Crea sito

Se il vostro sito è stato realizzato con WP o se pensate di realizzarlo con questa piattaforma, prendete qualche minuto per analizzare la sicurezza che è un fattore da non sottovalutare.

Ora con questa rubrica settimanale andremo a definire di volta in volta le problematiche legate alle più comuni vulnerabilità di WordPress, inoltre vi daremo piccoli accorgimenti che potrete attuare.

È davvero sicuro wordpress?

Non e facile rispondere a questa domanda, infatti la miglior risposta è :”Dipende”. Se si seguono tutte le norme di sicurezza, WordPress in sé è una piattaforma molto sicura.

Innanzitutto è bene specificare che WP è una piattaforma che usa codice open source che consiste nella scelta degli  autori (più precisamente, i detentori dei diritti) di rendere pubblico il codice sorgente, favorendone il libero studio e permettendo a programmatori indipendenti di apportarvi modifiche ed estensioni. Per tanto il CMS è seguito da un team di sviluppatori esperti specializzato nell’individuazione e nella risoluzione dei problemi di sicurezza che sorgono nel codice di base.

Vediamo ora le più comuni tipologie di attacchi perpetrati nei confronti delle piattaforme WordPress:

#01 Gli attacchi di ‘Brute Force‘ (Forza bruta)

Risulta essere uno dei casi più comuni, ovvero il tentativo, attraverso un software (un bot per dirla come quelli bravi), ripetuto per migliaia e migliaia di volte per cercare di accedere al pannello di amministrazione inserendo delle combinazioni “nome utente e password”. Questi attacchi durano giorni fino a quando l’attacco non riesce a trovare la combinazione giusta e viola il nostro sito. L’attacco Brute Force su un sito WordPress di per se non è la cosa più brutta che possa capitarci se abbiamo preso tutte le precauzioni del caso ma, nella fattispecie meno grave, comporta una continua richiesta al server che ospita il nostro sito con la conseguente possibilità che il nostro provider (l’azienda che abbiamo pagato per avere lo spazio web) decida di sospendere il servizio. Invece, nella malaugurata ipotesi che il sito venga violato, iniziano i problemi seri.

ma dopo tutto questo blaterare come effettivamente difendersi da un attacco Brute force su wordpress? Vediamolo insieme…

La risposta è semplice senza impazzire con migliaia parametri da settare dei plug-in, Wordfence e I-Themes Security, che vedremo in articoli più specialistici basta limitare il numero di tentativi di login con il semplice plug-in “WP Limit Login Attempts” che ci permette grazie alla sua interfaccia molto friendly di settare in maniera veloce la sicurezza sul numero di accessi. Una volta installato tramite la repository (plug-in >nuovo>nome plugin nella ricerca >installa ) di WordPress, possiamo decidere quanti tentativi possono essere fatti per autenticarsi al termine dei quali si viene bannati per un tot. di tempo a nostra discrezione.

Il plugin vi inserisce un captcha sulla schermata di login e dopo 5 tentativi andati a vuoto l’ip viene bannato. Giudico questo plugin insufficiente per la sicurezza di WordPress ma può essere un’ottima soluzione per tamponare l’attacco Brute Force in attesa di avere il tempo di installare altri strumenti più efficaci.

Se invece vi sentite più competenti potete accedere al pannello di controllo e modificare l’ URL di indirizzo della pagina di login. Lo sanno anche i sassi che per accedere al pannello si scrive www.nomesito.xx/wp-admin e, naturalmente, lo sanno anche gli hacker. Perché lasciargli questo vantaggio? Rendiamogli la vita un poco più difficile. Anche in questo caso ci viene in nostro soccorso un utilissimo e semplice plug-in  Protect Your Admin. Una volta installato andate qui.

Abilitate il processo di modifica facendo check su enable e inserite il nuovo URL di login. Inoltre potrete a vostro piacimento settare l’interfaccia di login inserendo i vostri loghi o le vostre immagini.

Per I super user possono andare a settare dal codice sorgente le proprietarietà ad esempio con queste stringhe di codice:

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

require_once(ABSPATH . ‘wp-settings.php’);

IN conclusione  i due plug-in restano una buona difesa contro questo problema insieme a un continuo aggiornamento della piattaforma ogni qual volta gli sviluppatori rilasciano un aggiornamento. Sembrerò banale ma ho scelto le mie credenziali di login sicurissime  Username Alessandro Password Alessandro non mi bucheranno mai li sito ……

Sicuri con il più popolare CMS per siti e blog