10 modi chiave per proteggere un'installazione tipica di WordPress
Pubblicato: 2016-02-20In oltre un decennio, WordPress si è evoluto da un sistema di gestione dei contenuti alle prime armi alla soluzione online più utilizzata. Questa notorietà, in generale, è un bene per l'intera comunità e ha portato al più grande gruppo di sviluppatori per qualsiasi sistema di gestione dei contenuti attualmente disponibile. Il CMS cambia, si evolve e diventa più avanzato, in gran parte a causa delle sue dimensioni, portata e influenza nell'editoria online.
Ma sono proprio queste cose che fanno sì che WordPress sia il bersaglio regolare di tentativi di hacking dannosi e invasioni della privacy. Gli hacker hanno preso atto della proliferazione del CMS tra i siti Web indipendenti e i principali organi di stampa e sfruttano una serie di vulnerabilità che consentono loro di accedere al dashboard e persino al database di WordPress stesso.
Per fortuna, gli utenti di WordPress non sono semplicemente "anatre sedute" in un ambiente online sempre più dannoso. Ci sono una serie di cose che possono essere fatte per migliorare notevolmente la sicurezza di un'installazione di WordPress e contrastare i tentativi degli hacker di impossessarsi del contenuto, del database e dell'affidabilità generale di un sito Web.
1. Modifica il prefisso del database di WordPress
Per impostazione predefinita, ogni installazione di WordPress inserisce le proprie tabelle in un database MySQL con il prefisso "wp_". Questo viene generalmente fatto per renderlo più intuitivo, poiché WordPress è spesso abbreviato in "WP" e semplicemente non c'è confusione su quale CMS appartengano quelle tabelle.
Tuttavia, gli utenti più nefasti di Internet sanno che WordPress collocherà il suo contenuto in tabelle con questo prefisso per impostazione predefinita, e questo è uno dei primi modi in cui entrano in un'installazione o causano problemi con il database del software dall'esterno.
Il prefisso stesso viene impostato nel file wp-config.php prima che avvenga il processo di installazione. A quel punto, i proprietari di siti Web WordPress dovrebbero scorrere il file di configurazione e cercare la seguente riga:
$prefisso_tabella = 'wp_';
Questa riga dovrebbe essere cambiata praticamente in qualsiasi cosa tranne il prefisso predefinito. Scegliere qualcosa come il titolo del sito Web o il nome dell'amministratore principale potrebbe essere un ottimo primo passo per proteggere l'installazione e tenere lontani gli hacker malintenzionati da Internet.
2. Nascondi al pubblico il numero di versione dell'installazione di WordPress
Ogni modello di WordPress viene fornito con una variabile che visualizza le informazioni di base di WordPress e consente la modifica continua dell'intestazione tramite i plug-in. Quella variabile è <?php wp_head() ?> ed è invariabilmente posizionata tra i tag <HEAD> di apertura e chiusura del file header.php . Una delle cose principali eseguite da questa variabile è mostrare al pubblico il numero di versione dell'installazione di WordPress corrente.
Questo viene effettivamente utilizzato dal team di sviluppo di Automattic per scopi di analisi, in quanto consente loro di vedere quali numeri di versione vengono utilizzati di più e se è presente un numero elevato di utenti non correnti.
Consente inoltre agli hacker di visualizzare il numero di versione dell'installazione di WordPress e pianificare il proprio attacco di conseguenza. Poiché le vulnerabilità di sicurezza con WordPress sono generalmente specifiche della versione e vengono corrette in tutte le versioni successive, e l'installazione obsoleta che mostra il suo numero di versione è pronta per l'attacco da parte di coloro che desiderano ottenere un accesso non autorizzato alla dashboard o al database.
Queste informazioni possono e devono essere rimosse dalla variabile “wp_head”; può essere fatto aggiungendo la seguente riga di codice al file functions.php del tema corrente:
remove_action('wp_header', 'wp_generator');Salva quel file e caricalo sul server, e nessuno saprà mai se l'installazione di WordPress è attuale, obsoleta o addirittura in versione beta. Nulla sarà pubblicizzato pubblicamente.
3. Fissare un limite al numero di tentativi di accesso non riusciti
In genere, gli utenti Internet dannosi ottengono l'accesso al dashboard di WordPress attraverso un attacco di "forza bruta" che inserisce rapidamente decine di migliaia di password. Questo attacco cerca di utilizzare parole del dizionario e numeri comuni per capire le credenziali di sicurezza dell'utente. Senza un vero e proprio blocco su questi ripetuti tentativi, non c'è davvero nulla che possa fermarli.
