Dopo aver effettuato una installazione di WordPress è d’obbligo occuparsi della sua messa in sicurezza…

La messa in sicurezza di WordPress è un argomento assai delicato.

Con questa guida cercherò di illustrarvi passo passo come mettere in sicurezza WordPress, partendo dalle più ovvie azioni come non scegliere password banali sino all’installazione di plug-in atti a proteggere il vostro sito.

Ecco i punti che affronterò in questo articolo.

1. Utilizzare solo plug-in e temi provenienti dal catalogo ufficiale WordPress
2. Fare con cadenze regolari dei BackUp.
3. Modificate, tramite plug-in, l’accesso al vostro sito nascondendo il normale URL.
4. Proteggere il file xmlrpc.php.
5. Modificate i permessi di scrittura/lettura dei vostri file.
6. Nascondere la versione di WordPress.
7. Modificare le salt key.
8. Scegliere un buon servizio di hosting.
9. Modificare, il prefisso per le tabelle nel database di WordPress.
10. Modifiche al file .htaccess.
11. Installazione di un Plug-in per la sicurezza.
12. Tenere sempre aggiornato WordPress e tutti i plug-in installati

Per vostra sicurezza ogni qual volta modificherete qualcosa eseguite il backup del vostro sito e del vostro database, e dopo ogni modifica controllate sempre che tutto funzioni.

Punto 1: Solo plug-in “Originali”

Cercando sui vari motori di ricerca si trovano decine di Temi e Plug-in (gratuiti e non) per WordPress ma non tutti sono sicuri ed è per questo che vi suggerisco di cercarli direttamente dal vostro backend di WordPress, o da questi siti (gli stessi del backend):
https://wordpress.org/plugins/  o https://wordpress.org/themes/ .
In questo modo sarete sicuri che siano attendibili e affidabili, infatti se scaricati da fonti non certe c’è la possibilità che siano plug-in vecchi e non aggiornati, plug-in abbandonati senza più nessun supporto, plug-in non compatibili con la vostra versione di WordPress o peggio ancora plug-in modificati in modo da poter accedere al vostro sito.

Punto 2: Backup

Sembra scontato ma una delle operazioni più banali per metterci in sicurezza è quella di creare dei backup con regolarità.

Il Backup del vostro sito è una operazione assolutamente fondamentale, in qualsiasi momento potrebbe succedere un guasto al vostro server, potrebbero capitare dei file corrotti, potreste subire un attacco o mille altri motivi, ed è per questo che il Backup è fondamentale.

Vi consiglio di avere più backup in posti separati, CD, DVD, USB, HDD, ecc…

Ecco una lista di plug-in per backup:

duplicator

backup

dropbox backup

updraftplus

backwpup

Se il vostro sito è ancora piccolo, installare un plug-in per i backup automatici potrebbe essere eccessivo, andando a usare risorse inutilmente. Per questo inizialmente vi suggerisco di creare manualmente dei Backup.

– Tramite client FTP scaricate in locale tutti i file presenti nella cartella di installazione di WordPress.
– Tramite il vostro pannello di controllo che l’host vi ha fornito andate nella sezione database ed entrateci. Qui sarà presente una funzione per il backup del vostro database. Se così non fosse sempre nella sezione database ci sarà la possibilità di entrare nel gestore che con tutta probabilità sarà PhpMyAdmin. Entrateci.
– Dentro PhpMyAdmin selezionate nella colonna a sinistra il database da salvare.
– Cliccare sulla sezione “Export” in alto.
– Scegliete il metodo “quick” e il formato in cui volete salvate il Database.
– Cliccare su Go.

Punto 3: Modificare URL di accesso al backend

La modifica della URL per arrivare alla vostra pagina di log-in è una tecnica molto usata e molto efficace per mettere in sicurezza il vostro sito da attacchi “Brute Force”. Per fare questo vi suggerisco alcuni plug-in di facile uso ma molto efficaci.

• Il primo è Custom Login:

Un plug-in dalle molteplici capacità, infatti oltre a darvi la possibilità di modificare l’URL necessario per accedere alla pagina del log-in, vi da la possibilità di modificarne l’aspetto e di modificarne anche il redirect in base al ruolo di chi effettua il log-in. Questo è utile se volete mandare tutti gli utenti che non siano amministratori ad una pagina da voi creata o scelta.

