Come proteggere un sito WordPress da attacchi hacker

Oggi voglio parlare di un argomento molto importante è delicato, la sicurezza dei siti internet, nello specifico in questa guida viene spiegato come mettere in sicurezza un sito WordPress così da evitare attacchi di hacker che “bucano” (in gergo si dice così) il vosto sito web.

Tenere aggiornato il sito WordPress

La prima cosa da fare è tenere sempre aggiornati plugin e temi WordPress, infatti molti siti internet vengono compromessi proprio perchè gli aggiornamenti non vengono eseguiti periodicamente.

Sui siti in produzione è buon norma eseguire prima un backup dell’intero sito, oppure ancora meglio utilizzare un’area di sviluppo per capire e testare i vari aggiornamenti, infatti se sono state effettuate personalizzazione ai plugin oppure personalizzazioni al template, andrebbere completamente perse, a meno di non aver creato un tema child.

Una volta valutati i benefici dell’aggiornamento e testato che non compromette le funzionalità del sito stesso, a questo punto è possibile procedere con l’aggiornamento.

Come mettere in sicurezza un sito WordPress

Ci sono diversi plugin anche gratuiti che fungono un pò da firewall e un pò da deterrente agli hacker; ho testato il plugin gratuito “Sicurezza WP” (All In One WP Security & Firewall) che ha una serie di funzionalità molti utili, atte a prevenire i più comuni attacchi di piramenti informatici.

Installandolo vi renderete conto di quanti tentativi di attacchi vengono eseguiti nell’area login di WordPress, è una cosa incredibile !

Come configurare All In One WP Security & Firewall per WordPress

Per prima cosa scarichiamoil plugin da qui che una volta installato ed attivato, andrà configurato come segue.

Cliccando su “Sicurezza WP” si accede alla bacheca del plugin

bacheca impostazioni sicurezza wp

Vediamo cosa abilitare

Cambiare il nome utente con cui si effetua il login a WordPress.

Gli attacchi più comuni, che sia chiamano “Brute Force Login”, sono quelli all’area del pannello amministrativo WordPress, perchè la maggior parte delle volte come nome utente si utilizza “admin” che è il nome la username di default di wp, il secondo motivo è che le password utilizzate sono troppo poco complesse, il mio consiglio è quello di utilizzare un generatore di passworrd “robuste”, online ve ne sono a iosa, per esempio passwordsgenerator.net .
Utilizzare password diverse per ogni account, non fate i furbi 🙂 che se poi nè scovano una le hanno trovate tutte!

cambia utente login wordpress

Digitare un nome utente diverso da admin e premere il pulsante “Cambia Nome Utente”, nell’immediato si verrà disconnessi dal back end, riconettersi utilizzando il nuovo utente.

Come impedire l’accesso a WordPress con utente errato

Cliccando su “Login utente”  troveremo l’area dedicata al blocco login errati, funzionalità utilissima in quanto dopo un numero di tentativi di accessi definito, l’indirizzo ip viene inserito in una blacklist per un tempo definito nelle impostazioni.

Configuriamo quindi come segue

Attiva funzioni di blocca : serve ad attivare questa funzionalità

Consenti richieste di sbocco : viene generato un link per richiedere lo sblocco dell’account, consiglio di non abilitare la funzione

Max tentativi login : il numero massimo di tentativi di login errati prima che l’indirizzo ip venga bloccato, io di norma mette 3, ma potete anche mettere 1

Tempo tentativi riprova login (min) : è il lasso di tempo che passa tra un tentativo di accesso ed un altro, se è inferiore ai minuti specificati, l’ip viene messo nella lista nera, quindi bloccato. Potete mettere 5 come valore o anche 3.

Tempo durata blocco login (min) : indica il tempo per cui l’indirizzo ip resterà bloccato, utilizzare 60, 1 ora mi sembra sufficiente come deterrente !

Mostra messaggio errore generico : abilitare questa opzione così da sovrascrivere completamente i messaggi nativi di WordPress, che altrimenti citerebbero “password errata” o “utente errato” e non farebbero altro che aiutare il malintenzionato a crackare la password.