È qui che entra in gioco il plug-in Login LockDown. Utilizzando il plug-in, gli utenti di WordPress possono impostare un limite al numero di tentativi di accesso non riusciti che possono essere effettuati prima di essere sostanzialmente bloccati fuori dal dashboard per un'ora. Quei tentativi falliti sono legati agli indirizzi IP, rendendo questo plugin ancora più efficace.
4. Gli amministratori non dovrebbero nominarsi "Admin"
Quando si installa WordPress dal programma di installazione integrato, l'utente amministratore viene generalmente chiamato " admin " per impostazione predefinita. Gli utenti Internet dannosi lo sanno ed è il primo nome che cercheranno di indovinare quando ottengono l'accesso con la forza bruta al dashboard di WordPress.
Quando installi WordPress per la prima volta, assicurati di nominare l'utente amministratore qualcosa di difficile da indovinare (forse un soprannome o qualcos'altro). Un attacco con password di forza bruta è efficace solo se il nome utente dell'amministratore è noto. In caso contrario, sarà doppiamente impossibile accedervi.
5. Mantieni WordPress aggiornato in ogni momento e sii tempestivo
Una nuova versione di WordPress viene in genere rilasciata ogni poche settimane circa, con aggiornamenti minori e patch di sicurezza che servono a proteggere gli utenti dagli hacker che prendono sempre più di mira dashboard e database su Internet.
Non riuscire a mantenere aggiornato WordPress è essenzialmente come dare agli hacker un invito aperto a entrare, eliminare alcuni post e compromettere la sicurezza del sito web. È davvero una brutta cosa rimanere indietro con questi aggiornamenti, soprattutto perché un tema inalterato mostrerà anche il numero di versione per le menti indagatrici.
Dalla versione 3.0, WordPress ha abilitato l'aggiornamento automatico della Dashboard con un solo clic. In effetti, la Dashboard notifica automaticamente agli utenti gli aggiornamenti e li esorterà a eseguire l'aggiornamento con un testo piuttosto audace e eccezionale. Questo dovrebbe essere fatto non appena è disponibile un aggiornamento; non comporterà la perdita di file, plug-in, temi o impostazioni.
Invece, l'aggiornamento di WordPress servirà solo ad abilitare le nuove funzionalità e le vulnerabilità di sicurezza delle patch che sono state scoperte da quando l'ultima versione è stata inviata ai 60 milioni di utenti del software. Rimani sempre aggiornato nel tentativo di respingere gli hacker.
6. Nascondi il file WP-Config.PHP da Virtually All Internet Users
Gli utenti di WordPress non dovrebbero mai dimenticare la potenza del file .htaccess quando cercano di nascondere i file e proteggere l'integrità della dashboard e del database di WordPress. In effetti, questo file è essenziale per garantire la sicurezza a lungo termine di WordPress in diversi modi. Utilizzando poche semplici righe di codice, il file ".htaccess" può effettivamente nascondere completamente i file agli utenti Internet pubblici, anche se su quel file non sono impostati i permessi appropriati.
Questa è la soluzione per la visualizzazione pubblica del file "wp-config.php", che contiene elementi come le chiavi API e il prefisso del database necessari per compromettere un'installazione.
Per proteggere questo file da utenti Internet dannosi, aggiungi semplicemente le seguenti righe di codice al file ".htaccess" che si trova nella cartella principale dell'installazione di WordPress. Se non esiste un file di questo tipo, creane uno:
<File wp-config.php> ordinare consentire, negare negato da tutti </File>
Con questa riga di codice inserita nel file, salvalo e caricalo sul server tramite un client FTP. Il file di configurazione per la relativa installazione di WordPress ora scomparirà sostanzialmente dalla visualizzazione pubblica e ciò può solo significare cose positive per la sicurezza e la tranquillità.
7. E, parlando di autorizzazioni di file, controllale per garantire la sicurezza
WordPress non richiede regole molto permissive per l'accesso e la modifica dei file per funzionare correttamente. In effetti, tutte le impostazioni del sito e le informazioni sui contenuti vengono scritte nel database anziché archiviate in file PHP lato server. Per questo motivo, non c'è assolutamente alcuna giustificazione per l'utilizzo di un valore CHMOD 777 su qualsiasi file WordPress. Questo è, invece, semplicemente un modo per garantire che gli hacker abbiano un facile accesso alle impostazioni di configurazione o ad altri file che potrebbero compromettere l'installazione.