• Il secondo plug-in è Wps Hide Login:

Rispetto al primo questo non fa altro che modificare l’URL necessario per accedere alla pagina del log-in. Questo si traduce in semplicità e velocità senza gravare sul vostro server. Una volta installato non dovrete far altro che modificare il valore “Login URL” in una stringa a vostro piacimento, semplicemente andato sulle “impostazioni” di Wordpress.

• Il terzo è https://wordpress.org/plugins/wp-login-door/
  
  

Come il precedente modifica la URL necessaria per poter arrivare alla pagina di log-in e disabilita l’xmlrpc (vederemo nel punto successivo altri metodi su come bloccarlo), funzionalità usata anche per poter scrivere e pubblicare articoli tramite applicazioni di terzi, come ad esempio l’app per Android. Molto leggero e veloce.

• Il quarto è Beter Wp Security:

Questo è un plug-in all in one (li vedremo più avanti)  sulla sicurezza. Ha molteplici funzionalità per mettere in sicurezza il vostro sito e tra queste è presente la funzione per modificare l’URL di accesso.

Questi 4 per me sono i migliori al momento in cui scrivo questo articolo. Ovviamente dovete installarne uno solo.

Punto 4: Creare un redirect per il file xmlrpc.php

Il file xmlrpc.php è presente in tutte le installazioni di WordPress e di default è abilitato. Sostanzialmente se usate una qualche applicazione per controllare il vostro sito questa passerà tramite questo file. E’ indubbiamente una comodità usare applicazioni senza ogni volta andare nel backend del vostro sito ma tutto questo può costare caro. Moltissimi attacchi “brute force” effettuati a siti WordPress passano proprio per questo file.
Per evitare questo tipo di attacchi aumentando la sicurezza del vostro sito esistono due possibilità.

Se volete completamente disabilitare le funzionalità del file “xmlrpc.php” vi basterà creare un redirect tramite il file .htaccess (si trova nella root di installazione del vostro sito) andando ad aggiungere queste poche righe di codice:

# protezione xmlrpc
<IfModule mod_alias.c>
  RedirectMatch 403 /xmlrpc.php
</IfModule>

Con questa modifica ogni richiesta al file “xmlrpc.php” restituirà una messaggio di errore di tipo 403.

 
Esiste anche la possibilità di eseguire un redirect ad una pagina personalizzata inserendo questo codice invece del precedente:

# protezione xmlrpc
<IfModule mod_alias.c>
  Redirect 301 /xmlrpc.php http://example.com/pagina-personalizzata.php
</IfModule>

Se semplicemente volete bloccare tutte le richieste senza restituire nulla potete usare il seguente codice:

# protezione xmlrpc
<Files xmlrpc.php>
  Order Deny, Allow
  Deny from all
</Files>

Le precedenti opzioni bloccano o deviano ogni tentativo di collegamento al file “xmlrpc.php”. Se per svariati motivi avete bisogno di utilizzare il file xmlrpc.php esiste un’altra soluzione, ovvero quella di inserire un vostro indirizzo IP sicuro dal quale vi collegherete. Sempre tramite il file .htaccess inserite il seguente codice:

# protezione xmlrpc
<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
  Allow from XXX.XXX.XXX
</Files>

Inserendo al posto delle XXX l’indirizzo IP dal quale vi collegherete. Se avete la necessita di collegarvi da più indirizzi IP vi basterà aggiungere un altro “Allow from XXX.XXX.XXX” con il secondo indirizzo IP. Potete aggiungere quanti indirizzi IP volete.

Di tutte le soluzioni appena mostrate dovrete usarne una sola.

Se in futuro avrete la necessità di utilizzare il file “xmlrpc.php” non dovrete far altro che modificare o eliminare il codice appena inserito.

Passo 5: Modificare il permessi lettura/scrittura

Un altro passo verso la sicurezza (come descritto anche sul sito di WordPress https://codex.wordpress.org/Changing_File_Permissions ) è quello di modificare i vari permessi che hanno i file presenti nel vostro sito. Per fare ciò esistono più modi. Il primo è quello di modificare i permessi tramite il pannello di controllo in vostro possesso (es. Plesk, CPanel, ecc..), il secondo è tramite un client FTP. Io uso Filezilla.

Ecco come dovrebbero venire impostati i permessi per i vostri file/cartelle:
– 755 per tutte le cartelle.
– 644 per tutti i file tranne wp-config.php e .htaccess.
– 604 per il file .htaccess.
– 600 per il file wp-config.php.

Ecco come eseguire la modifica tramite FTP:
– Aprite Filezilla, collegatevi al vostro server ed entrate nella cartella di installazione di WordPress.
– Andate nel menù “Server” e scegliete “Mostra file nascosti” se disattivo.

