi. In questo caso il Plugin WPLimit ci viene in aiuto, bloccando l’utente, come impostazione predefinita, per 10 minuti circa. In tal caso un Bot non riuscirebbe mai a portare a termine la sua procedura di recupero password, in quanto il plugin bloccherebbe l’username e il nostro sito sarebbe al sicuro.

Come abbiamo visto precedentemente, possiamo personalizzare e nascondere una serie di URL che wordpress espone agli utenti. Per effettuare questo tipo di procedura è necessario installare un Plugin come Hide My WP Ghost. Effettivamente questo plugin fa tutto il lavoro sporco per wordpress, e cioè:

Nasconde l’URL di wp-admin , l’URL wp-login, l’URL admin-ajax, inoltre, nasconde i file di WordPress: wp-config.php , readme.html , license.txt , ecc.

Personalizza i percorsi: wp-admin , wp-login , wp- Includes , wp-content , plugin e temi , caricamenti , autori , commenti , categoria e tag

Personalizza il percorso di riposo dell’API WP , l’ URL della password persa , l’ URL di registrazione , l’ URL di disconnessione , l’ URL di attivazione , l’ URL Ajax Personalizza i nomi dei plugin , i nomi dei temi e il nome dello stile del tema

Molti siti web vengono attaccati non solo da malintenzionati per recuperare dati preziosi, ma anche per infettarli con malware di ogni tipo. A tale scopo il plugin Wordfence, è un ottimo alleato per ripristinare un sito web infetto. Infatti offre una procedura di scansione dei file dell’intero dominio monitorandone costantemente lo stato di sicurezza. A termine scansione avrai la possibilità, scegliendo tra le varie opzioni offerte dal plugin, l’operazione da compiere per ripristinare lo stato di sicurezza del sito. Questo plugin è una valida alternativa a tutti gli altri visti finora, in quanto oltre a monitorare la sicurezza di un sito, blocca attacchi Brute Force e DDos.

Perché è importante controllare la sicurezza del tuo sito Web WordPress?

La maggior parte dei proprietari di siti ritiene che la propria attività sia troppo piccola per essere notata dagli hacker. Ma la realtà è che gli hacker cercheranno di rubare dati da qualsiasi sito piccolo o grande che sia.

WordPress è la piattaforma di pubblicazione più popolare al mondo. Gestisce oltre il 31% di tutti i siti Web in tutto il mondo.

Ogni settimana Google inserisce nella blacklist circa 20.000 siti Web per malware e circa 50.000 per phishing. Se prendi sul serio il tuo sito Web, devi prestare attenzione alle migliori pratiche di sicurezza di WordPress.

Seguimi su

Antonio Lamorgese

Amministratore di rete, programmatore ed esperto di pratiche SEO. Dopo anni di esperienza nel settore, ho ideato un generatore di codice PHP Scopri di più su https://www.phpcodewizard.it.