Usare WordPress in sicurezza

La sicurezza è un aspetto fondamentale per i propri contenuti in rete e WordPress recentemente ha visto incrementare i brute attack contro i login dei propri utenti.

Per non facilitare il compito ai cracker, in costante ricerca di falle, di smagliature nella rete di sicurezza, è consigliato prendere alcuni accorgimenti che non renderanno immuni agli attacchi ma potrebbero complicare il tutto abbastanza da far desistere i violatori meno esperti.

Dal momento che questi ultimi cercano di scoprire bug e difetti per poi tentare di forzare tutti i blog e siti wp con le stesse caratteristiche, i comportamenti utili per scongiurare l’attacco sono due: oltre gli aggiornamenti dei codici, che permettono di “tappare” le falle di sicurezza il buon lavoro di un amministratore capace può compiere agevolmente il resto dell’opera.

Gli accorgimenti utili che un amministratore wp può prendere sono molti. I più semplici ed alla portata di tutti sono la scelta di un nome amministratore diverso dall’admin, il rafforzamento della password (più lunga e più varia possibile), la rimozione di tutti i file .txt che forniscono indicazioni sulla versione del proprio WordPress e il blocco della registrazione aperta: aumenta significativamente la sicurezza aggiungere soltanto personalmente gli eventuali nuovi utenti.

Accorgimenti per admin più esperti sono la creazione di utenti admin multipli, lasciando all’account admin un ruolo di comprimario per confondere le idee, la modifica dei link di login e dei pannelli di amministrazione, modificare il messaggio di errore in fase di login in modo da renderlo più generico e non far sapere se si è sbagliato il nome utente o la password e la protezione del file .htaccess. Trattandosi di processi piuttosto laboriosi, rimandiamo, per non andare troppo per le lunghe, ad articoli più approfonditi.

Per chi non fosse in grado di prendere questi accorgimenti manualmente esistono plugin, scaricabili direttamente da WordPress, in grado di aiutare l’utente.
In proposito il consiglio è documentarsi attentamente prima di installarli: non tutti i plugin sono sicuri e consigliati e alcuni non proprio ben fatti potrebbero addirittura aumentare le falle nel vostro wp.

Un plugin completo e sicuro, reperibile direttamente dal sito WordPress e dalla semplice installazione, è Better WP Security.
Questo plugin permette di impostare con semplicità molte delle funzioni di cui sopra, venendo in soccorso degli admin meno esperti.

Tra le funzioni del plugin abbiamo: il cambio del nome utente, la modifica dei prefissi nelle tabelle di database, la protezione del file .htaccess, il blocco del sito dopo un numero di brute attack, la modifica del link di login, la prevenzione di attacchi xxs e la rimozione delle info sulla versione del codice.
Sconsigliata, tra le funzioni, è la rinomina della cartella wp-content: con questa funzione si troncherebbero tutte le immagini sul sito.