– A questo punto selezionate il file “wp-config.php”, fate click con il pulsante destro e selezionate “Permessi file”.
– Vi si aprirà una schermata come la seguente:

Nel campo “Valore numerico” inserite il valore 600. Questo farà si che soltanto il proprietario del sito potra leggere e/o modificare tale file.

– Ora, eseguendo le azioni appena viste, impostate il valore 604 per il file .htaccess.
– Dopo i file più importanti che vanno modificati singolarmente modificate i permessi di tutte le cartelle presenti con il valore 755 ( E’ possibile che queste siano già impostate con questi valori, quindi controllate prima di eseguire una operazione a vuoto).
– Fatto questo arriva la fase più lunga, infatti dovrete impostare il valore 644 a tutti i file presenti nella cartella di WordPress (ovviamente esclusi quelli appena modificati).
– Modificati questi valori  dovremmo provare il nostro sito nella sua interezza, home page, nuovi articoli, media ecc e se dovessimo incorrere in qualche problema dovrete controllare che i permessi siano stati correttamente assegnati.

Passo 6: Nascondere la versione di WordPress  

Vi chiederete perché nascondere la versione in uso di WordPress. Ad ogni visita di una pagina Wordpress inserisce all’interno dei tag “head” il seguente codice  <meta name="generator" content="WordPress 4.3.4" /> , che fa riferimento alla versione di WordPress in uso sul vostro sito. Questo può essere utile per capire quali siano le vulnerabilità presenti e sfruttarle per entrare nel vostro sito.

Prima di andare ad inserire il codice che vi mostrerò a breve provate a controllare se la versione di WordPress in uso viene visualizzata  o meno. Questo perché alcuni plug-in la disabilitano di Default.

Ecco cosa dovete fare per disabilitare questa piccola funzione.
Aprite il file “function.php” situato nella cartella del tema che state utilizzando (wp-content\themes\NOMETEMA)  e aggiungete alla fine nel file il seguente codice:

function wpbeginner_remove_version() {
return '';
}
add_filter('the_generator', 'wpbeginner_remove_version');

Con questo eliminerete la versione di WordPress da tutti i file aumentando, se pur di poco, la vostra sicurezza.
Online ho trovato un’altra versione di codice:

remove_action('wp_head', 'wp_generator');

ma che ha il difetto di scrivere comunque la versione in uso sui file RSS, cosa che il codice precedente non fa.

Passo 7: Modificare le salt key

Se avete seguito la mia guida (qui) all’installazione di WordPress, questo passo lo avrete già fatto, in caso contrario è consigliabile farlo.
La seguente modifica andrà ad aumentare la sicurezza dei coockie dei visitatori.

Collegatevi a https://api.wordpress.org/secret-key/1.1/salt/ ed in automatico vi verrà generato un codice simile a questo:

Copiatelo per intero, create un backup del file wp-config.php e apritelo (io suo notepad++) . Cercate una porzione di codice come questa:

Sovrascrivete quanto avete copiato al codice esistente fino a trovarvi un codice simile a questo (prestate attenzione a non modificare altro se non quanto avete copiato).:

ATTENZIONE. Il codice riportato sopra è solo un esempio, il vostro sarà sicuramente diverso.

Salvate e chiudete il file. Se avete eseguito la modifica direttamente sul file presente sul vostro server non dovrete far altro, se avete modificato il file in locale allora dovrete ricaricarlo sul vostro server, sostituendo il file presente nella directory di installazione di WordPress.

Testate quanto avete appena modificato visitando il vostro sito.

Passo 8: Un buon Hosting

Qui si potrebbe aprire una discussione infinita su quale sia il migliore hosting per WordPress, su quale sia il più affidabile, il più veloce, il più sicuro ecc… ma un delle poche cose per cui quasi tutti sono d’accordo è quella di evitare, per quanto possibile, hosting che usano il termine “illimitato”. Nell’informatica (e non solo) tutto ha un limite e per questo capite bene che il termine “illimitato” è al quanto fuori luogo.

Altro fattore da tenere in considerazione è il prezzo, nessuno regala nulla! Quindi fate attenzione anche a questo particolare. Con queste due certezze in mente la scrematura sarà già consistente, ora non vi resta che focalizzarvi su cosa volete. Per esempio se pensate di utilizzare un CMS come WordPress potreste cercare un Hosting ottimizzato per questo, magari con il supporto all’ultima versione di PHP, con i Backup quotidiani inclusi e e magari con un indirizzo IP dedicato.

