Prepariamo l’armatura

Dopo le premesse citate nei due articoli precedenti (WordPress è sicuro? e Una porta sul retro) vediamo come agire per implementare una azione decisiva e proteggere il nostro WordPress.

Partiamo dall’analisi di quelle che sono le vulnerabilità più sfruttate e come è possibile alzare il livello di protezione.

Il nostro WordPress per funzionare utilizza un database dove, all’interno di tabelle dedicate, immagazzina tutti i dati necessari. Queste tabelle hanno un prefisso di default wp_ quindi tutte le tabelle si chiameranno wp_nometabella. Questa è una delle vulnerabilità che un attaccante tenterà di sfruttare provando a inserire codice malevolo all’interno del database. Una buona pratica è cambiare il prefisso di default con uno a vostra scelta, questo confonderà l’attaccante e lo costringerà a scoprire il prefisso prima di poter identificare la tabella da attaccare.

Un’altra cosa importante da tener presente è che se manteniamo la pagina di login di default (wp-admin) e il nome utente amministratore (admin) il nostro “simpatico attaccante” dovrà soltanto provare a scoprire la password per poter accedere con i privilegi amministrativi. Quindi è fondamentale cambiare la pagina di login, il nome dell’utente amministratore e usare sempre password forti cambiandole con regolarità.

Mantenere costantemente aggiornati plugin e temi ci aiuta a non esporre problemi di vulnerabilità il nostro codice. Così come l’attenzione nel creare account per i nostri collaboratori che devono essere persone fidate e formate e dovrebbero avere una tipologià di account dove gli sia permesso di eseguire SOLO le attività a loro dedicate e MAI permessi amministrativi. Inutile ribadire che anche questi account devono avere delle password forti e cambiate con regolarità.

Ci sono inoltre una serie di files che andrebbero protetti, modificandone i permessi, perchè potrebbero riportare la versione di wordpress o alcune particolari caratteristiche, che potrebbero suggerire all’eventuale attaccante dove agire con maggiore successo. Non ci dilungheremo, per problemi di spazio, su questo dettaglio ma consigliamo caldamente l’installazione di un plugin per la sicurezza che ci permetterà di eseguire una scansione delle eventuali vulnerabilità rimaste e correggerle via via che si presentino.

Alcuni di questi plugin ci permettono, inoltre, di eseguire scansioni sui files e avvertirci nel caso avvengano modifiche non autorizzate.

Per ora terminiamo quì la panoramica dei consigli su come “preparare l’armatura” al nostro sito per metterlo al sicuro dalle grinfie di malintenzionati.

Se vuoi saperne di più o hai bisogno di una consulenza personalizzata contattaci