Blocca immediatamente nomi utenti non validi : blocca all’istante chiunque tenti di accedere all’are login utilizzando un nome utente che non esiste nella lista user, abilitate questa opzione è una scelta che consiglio.

Notifica via email : consiglio di abilitare questa opzione solo ai fini di studio, in quanto per ogni login fallito verrò inviata una mail, consiglio di farlo solo per prova qualche giorno, vi renderete conto di quanti tentativi di attacco ci sono all’area login di WordPress.

wordpress impedire accesso area login

Come approvare manualmente le nuove registrazioni di WordPress

Cliccando invece su “Registrazione utenti” e flaggando la casella ” Seleziona questa casella se desideri disattivare automaticamente tutti gli account di nuova registrazione in modo da approvarli manualmente.“, eviteremo che i nuovi utenti registrati vengano approvati via link, in questo modo è possibile controllarne la loro veridicità ed eventualmente approvarle manualmente se attendibili

Come cambiare il prefisso delle tabelle del database WordPress

Bene, la sicurezza del database è una parte molto importante che riguarda la sicurezza, Worpress di default utilizza il prefisso “wp_” , poco sicuro se si pensa che la maggior parte delle installazione sono fatte in questo modo, potete solo immaginare qualche grande falla di sicurezza possa essere, è come dormire con la porta di casa aperta….

Utilizzando la funzione “Sicurezza Database” c’è la possibilità di cambiare il prefisso della tabelle MySQL anche se il sito è già stato sviluppato.

Prima di tutto eseguire un backup del database

Successivamente potete utilizzar un prefisso per le tabelle diverso da wp_, è sufficiente specificarlo nella casella e premere “Cambia Prefisso DB”

Il mio consiglio è di utilizzare 6 caratteri alfabetici casuale, tipo “ljdgtz_”

come cambiare prefisso delle tabelle database wordpress

Come bloccare il login a WordPress da determinati indirizzi IP

Il bello della funzione “Gestione Blacklist” è che è possibile specificare manualmente gli indirizzi ip da bloccare, in questo modo viene negato completamente l’accesso all’area amministrativa di WordPress.

come bloccare accesso a indirizzi ip

Come installare e configurare un firewall sul sito WordPress

L’altra funzionalità molto interessante è quella del firewall che non fa altro che inserire delle direttive nel file .htaccess per bloccare :

  1. Nega l’accesso al file .htaccess
  2. Disabilita la firma del server
  3. Imposta il limite dell’upload dei file a 10 MB
  4. Nega l’accesso al file wp-config.php

Consiglio di fare un backup del file htaccess prima di abilitare questa funzionalità, il file lo si trova nell’area ftp connettendosi con un client FTP tipo FileZilla.

Abilitare solo la funzione “Firewall di base” come in figura

configurazione firewall wordpress

Come rinominare la pagina di accesso al login di WordPress

Selezionando “Brute Force” è possibile specificare un indirizzo diverso dal consueto “wp-admin”, il top del top sarebbe quello di utilizzare un codice alfanumerico che conoscete solo voi, una cosa tipo “a5hjl34”, ma mi rendo conto che non è proprio semplice ricordarsela a meno di non salvarla nei preferiti, potete quindi optare per qualcosa di più semplice tipo il vostro nome o una serie di numeri.

redirect area login wordpress

Salvando le impostazioni, verrà abilitato il nuovo indirizzo per effettuare il login.

Programmatore WordPress e Joomla, PHP/MySQL.
Sono freelance mi trovi come Professionista Joomla e articolista nella lista ufficiale di joomla.it, e come Professionista WordPress nella lista ufficiale di WUG Italia.
Dal 2006 sono titolare di Web Synapse, una Web Agency di Milano.
Pratico Kung Fu Wing Chun e mi piacciono le tagliatelle al ragù ! :-)

Commenta l'articolo

Pin It on Pinterest

Condividi l'articolo. Grazie.

Vuoi essere aggiornato ?