Dopo tutto questo, sono quasi sicuro che se state leggendo questa guida possediate già il vostro spazio Hosting. Se così non fosse e avete bisogno di aiuto sulla ricerca di quale piano sia adatto a voi scrivetemi pure senza problemi.

Passo 9: Modificare il prefisso delle tabelle

Un problema molto comune per la sicurezza di molti siti basati su WordPress è il prefisso delle tabelle.
Molti siti utilizzano il prefisso di default e ciò potrebbe portare ad un attacco di tipo l’SQL injection (https://it.wikipedia.org/wiki/SQL_injection).

Di default WordPress durante l’installazione assegna ad ogni tabella del database questo prefisso “wp_” . Se l’utente non lo modifica chiunque può sapere come si chiamano le vostre tabelle del database e potrebbe sfruttarlo eseguendo appunto un SQL injection. Per questo per aumentare la sicurezza del vostro database e di conseguenza del vostro sito è altamente consigliabile modificare questo prefisso.

Durante la fase di installazione di WordPress (come installare WordPress) è consigliato cambiare il prefisso delle tabelle, da così:

$table_prefix = ‘wp_’;

Ad uno di vostra scelta, simile a questo (solo numeri, lettere e il simbolo “_” sono accettati) :

$table_prefix =’aks234K_’;

Se ancora il prefisso delle vostre tabelle è quello di default sarà necessario cambiarlo nel modo seguente:

Il modo più veloce è tramite il plug-in better wp security o all in one wp security andando nelle opzioni del plug-in e seguendo le istruzioni per la modifica del “table prefix”.

Se invece non volete installare un plug-in per il cambio del prefisso potrete farlo voi stessi a mano.

Attenzione: è consigliabile eseguire manualmente questa oprazione solo se utenti esperti.

Per prima cosa create un backup del vostro database. Fatto questo potreste decidere di dirigere il traffico del vostro sito ad una pagina di manutenzione utilizzando un plug-in come questo (https://wordpress.org/plugins/maintenance-mode-page/) o questo (https://wordpress.org/plugins/wp-maintenance-mode/).

Creato il backup del database create il backup del vostro file “wp-config.php”.

A questo punto si inizia con la modifica.

– Aprite il file “wp-config.php” (il famoso Notepad++ va benissimo), cercate la stringa “$table_prefix = ‘wp_’;” e modificate il valore tra singoli apici con un valore a vostro piacimento ( ricordate che solo numeri, lettere e il simbolo “_” sono accettati). Attenzione a non cancellare i singoli apici. Salvate.
– Collegatevi pannello di amministrazione del vostro sito ed aprite il gestore del database. Molto probabilmente sarà PhpMyAdmin.
– Una volta dentro cliccate sul tab “SQL”

e vi si aprirà una pagina come questa:

– Incollate questo codice ricordandovi di cambiare il valore “aks234K_” con il valore scelto da voi all’interno del file “wp-config.php” ed eseguitelo :

RENAME table `wp_commentmeta` TO ` aks234K_commentmeta`;
RENAME table `wp_comments` TO ` aks234K_comments`; 
RENAME table `wp_links` TO ` aks234K_links`;
RENAME table `wp_options` TO ` aks234K_options`;
RENAME table `wp_postmeta` TO ` aks234K_postmeta`;
RENAME table `wp_posts` TO ` aks234K_posts`;
RENAME table `wp_terms` TO ` aks234K_terms`;
RENAME table `wp_termmeta` TO ` aks234K_termmeta`;
RENAME table `wp_term_relationships` TO ` aks234K_term_relationships`;
RENAME table `wp_term_taxonomy` TO ` aks234K_term_taxonomy`;
RENAME table `wp_usermeta` TO ` aks234K_usermeta`;
RENAME table `wp_users` TO ` aks234K_users`;

Questo è il codice necessario a cambiare il prefisso per le tabelle di WordPress, ovviamente sarà necessario cambiare il prefisso delle tabelle anche per tutti i plug-in che avete installato, seguendo la logica del codice appena inserito.

