Sicurezza sito web: come mettere in sicurezza WordPress
Vista lāimportanza dellāargomento, oggi tratterĆ², attraverso esempi e consigli, i sistemi piĆ¹ innovativi per garantire la sicurezza di un sito web gestito con il CMS numero uno al mondo: āWordPressā. Mettere in sicurezza WordPress, ĆØ unāoperazione di fondamentale importanza per uno sviluppatore.
Indice del Post...
1. PerchƩ mettere in sicurezza un sito web
Mettere in piedi un sito web, un blog o, anche unāapplicazione web, comporta sacrifici enormi per uno sviluppatore. Quindi, indipendentemente dalle dimensioni del sito web, la sicurezza di un sito ĆØ uno degli aspetti primari da trattare. Ć inutile dire che, se si sviluppano siti web, per mestiere, occorre necessariamente essere sempre aggiornati su consigli e pratiche utili, finalizzate alla messa in sicurezza di un sito web.
Ad ogni modo, un hacker, ha a disposizione varie tecniche, ormai consolidate, per minacciare un sito web. In questa guida ti parlerĆ² di cosa fare e come evitare che il tuo sito web, gestito da WordPress, cada completamente nelle mani di un hacker.
LEGGI ANCHE: Come sviluppare una web application con WordPress
2. Come garantire la sicurezza di WordPress
Prima di addentrarci, in quelle che sono le pratiche consigliate per la sicurezza di un sito, ĆØ necessario ribadire che, WordPress sia sempre aggiornato alla versione piĆ¹ recente. Per fare questo, non ĆØ necessario essere dei programmatori esperti ma, quando il CMS ci dĆ indicazioni, attraverso la sua bacheca, di farlo, non dobbiamo fare altro che cliccare sullāapposito pulsante presente nella dashboard di amministrazione e aggiornare senza alcun timore WordPress.
Non solo, uno dei tanti aspetti che in molti trascurano e che, alcuni provider di servizi web, non tengono aggiornata la versione di PHP. Questa purtroppo ĆØ unāoperazione non eseguibile dalla bacheca di WordPress ma, deve essere modificata direttamente dal pannello di controllo, messo a disposizione dal provider, nella pagina di impostazione e gestione del dominio.
Nella figura ĆØ riportata la procedura effettuabile, direttamente dallāutente, su hosting Aruba.it, per lāaggiornamento della versione di PHP a quella piĆ¹ recente disponibile.
3. Come impedire un attacco a forza bruta
SƬ, non ĆØ una frase scritta male, anzi, ĆØ uno degli attacchi piĆ¹ diffusi sul web. CioĆØ, un utente o, peggio ancora, un bot, stanno tentando ininterrottamente di accedere al tuo sito web, tentando di indovinare, attraverso tecniche a loro ben note, la tua username e password di accesso a WordPress.
Logicamente questi tentativi vengono fatti a centinaia se non a migliaia, nellāarco di un secondo. In questi casi, oltre, a mantenere una gestione delle password, rendendole il piĆ¹ possibile sicure e complesse, ĆØ necessario impedire, anche ad utenti amministratori, il permesso alla modifica dei file relativi a temi e plugin, direttamente dalla pagina di amministrazione di WordPress.
A tal proposito, ĆØ necessario, inserire questa riga di codice nel file wp-config.php:
define('DISALLOW_FILE_EDIT', true);
Dopo aver aggiornato il file wp-config.php, come richiesto, ĆØ necessario installare e attivare un plugin assolutamente unico e gratuito. Il Plugin in questione ĆØ āLimit Login Attemptsā.
Questo plugin, contrasta qualsiasi tipo di attacco a forza bruta, limitandone i tentativi di accesso ad un numero da noi prestabilito. Quindi, in caso di errore di accesso a WordPress, il plugin, bloccherebbe lāutente per un tempo, anchāesso da noi impostato. Purtroppo WordPress, in modalitĆ predefinita, non pone limiti nei tentativi di accesso alla pagina di amministrazione del sito web.
4. Come forzare il login di WordPress via SSL
Quando inviamo dati al server, come ad esempio username e password, il server riceverĆ questi dati in chiaro. Ć logico che questo tipo di trasmissione di dati non ĆØ il massimo, ĆØ possibile quindi, forzare WordPress alla trasmissione di qualunque tipo di dato, sfruttando un protocollo oggi molto utilizzato, il protocollo SSL.
Per forzare WordPress a questo tipo di trasmissione e gestione delle credenziali tra server e browser, non bisogna fare altro che, inserire queste due righe di codice allāinterno del file wp-config.php:
define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);
5. Conclusioni
Quello che ho trattato in questa guida, rappresentano le pratiche minime, ma di grande impatto, per quanto riguarda la messa in sicurezza di un sito web e di WordPress. In questo video tutorial, che ti consiglio di seguire, ĆØ gestita la sicurezza di WordPress con lāinstallazione di un plugin gratuito, anchāesso unico nel suo genere. Il plugin in questione ĆØ WordFence.