WordPress è una delle piattaforme Opensource più utilizzate al mondo, in quanto oltre ad essere gratuita è anche di facile utilizzo e sopratutto sono migliaia i temi e i plugin gratuiti. Al contempo esistono alcuni problemi di sicurezza che andremo ad elencare ed analizzare al fine di ridurre al minimo le possibilità di introduzione da parte di malintenzionati sul nostro blog o sito:
– Prefisso delle tabelle del database: di default le tabelle di un database WordPress hanno come prefisso wp_ , uno standard molto pericoloso e potenziale oggetto di attacco, consigliamo di cambiarlo.
– Sicurezza Password: negli ultimi anni i controlli su le password registrate dall’utente sono diventati più severi, e forse è meglio cosi’.
Per molto tempo ignari utenti hanno utilizzato password banali tali da essere scoperte con un semplice attacco a “dizionario” per questo sono stati stabiliti alcuni standard (lunghezza, contenuto) controllati in tempo reale tramite una funzione in Javascript o Php al momento della digitazione nell’apposito campo del form registrazione.
Standard principali (secondo google):
– Utilizzare una combinazione di lettere maiuscole e minuscole insieme a numeri e simboli. Una password strutturata in questo modo presenta 30.000 combinazioni in più rispetto a una classica password di 8 caratteri tutti minuscoli.
– Non utilizzare informazioni personali specialmente se diffusi presso il pubblico come nome , cognome, data nascita ecc…, evita anche di utilizzare serie di tasti come: qwerty , qazwsx , 12345678, abcde12345 ecc…
– Utilizzare temi e plugins sicuri provenienti da fonti verificate (siti ufficiali) e affidabili.
– Effettuare dei backup regolari per darvi la possibilità di ripristinare il sito dopo un eventuale attacco da terzi.
– Aggiornare frequentemente i plugin installati e cancellare quelli non utilizzati.
Il miglior plugin per gestire la sicurezza è iThemes Security.
Esso modifica la struttura in termini di codice del tuo template per questo si consiglia sempre di preparare una copia di sicurezza (backup) prima della sua installazione.
La “severità” di questo plugin è rinomata, difatti può negare l’accesso anche a voi admin se sbagliate a digitare più volte la password o tentate di compiere azioni interpretate malevoli.
Questa particolare funzione di “ban” basata sull’individuazione di indirizzi ip sospettosi che hanno compiuto azioni verso il nostro sito puo’ addirittura bloccare per sempre determinati utenti.
Viene creata una “blacklist” (lista nera) con gli ip sospettosi, il plugin vi consiglierà di escludere il vostro ip per evitare inconvenienti spiacevoli.