– A questo punto bisognerà cambiare i riferimenti per gli “usermeta” e per i “meta_key”.
Sempre nel tab “SQL” incollate il seguente codice opportunamente modificato con il vostro “table_prefix”:

UPDATE `aks234K_options` SET `option_name` = 'aks234K_user_roles' WHERE `option_name` = 'wp_user_roles';

il quale andrà a sostituire tutti i campi che usano il prefisso “wp_” con il nuovo prefisso.
– Stessa operazione del punto precedente ma eseguendo questo codice:

UPDATE `aks234K_usermeta` SET `meta_key` = REPLACE( `meta_key`, 'wp_', 'aks234K_' );

Attenzione: tenete sempre a mente che il valore “aks234K_” è solo un valore indicativo e andrà cambiato con uno scelto da voi e debitamente impostato del file “wp-config-php”.

Se avete eseguito tutti i passaggi nel modo corretto e avete modificato tutti i prefissi delle tabelle, plug-in inclusi, il vostro sito tornerà in funzione. A questo punto togliete la modalità manutenzione (se l’avete usata) ed eseguite un nuovo backup del database e del vostro sito.

In caso di problemi ricontrollate nuovamente il database e il file “wp-config.php”.

Se i problemi persistono potrete ricaricare i vostri backup ed eseguire il cambio del prefisso tramite plug-in.

Passo 10: Mettiamo in sicurezza il sito tramite il file .htaccess

L’ .htaccess è un file di configurazione molto potente e sopratutto molto usato per aumentare la sicurezza di WordPress.

Con questo file è possibile: reindirizzare URL, bloccare indirizzi IP, bloccare l’accesso a determinati file, eseguire redirect, ecc…

Il file si trova nella vostra cartella di installazione di WordPress. Potete accedervi via FTP o tramite il pannello di controllo online. Essendo un file “nascosto”, dovrete abilitare la funzione che mostra i file nascosti.

La prima cosa da tenere a mente nella modifica di questo file è che qualsiasi modifica farete dovrà essere inserita al di fuori dai tag “#BEGIN WordPress” e “#END WordPress”.

I codici che andrò a mostrarvi sono frutto di giorni di ricerca e prove. Potrete decidere voi quali usare e quali no ma il mio consiglio è quello di usare almeno i primi 4. Ciò renderà molto più sicuro il vostro sito.

Detto questo possiamo procedere.

– I codice che andremo a vedere andranno tutti inseriti nel file “.htaccess”. Per questo bisogna metterlo in sicurezza, in modo da evitare accessi non consentiti. Per fare ciò inserite il seguente codice:

<files ~ "^.*\.([Hh][Tt][aApP])">
order allow,deny
deny from all
satisfy all
</files>

– Altro file importantissimo è “wp-config.php”. Qui sono salvate moltissime informazioni utili, come il nome utente e la password del database. Quindi per bloccare qualsiasi accesso indesiderato dobbiamo aggiungere il seguente codice:

<files wp-config.php>
order allow,deny
deny from all
</files>

Questo farà si che chiunque tenti di accedere al file di configurazione di WordPress venga bloccato con errore 403. Un ulteriore sicurezza è data dalla modifica dei permessi vista al punto 5.

– Con il codice seguente proteggerete la cartella /wp-includes/ e i file in essa contenuti:

# Protezione file nella cartella /wp-includes/
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

-Il prossimo codice vi permetterà di tenere nascosti i file, impedendo la navigazione dei contenuti delle cartelle. Ovvero:

Per questa ulteriore sicurezza aggiungete questa linea di codice:

Options All –Indexes

– Eliminare la visualizzazione degli errori php a video tramite questo codice:

# Eliminare la segnalazione degli errori php a video.
php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off

# Attivare I log degli errori php su un file 
php_flag  log_errors on
php_value error_log  /home/path/public_html/VOSTRO_DOMINIO_QUI/PHP_errors.log 

# Prevenire l’accesso al file di log
<Files PHP_errors.log>
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

Aggiunto questo codice dovrete modificare “VOSTRO_DOMINIO_QUI” inserirendo appunto il vostro dominio senza il “www.”. Dopodiché dovrete andare nella vostra directory principale (root) e creare il file necessario ai log, chiamandolo “PHP_errors.log” e impostandogli i diritti di accesso (vedi passo 5) a 755.

– Se per caso tramite log o plug-in notate attività particolarmente sospette da uno o più indirizzo IP, con questo codice potrete bloccarli (probabilmente se avete un plug-in per la sicurezza potrete farlo direttamente da li):

<Limit GET POST>
order allow,deny
deny from xxx.xxx.xxx.xxx
allow from all
</Limit>

Ovviamente inserendo al posto delle X l’IP da bloccare. Per bloccare più IP aggiungete un ulteriore “deny from xxx.xxx.xxx.xxx” cambiando l’indirizzo IP.

