Guida Sicurezza WordPress Parte 1

nessun commento WordPress , ,
img articolo Guida Sicurezza WP Parte 1

Vi proponiamo una guida all’Installazione e Configurazione che vi consenta di rendere il vostro sito WordPress sicuro. La procedura non è particolarmente complessa, ma vogliamo spiegarvela passo a passo, quindi l’abbiamo suddivisa in 3 post che pubblicheremo a breve distanza l’uno dall’altro.

I Siti sono spesso soggetti ad attacchi hacker, ma se avete un Sito WordPress e lo configurate nel modo corretto sarete tutelati molto di più rispetto ad essere gli amministratori di un sito che è stato sviluppato al di fuori di questa piattaforma.

E ora cominciamo con la prima parte di questa guida.

Installazione e configurazioni per rendere WordPress sicuro.

L’obiettivo di questa guida è quello di aiutare ad eseguire un’installazione a regola d’arte e configurare il nostro sito WordPress (WP) in modo sicuro. Questa guida non è una guida base su come installare WP.

La guida si basa sulla versione 4.7.2 di WP o superiore e i plugin Wordfence, Admin graphic password e Updraft plus.

Requisiti minimi e preparazione per l’installazione

  • E’ necessario avere un dominio (di qualsiasi livello).
  • Spazio su server, con relativi dati FTP (indirizzo ftp, username e password).
  • Un database MySQL, con relativi dati (nome database, username e password).
  • Un’utenza da amministratore WP con relativi dati (username e password).

Username e Password

Ecco due semplici regole che vanno sempre rispettate:

  1. Le username e password devono essere sicure e quindi difficili da indovinare. Non usare mai una username tipo admin, administrator e/o webmaster. Queste sono le username più usate in assoluto e quindi le più facili da indovinare. Se possibile evitiamo di usare il proprio indirizzo email come username.
    Mai usare password brevi o troppo facili da ricordare tipo la più usata in assoluto: “pippo” o “password”. Inutile dire che le date di nascita o altre date importanti NON sono sicure, vero?
    Tutte le password devono avere una combinazione alfanumerica contenente caratteri speciali tipo: punti, virgole, tratti, tratti bassi (l’underscore).

Come creare una password sicura

  • creiamo una semplice frase: es. “essere sicuri sempre”.
  • Uniamo la frase e mettiamo una maiuscola all’inizio di ogni parola: EssereSicuriSempre
  • Sostituiamo alcune lettere con dei numeri (s in 5, e in 3): E553r3SicuriS3mpr3
  • Aggiungiamo dei caratteri speciali tipo virgola, underscore, punti ecc:
    _,_ E553r3SicuriS3mpr3_,_

Suggerisco l’utilizzo del seguente tool per verificare quanto è realmente sicura la vostra password: http://password.social-kaspersky.com/it

  1. Per installare il nostro sito WordPress abbiamo bisogno di username e password per l’ftp, per il database e infine per l’admin del sito WP.
    Queste 3 combinazioni di username e password DEVONO sempre essere diverse. Non usate mai le stesse combinazioni di username e/o password per i diversi account. Se un hacker scopre la vostra username allora metà del suo lavoro sarà fatto… Dovrà solo scoprire la password!

Procedura di installazione sicura

  • Scaricare la versione più recente di WP dal sito ufficiale [wordpress.org]. Possiamo scaricare anche direttamente la versione in italiano da WordPress Italy.
  • Scompattare il file zip senza modificare la struttura file/cartelle.
  • Cancellare i seguenti file: LEGGIMI.txt, license.txt, licenza.html e readme.html
  • Rinominare il file “wp-config-sample.php” in “wp-config.php”
  • Aprire con un editor di testo come il Blocco Note o editor HTML (BBedit, Coda, PhpStorm ecc.) il file “wp-config.php” (non usate mai applicazioni come Microsoft Word perchè Word potrebbe aggiungere dei codici di settaggio/stili al nostro codice WP).
  • Eseguiamo le seguenti modifiche al file “wp-config.php”
    1. Parametri database
      inserire il nome del database al posto di nome_del_database_qui
      inserire il nome utente (username) del database al posto nome_utente_qui
      inserire la password del database al posto di password_quiparametri database
    2. Parametri salt
      Andare su https://api.wordpress.org/secret-key/1.1/salt/ servizio di chiavi-segrete
      e copiare il contenuto della pagina.
      Individuare lo stesso tipo di contenuto nel file wp-config.php ed incollare il contenuto appena copiato al suo posto. Sono le 8 Righe che iniziano con define(‘.Parametri salt
    3. Prefisso delle tabelle del database WP
      Tutti gli hacker (anche il più scarso) sanno che di default le tabelle WP iniziano con il prefisso “wp_”. Quindi perchè mai dobbiamo facilitargli il lavoro? Usiamo un altro prefisso (personalmente uso un prefisso con doppio “_”. Per esempio “nomesito_miocodice_”. Mai usare il prefisso “wp_”
      Questa cosa va in conflitto con un recente articolo di Wordfence:
      WordPress Table Prefix: Changing It Does Nothing to Improve Security
      È importante però capire che questo articolo è fuorviante perchè non considera che il 99% degli attacchi è fatto da script automatici.
      Ci sono almeno 2 casi a cui potrebbe servire il campo del prefisso:
      Hard-coded plugin-based attacks
      Scripts che fanno lo scan su i form cercano il prefisso “WP_”.
      Cambiare il prefisso MIGLIORA la sicurezza, oggi!Prefisso delle tabelle WP
  • Eseguiamo l’upload dei file WP (mantenendo la struttura) tramite FTP al server.
  • Apriamo il browser web, digitiamo nella barra degli indirizzi, l’indirizzo del vostro sito WP (http://www.nomesito.it o http://www.nomesito.it/blog o blog.nomesito.it ecc.) in modo da concludere l’installazione.
  • A questo punto si aprirà una pagina che chiederà ulteriori informazioni prima di concludere l’installazione WP.
    Schermata installazione WP
  • La pagina chiede di inserire titolo del sito, username, password, linguaggio (solo versione in inglese, in quella italiana il campo linguaggio è mancante), la tua email e la possibilità di permettere ai motori di ricerca di indicizzare questo sito (privacy).
  • Scegliamo una username. Molto importante: mai scegliere Admin. Tutti gli hacker nel mondo sanno che di default la username dell’amministratore principale è proprio admin. Non scegliere neanche “webmaster”, “administrator” o qualche vostra username personale o il vostro indirizzo email.
  • Scegliamo una password MOLTO sicura! Ricordiamoci di usare http://password.social-kaspersky.com/it per verificare la sicurezza della nostra password.
  • Mettiamo un indirizzo email valido!
  • Privacy – Permetti ai motori di ricerca di indicizzare questo sito.
    Per quanto riguarda il campo privacy: in questa fase di installazione e configurazione lo spengo sempre. Questa cosa si può abilitare successivamente all’interno dell’area admin. Impostazioni > Lettura. Va spento perché sarebbe inutile far indicizzare il sito in questa fase. Molto meglio aspettare a quando siamo pronti ad inserire i contenuti veri e propri.
  • Clicchiamo su Installa WordPress e l’installazione è finita!

In ansia per il vostro sito, tranquilli la parte 2 e 3 di questa guida stanno per arrivare! 
Ci rendiamo conto che queste implementazioni non sono una questione da “5 minuti” tantomeno sono interventi banali, quindi per qualunque problema non esitate e rivolgetevi alla vostra Web Agency di fiducia.

Rivolgetevi a Babita!