WordPress è diventato in pochi anni il CMS di riferimento per lo sviluppo di siti web dinamici, al punto che ormai possiede la fetta di mercato più grande rispetto a concorrenti tipo Joomla e Drupal. Essendo divenuto così importante, va da se che è diventato anche il bersaglio preferito di molti attacchi informatici, pertanto questo articolo esplorerà i primi passi indispensabili, ed oserei dire anche obbligatori, per mettere in sicurezza WordPress quando si realizza un sito web.

Con i tempi che corrono la sicurezza su internet è diventato un vero e proprio lavoro, e conoscere almeno le basi della sicurezza è un po’ come conoscere il “Padre nostro” per un cristiano (e su questo purtroppo non sono un esperto), e se si vuole avere un sito funzionale ed evitare possibili attacchi o tentativi di intrusione, una conoscenza di base è d’obbligo. Iniziamo quindi con l’elenco dei consigli per mettere in sicurezza un sito WordPress.

Eliminare i file inutili di WordPress

Anche se può sembrare un’eresia, è bene sapere che l’installazione di WordPress include alcuni file inutili ai fini della funzionalità del sito, ma diventano molto utili per i malintenzionati che decidono di “bucare” il sito, perchè contengono al loro interno delle informazioni che potrebbero essere sfruttate per colpire WordPress nei punti deboli in base alla versione installata. I file in questione che devono essere cancellati manualmente sono:

  • Leggimi.txt
  • License.txt
  • Licenza.html
  • Readme.html

Usare una password sicura

Questo è uno dei proclami più noti di qualsiasi sito web, ma ad oggi purtroppo viene ancora molto spesso ignorato.
La prima cosa da non fare assolutamente, è utilizzare qualcosa che vi ricordate a mente per vostra comodità, la buona regola è che creiate un file Excel con tre colonne dove inserite sito, nome utente e password. Ovviamente le password devono avere almeno 12 caratteri alfanumerici e devono essere tutte diverse fra loro, altrimenti il malintenzionato di turno una volta trovata la password, il primo tentativo che farà sarà quello di testarla ovunque.
Se per le password siete a corto di idee, di seguito trovate alcuni siti online che le generano in modo casuale:

Altra cosa molto importante, sempre riferita ai campi personali dell’utente, è quella di evitare nel modo più assoluto di adoperare come nome utente il classico “admin“, che è uno dei primi tentativi che i cracker fanno per entrare nel sito. Lo dico perchè ancora oggi in rete si trovano articoli con questa malsana abitudine da evitare come la peste.

Modificare le Secret Keys

Le Secret Keys non sono altro che delle stringhe alfanumeriche di codice, o tecnicamente parlando, delle chiavi univoche di autenticazione, che consentono di criptare alcune delle informazioni più importanti di un sito WordPress come ad esempio password e cookies. Tali chiavi si trovano all’interno del file wp-config.php e vanno modificate subito dopo aver inserito i vostri parametri del database, ossia DB_NAME, DB_USER, DB_PASSWORD, DB_HOST.

Per farlo, basta aprire il link presente all’interno del file wp-config.php (https://api.wordpress.org/secret-key/1.1/salt/), si aprirà una pagina del browser con le nuove stringhe che dovrete copiare e poi sostituire nelle 8 linee di codice di “define” per otterrete un risultato simile al seguente:

define(‘AUTH_KEY’, ‘G+Yix%g1mjRd?/B*bmXaF&Kv_c7%][$bpU2P9N+e=fF%>mka<Dz2oX9#sKNO0b4]’);
define(‘SECURE_AUTH_KEY’, ‘V_Zi7zmXmoAK/![lV}SV6|)+n;?.Ytw$Z.~,8jC59ecJxWlF9BoI }4|E+l% $fu’);
define(‘LOGGED_IN_KEY’, ‘^f/fC-@h/7qYw=?viu0&yzvpUh48Uw$(0<5#6: .4oq]2Ke=(e#uFXV<!C0XoAMw’);
define(‘NONCE_KEY’, ‘}:p5jt-k|9.$7w|`uWByXq>j{Mq(nbHXLZ~7^:KZR 3oN*>@uTmJRU<D5F6=U)/D’);
define(‘AUTH_SALT’, ‘ +&P;j]Ko%Z.j,w+MU`}90r_DbWjeem-?:NT:%F!AB).)tj>I&f~/bC#cD/9o-yM’);
define(‘SECURE_AUTH_SALT’, ‘gkWBR:3!8We$K-F>_?kTbH&x&2(iuG9Ip0tw2jKs*D9_xC>oPCJ}J-UWB&XljOlL’);
define(‘LOGGED_IN_SALT’, ‘Qm-ep>8;Bl sxVpr%46nR/m}D]r_>|$z8t%[RO6aRGs-j^`I|N*dey^SPuqcPSP=’);
define(‘NONCE_SALT’, ‘Y,FOB8|k9Vp=hy:nAk=Ix(3sgiTPtcAGhr|TXC4Qevixy_0LYs-jw]{^*!M/-Y}`’);

Modificare il suffisso del Database

Il suffisso del database, è quel “wp_” che ci ritroviamo a dover compilare nell’ultimo campo dell’installazione di WordPress e che andrà ad aggiungersi alle tabelle del nostro database. Trattandosi ovviamente di un’impostazione di default dello stesso WordPress, è bene evitare di lasciarla così e di adoperare anche in questo caso dei caratteri alfanumerici che possano rendere la vita più difficile ad un tentativo di intrusione.
Un esempio molto semplice su come modificare il suffisso del database di WordPress lo potete vedere di seguito:

“cZ_5t9W2n1C3_”

Conclusioni

Quanto riportato sopra sono dei consigli pratici basilari ed ovviamente non escludono il fatto che un qualsiasi cracker averla vinta e bucare il sito, ma quantomeno questi accorgimenti ci permettono di rendergli il lavoro più complicato del solito. Aggiungo anche che, come molti sanno, la sicurezza totale purtroppo non esiste, ma poichè certe precauzioni aiutano, la due cose migliori che si possono fare sono quelle di tenere sempre il sito aggiornato e, soprattutto, conservare sempre un backup del sito da poter utilizzare in casi estremi per rimettere online il sito.