– Se siete i soli ad accedere al Backend di wordpress e lo fate sempre dallo stesso pc, potete, come ulteriore sicurezza, fare in modo che la cartella /wp-admin/ sia accessibile solo dal vostro indirizzo IP. Per fare questo dovete semplicemente inserire nel file “.htaccess” queste poche righe:

order deny,allow
allow from XXX.XXX.XXX.XXX
deny from all

Ovviamente mettete il vostro indirizzo IP al posto delle X.

Tramite le modifiche appena mostrate al file “.htaccess” potremmo limitare moltissimo, se non del tutto, i possibili tentativi di manomissione al vostro sito rendendolo molto più sicuro.

Oltre a tutte queste modifiche vi consiglio anche di installare un plug-in sulla sicurezza, come descritto nel paragrafo successivo.

Punto 11: Plug-in per la sicurezza

I Plug-in per la sicurezza presenti sullo “store” sono davvero moltissimi, qui cercherò di elencarvi quali, secondo me, sono i migliori e i più completi per proteggere il vostro sito.

• Il primo è “Wordfence” (link https://wordpress.org/plugins/wordfence/):

plug-in dalle moltissime funzioni, tra le quali Firewall integrato in grado di bloccare in autonomo traffico sospetto, monitoraggio in tempo reale del traffico con i relativi indirizzi IP e possibilità di bloccarli o effettuare un “Whois” sull’IP stesso, Autenticazione in due fattori (versione premium), Protezione attacchi “Brute Force”, Scansione dei file principali di WordPress per cercare diversità tra quelli originali e quelli installati, Scansione di molte Backdoor, Nascondere la versione di WordPress, Avviso tramite mail dei problemi rilevati, avviso via mail di aggiornamenti disponibili e moltissime altre funzioni.

• Il secondo plug-in sulla sicurezza in esame è “iThemes Security” (https://wordpress.org/plugins/better-wp-security/):

Anche questo molto completo dal punto di vista delle funzioni, come il primo protegge da attacchi “Brute force”, autenticazione due fattori (versione pro), rilevamento modifiche nei file non volute, scansione per individuare malware, possibilità di nascondere il backend modificando la URL per il log-in (cosa che il plug-in di prima non fa), possibilità di modificare il prefisso delle tabelle nel database, protezione dallo spam con reCAPTCHA (pro), Away mode e molte altre funzioni.

• Il terzo e ultimo plug-in è “All in One Security & Firewall” ( https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/):

Tra le tante funzioni del plug-in segnalo la presenza di un tool che vi permetterà di creare password sicure, protezione dagli attacchi “Brute Force” , monitoraggio di tutti i tentativi di log-in mostrando l’IP dell’utente, possibilità di bloccare indirizzi IP, aggiunge il CAPTCHA alla pagina di log-in, backup automatico del database, cambio del prefisso del database, backup del file “.htaccess” e del file “wp-config.php” ecc..

Questi sono i plug-in sulla sicurezza migliori del momento, ovviamente ne esistono molti altri ma nessuno di questi ha un numero di installazioni, di funzionalità o di frequenze di aggiornamento come quelli citati nell’articolo.

Non vi resta che sceglierne uno tra i tre e installarlo.

Una volta installato dedicategli un po’ di tempo a guardare e configurare a vostro piacimento tutte le funzioni disponibili.

Punto 12: Aggiornarmenti

Ultimo punto di questa guida è una semplice raccomandazione, tenete sempre aggiornato WordPress e tutti i vostri plug-in ed effettuate con cadenze periodiche dei backup completi.

Leggendo online ho visto che la maggior parte degli attacchi a siti web avviene sfruttando vulnerabilità di plug-in e temi, ed è per questo che tenerli aggiornati contribuisce ad aumentare la sicurezza de vostro sito.

Conclusioni

Arrivati a questo punto suppongo che avrete letto e fatto molte delle cose che vi ho mostrato.
La sicurezza del vostro sito non è cosa da sottovalutare perché il pericolo di venire hackerati è sempre dietro l’angolo e questo potrebbe portare alla perdita dei vostri dati o all’installazione di script che generano spam dal vostro sito a vostra insaputa.

Restate sempre informati sulle ultime notizie registrandovi a qualche newsletter che vi terrà informati sulle ultime vulnerabilità scoperte.

Se avete perplessità, suggerimenti o segnalazioni non esitate a lasciare un commento o a contattarmi tramite il form.

AskBruzz