Sicurezza WordPress: tranquillizzate il paranoico in voi

Sicurezza: Avete mai pensato che il vostro blog possa essere sotto attacco di hacker? Se riuscissero a entrare e modificare le credenziali di log in? O cancellare il database? Paura, eh? È un problema che mi sono posto recentemente e visto che non sono molto ferrato in materia ho fatto una piccola ricerca in rete per vedere cosa ci è offerto per questo aspetto molto importante. Questi sono i plug-in e le pratiche migliori che ho trovato:

QuickOnlineTips.com ci avvisa di 3 nuovi consigli di sicurezza dati da nientepopodimeno che Matt Cutts in persona, eccovi un estratto di due di essi:

  • Mettete un index.html in bianco nella cartelle /plugins/:La cartella plugin è accessibile in alcuni casi digitando nomedominio/wp-content/plugins. Una pagina index.html in bianco apparirà quando si cercherà l’accesso a quella cartella, bloccandolo di fatto.
  • Bloccate l’accesso a la cartella /wp-admin/:
    Si può fare aggiungendo questa line al file robots.txt (potete crearlo voi e metterlo nella cartella principale del blog): Disallow: /wp-admin/

NetSecurity.org ci suggerisce vari plug-in, vi riporto i due più interessanti e facili da installare:

  • AskApache Password Protect:
    Questo plugin aggiunge un secondo strato di sicurezza chiedendo una password per accedere a qualsiasi cosa contenuta nella cartella /wp-admin/. Funziona scrivendo nel file .htaccess e cripta le password in .htpasswd
  • Login LockDown:
    LoginLockDown registra l’indirizzo IP e l’ora di qualsiasi accesso fallito alla Dashboard della vostra installazione di WordPress. Se più di un certo numero di tentativi sono provati dal mismo rango di IP, la funzione di login è disabilitata per quel rango.

SpeckyBoy.com recensisce i 10 migliori plugin sulla sicurezza per WordPress, eccovene i tre che reputo migliori:

  • WP DataBase Backup:
    Questo plugin, che già uso, fa il backup del database di MySQL a intervalli regolari e ve lo manda per e-mail. Imprescindibile per mettersi al riparo da qualsiasi disastro.
  • WP Security Scan:
    Eccezionale plugin che setaccia il vostro blog per eventuali falle di sicurezza, controlla la solidità delle password, del database, nasconde la versione di WordPress (più sotto per i dettagli) e protegge l’utente admin.
  • Replace WP-Version:
    Se avete una versione vecchia di WordPress chiunque può vedere il codice per sapere che tipo di attacco funzionerebbe contro il vostro blog. Questo plug-in rimpiazza la versione con una stringa casuale.

E per finire le uniche due cose che mi sento di consigliarvi io stesso:

  • Aggiornate sempre WordPress all’ultima versione:
    Sicuramente non è un’idea originale ma è sempre valida. Ci sono due plug-in per fare ciò o questa guida utile e molto chiara per farlo manualmente.
  • Un piccolo trucco per generare e ricordare password casuali:
    Prendete un libro a caso e usate le iniziali delle 8 prime parole minimo alternando maiuscole e minuscole. Es.: QrDlDc,CvAm che è l’inizio dei Promessi Sposi (Quel ramo del lago di Como, che volge a mezzogiorno… – compresa la virgola per maggiore sicurezza -).

E voi fate attenzione alla sicurezza del vostro blog? Conoscevate questi consigli e plug-in? Siete paranoici o non vi preoccupate? Quali altri consigli dareste?

___________________________________________________________________
Abbonati gratis ai feed RSS

Ricevi gratis i futuri articoli via e-mail inserendo il tuo indirizzo qui sotto:

5 Comments
  1. Reply
    Tooby 29/09/2008 at 18:16

    Il file robots.txt non blocca l’accesso a qualcosa, evita soltanto che i motori di ricerca indicizzino quella pagina.

    Per bloccare l’accesso occorre dare istruzioni ad Apache attraverso il file .htaccess. Mi pare che per farlo in modo relativamente semplice si possa utilizzare il plugin Redirection.

    Comunque le indicazioni di quickonlinetips sono inutili: tutte quelle precauzioni sono già state prese nelle successive versioni di wordpress (non per niente quell’articolo è di un anno e passa fa).

    Quanto agli altri consigli, li verificherò appena ho tempo. Bye!^_^

  2. Reply
    FabioG3 29/09/2008 at 18:56

    @Tooby: Hai ragione, grazie per la precisazione!

  3. Reply
    Gerardo geweb.org 08/10/2008 at 13:46

    Giusta precisazione .

  4. […] Mette in pratica i consigli del post sulla sicurezza di WordPress. […]

  5. Reply
    Ecco come mi hanno hackerato il blog - Commenta la tecnologia, la telefonia, i software 14/07/2009 at 04:11

    […] E per finire in bellezza l’opera applichiamo questi due trucchetti segnalati da Guadagnare con un blog: […]

Leave a reply