Sicurezza sito web: come mettere in sicurezza Wordpress e impedire di cadere vittima di qualche malintenzionato.
di Antonio Lamorgese
Vista l’importanza dell’argomento, oggi tratterò, attraverso esempi e consigli, i sistemi più innovativi per garantire la sicurezza di un sito web gestito con il CMS numero uno al mondo: “WordPress”. Mettere in sicurezza WordPress, è un’operazione di fondamentale importanza per uno sviluppatore.
1. Perché mettere in sicurezza un sito web
Mettere in piedi un sito web, un blog o, anche un’applicazione web, comporta sacrifici enormi per uno sviluppatore. Quindi, indipendentemente dalle dimensioni del sito web, la sicurezza di un sito è uno degli aspetti primari da trattare. È inutile dire che, se si sviluppano siti web, per mestiere, occorre necessariamente essere sempre aggiornati su consigli e pratiche utili, finalizzate alla messa in sicurezza di un sito web.
Ad ogni modo, un hacker, ha a disposizione varie tecniche, ormai consolidate, per minacciare un sito web. In questa guida ti parlerò di cosa fare e come evitare che il tuo sito web, gestito da WordPress, cada completamente nelle mani di un hacker.
LEGGI ANCHE: Come sviluppare una web application con WordPress
2. Come garantire la sicurezza di WordPress
Prima di addentrarci, in quelle che sono le pratiche consigliate per la sicurezza di un sito, è necessario ribadire che, WordPress sia sempre aggiornato alla versione più recente. Per fare questo, non è necessario essere dei programmatori esperti ma, quando il CMS ci dà indicazioni, attraverso la sua bacheca, di farlo, non dobbiamo fare altro che cliccare sull’apposito pulsante presente nella dashboard di amministrazione e aggiornare senza alcun timore WordPress.
Non solo, uno dei tanti aspetti che in molti trascurano e che, alcuni provider di servizi web, non tengono aggiornata la versione di PHP. Questa purtroppo è un’operazione non eseguibile dalla bacheca di WordPress ma, deve essere modificata direttamente dal pannello di controllo, messo a disposizione dal provider, nella pagina di impostazione e gestione del dominio.
Nella figura è riportata la procedura effettuabile, direttamente dall’utente, su hosting Aruba.it, per l’aggiornamento della versione di PHP a quella più recente disponibile.
3. Come impedire un attacco a forza bruta
Sì, non è una frase scritta male, anzi, è uno degli attacchi più diffusi sul web. Cioè, un utente o, peggio ancora, un bot, stanno tentando ininterrottamente di accedere al tuo sito web, tentando di indovinare, attraverso tecniche a loro ben note, la tua username e password di accesso a WordPress.
Logicamente questi tentativi vengono fatti a centinaia se non a migliaia, nell’arco di un secondo. In questi casi, oltre, a mantenere una gestione delle password, rendendole il più possibile sicure e complesse, è necessario impedire, anche ad utenti amministratori, il permesso alla modifica dei file relativi a temi e plugin, direttamente dalla pagina di amministrazione di WordPress.
A tal proposito, è necessario, inserire questa riga di codice nel file wp-config.php:
define('DISALLOW_FILE_EDIT', true);Dopo aver aggiornato il file wp-config.php, come richiesto, è necessario installare e attivare un plugin assolutamente unico e gratuito. Il Plugin in questione è “Limit Login Attempts”.
Questo plugin, contrasta qualsiasi tipo di attacco a forza bruta, limitandone i tentativi di accesso ad un numero da noi prestabilito. Quindi, in caso di errore di accesso a WordPress, il plugin, bloccherebbe l’utente per un tempo, anch’esso da noi impostato. Purtroppo WordPress, in modalità predefinita, non pone limiti nei tentativi di accesso alla pagina di amministrazione del sito web.
4. Come forzare il login di WordPress via SSL
Quando inviamo dati al server, come ad esempio username e password, il server riceverà questi dati in chiaro. È logico che questo tipo di trasmissione di dati non è il massimo, è possibile quindi, forzare WordPress alla trasmissione di qualunque tipo di dato, sfruttando un protocollo oggi molto utilizzato, il protocollo SSL.
Per forzare WordPress a questo tipo di trasmissione e gestione delle credenziali tra server e browser, non bisogna fare altro che, inserire queste due righe di codice all’interno del file wp-config.php:
define('FORCE_SSL_ADMIN', true);
define('FORCE_SSL_LOGIN', true);5. Conclusioni
Quello che ho trattato in questa guida, rappresentano le pratiche minime, ma di grande impatto, per quanto riguarda la messa in sicurezza di un sito web e di WordPress. In questo video tutorial, che ti consiglio di seguire, è gestita la sicurezza di WordPress con l’installazione di un plugin gratuito, anch’esso unico nel suo genere. Il plugin in questione è WordFence.
