Questo articolo su come aumentare la sicurezza di un sito realizzato con WordPress, non è altro che il seguito di quello scritto qualche tempo fa su come mettere in sicurezza WordPress, che include alcune tecniche da adottare per mettere al sicuro l’installazione del famoso CMS. Il consiglio pertanto, è quello di leggere prima il precedente articolo, mettere in pratica tutti i vari punti di sicurezza e, successivamente, passare a quelli elencati di seguito. Detto ciò, procediamo con questi due semplici “rinforzi” che per essere eseguiti non necessitano di particolari abilità tecniche.

Spostare il file wp-config.php

Il file wp-config.php di WordPress, come appunto detto nel precedente articolo, oltre a possedere al suo interno le credenziali del database, nello specifico db_name, db_user, db_password e db_host e le cosidette Secret Key, ossia le chiavi univoche di autenticazione, ha la particolarità di essere un file particolarmente allettante per i malintenzionati, proprio per i dati contenuti al suo interno.
Un semplice trucco da apportare per salvaguardarlo è il suo spostamento, nello specifico, basta farlo tramite FTP muovendolo dalla sua posizione di default alla precedente cartella del vostro server, ovvero prima della root principale, posizione in cui i malintenzionati non possono arrivare (a meno che ovviamente non si siano verificate falle nel server del vostro provider).

Modificare il primo utente Admin

La premessa è ovviamente quella di evitare palesemente di creare un qualsiasi utente con il nome admin, in quanto è fra i primi tentativi che il “nemico” adotta per cercare di bucare il sito. Va detto però che anche se voi adoperate un quasiasi username come primo utente amministratore, WordPress lo classificherà all’interno del database MySql come admin_1, come capite quindi, questa dicitura così semplice e scontata potrebbe sempre stimolare il mlintenzionato di turno a fare dei tentativi più specifici, soprattutto se il database in questione ha qualche vulnerabilità diretta o indiretta.
Per ovviare a questo problema, dopo aver creato il vostro primo utente (che di default sarà un Amministratore), create subito un secondo utente al quale date un ruolo di Editore. Fatto questo create un altro nuovo utente con ruolo da Amministratore e cambiate il ruolo del primo utente Amministratore in Sottoscrittore.

Se scritto così vi sembra troppo complicato, di seguito trovate l’ordine di esecuzione:

  1. Create il primo utente (che ovviamente sarà un Amministratore, come esempio lo chiameremo Admin_1)
  2. Create il secondo utente con il ruolo di Editore
  3. Create il terzo utente con il ruolo da Amministratore (come esempio lo chiameremo Admin_2)
  4. Uscite dal pannello di WordPress e rientrate con le credenziali di Admin_2
  5. Con l’utente Admin_2 cambiate il ruolo d Admin_1 in Sottoscrittore

Fatto, ora il vostro utente Amministratore è ancor più al sicuro anche dal lato database.