La questione sicurezza è sempre un po difficile da affrontare. In questo articolo vi fornirò alcuni consigli utili per rendere sicuro WordPress. Tuttavia questi accorgimenti non vi renderanno completamente invulnerabili agli attacchi dei malintenzionati in quanto un sito per essere privo di vulnerabilità deve essere ospitato su un server che presenta una configurazione di ferro.
Per facilitare la lettura ho diviso gli accorgimenti da prendere in pre e post installazione. Naturalmente molte delle impostazioni suggerite in pre installazione possono tranquillamente essere eseguite anche dopo aver installato WordPress ma le cose potrebbero farsi più complicate.
RENDERE SICURO WORDPRESS – CONSIGLI PRE INSTALLAZIONE
- Usate una password complessa per il database
Esistono diversi siti che vi consentono di creare password completamente casuali. Io per esempio uso Passwords Generator, è gratuito e facilissimo da utilizzare. Vi consiglio anche di creare password da 20 caratteri in su. - Usate un prefisso casuale per le tabelle del database invece del classico wp_
Sempre nella pagina di configurazione del database potete scegliere il prefisso da assegnare alle tabelle nel database. Vi consiglio vivamente di sostituire quello già impostato (wp_) con uno a vostra scelta, magari composto da lettere e numeri casuali; esempio: dhj294wp_. - Scegliete un nome utente diverso da admin o administrator per l’account amministratore
Molti attacchi brute force si basano sulla scelta di queste due username, quindi evitate di usarle. Inoltre ricordatevi che questo account dovrà essere esclusivamente utilizzato per gestire il vostro sito mentre per la pubblicazione degli articoli sarà meglio creare un account Editore.
RENDERE SICURO WORDPRESS – CONSIGLI POST INSTALLAZIONE
Una delle prime cose da fare subito dopo aver terminato l’installazione di wordpress è quella di installare il plugin iThemes Security in quanto alcune delle mofiche suggerite/necessarie andrebbero effettuate prima di cominciare a caricare contenuti sul sito. Una di queste per esempio è quella di rinominare la cartella wp-content. Fare questa operazione in un secondo momento infatti comprometterebbe tutti i link interni che puntano ad immagini ospitate in quella cartella e amplificherebbe il vostro lavoro e il numero di ore da impiegare per mettere in sicurezza il vostro sito.
Dopo aver installato il plugin su Security->Dashboard. Nel caso in cui vi si presentasse un popup di configurazione rapida cliccate in basso a destra su dismiss e proseguite.
Nella dashboard troverete una serie di problematiche da sistemare organizzate in base al loro livello di priorità.
tutto quello che dovrete fare è selezionarle una ad una ed effettuare le modifiche richieste. Vi consiglio di procedere gradualmente verificato dopo ciascuna modifica che il vostro sito continui a funzionare correttamente.
In iThemes Security troverete anche una sezione dedicata ai backup, ma vi consiglio di trascurare queste impostazioni e lasciare che sia un plugin dedicato ad occuparsene.
Nell’articolo come fare il backup del database wordpress abbiamo analizzato la procedura manuale. Esistono tuttavia alcuni plugin che permettono di semplificarvi la vita e ottenere lo stesso, se non un migliore risultato. Molti di questi plugin sono a pagamento e a detta di molti migliori rispetto a quelli gratuiti. Personalmente però non la penso cosi. BackWPup infatti non ha nulla a che invidiare a plugin più rinomati come Vaultpress.
Ecco un riepilogo delle funzioni che potrete avere installando questo plugin:
- Backup del Database
- Generazione di un file con la lista dei plugin installati
- Ottimizzazione del database
- Verifica e Riparazione del database
- Backup dei file
- Backups in formato zip, tar, tar.gz, tar.bz2
- Salvataggio del backup in una cartella
- Salvataggio del backup su server FTP
- Salvataggio del backup su Dropbox
- Salvataggio del backup su S3
- Salvataggio del backup su Microsoft Azure
- Salvataggio del backup su RackSpaceCloud
- Salvataggio del backup su SugarSync
- Invio dei backup via email
Infine ricordatevi che tutto ciò non vi rende incolumi dagli attacchi di malintenzionati e che saranno necessari numerosi miglioramenti lato server per rendere sicuro wordpress.