Per controllare le autorizzazioni e potenzialmente correggerle per un'installazione più sicura, apri un client FTP e vai alla directory principale di WordPress. Fare clic con il pulsante destro del mouse su qualsiasi file PHP e cercare un'opzione di menu relativa alle autorizzazioni. Nella finestra risultante, cerca un numero che indichi la disponibilità del file. Di certo non dovrebbe essere 777 . In molti casi, si consiglia di utilizzare un valore 744 CHMOD che limita l'accesso e la modifica dei file solo all'utente FTP root del server. Modificare questa impostazione se necessario, quindi salvarla. Il server si aggiornerà di conseguenza.
8. Usa il file .htaccess per nascondere il file .htaccess
La maggior parte delle persone non considera questa una possibilità, ma il file .htaccess può effettivamente essere utilizzato per nascondersi dal pubblico. Lo fa già in gran parte impiegando un nome file che inizia con un punto, ma che non funzionerà su computer basati su Windows. Tali macchine devono trovare il file inaccessibile utilizzando le istruzioni contenute all'interno di ".htaccess" stesso. Le autorizzazioni in realtà sembrano abbastanza simili al metodo utilizzato per nascondere il file di configurazione PHP di WordPress, come si vede qui:
<File .htaccess> ordinare consentire, negare negato da tutti </File>
Ancora una volta, una volta che quella riga è stata inserita nel file, può essere salvata e caricata sul server. Ora sarà invisibile praticamente a tutti coloro che visitano il sito, ad eccezione dell'utente amministratore root.
9. Comprendere e utilizzare la potenza di un documento HTML vuoto
Tutti coloro che vogliono accedere a un'installazione di WordPress compromessa sanno che il software inserisce i suoi plugin e temi in una directory specifica. Controlleranno queste directory per cercare la mancanza di plug-in di sicurezza o una serie di vulnerabilità basate su XHTML e CSS, quindi sfrutteranno queste cose per ottenere l'accesso. Questo è in realtà abbastanza facile da prevenire.
Per assicurarsi che gli elenchi di file in queste directory non vengano visualizzati da nessun utente di Internet, è sufficiente creare un documento HTML vuoto e inserirlo nella cartella. Il documento dovrebbe essere qualcosa di piuttosto semplice, con tag head e un titolo che dice qualcosa come " Accesso limitato ". Questo titolo potrebbe rivelare che l'amministratore del sito sa una o due cose sulla sicurezza e invierà utenti malintenzionati ad altri siti Web.
10. Tieni sempre disponibile un backup recente
Il modo giusto per avvicinarsi alla sicurezza di un'installazione di WordPress è che si tratta di una parte di preparazione e una parte di prevenzione.
L'aspetto di "preparazione" di questo processo si presenta sotto forma di backup. Sia i file WordPress effettivi che il database utilizzato per archiviare le informazioni dovrebbero essere sottoposti a backup su base regolare; questo può essere fatto in diversi modi, inclusi diversi plugin di WordPress per il dashboard.
Se è necessario un metodo più avanzato per eseguire il backup dei file, gli utenti possono utilizzare gli strumenti di backup nelle aree di amministrazione del backend di cPanel o Plesk Panel. Inoltre, gli amministratori possono automatizzare il processo e creare processi Cron in modo che un backup recente sia sempre prontamente disponibile.
La cosa importante della sicurezza di WordPress è essere sempre preparati allo scenario peggiore. Quando si tratta di garantire tempi di attività e affidabilità, anche quando è sotto attacco da parte di un hacker malintenzionato, un backup del sito è il modo più semplice per tornare online dopo che la falla nella sicurezza è stata chiusa.
Vigilanza e uso intelligente sono le chiavi per un'installazione sicura di WordPress
In generale, negli ultimi anni WordPress è diventato esponenzialmente più sicuro. Per un breve periodo, è sembrato che ci fosse una nuova vulnerabilità di sicurezza ogni due settimane. Questo modello è stato particolarmente preoccupante per gli utenti più grandi e più aziendali e il team di Automattic ha rapidamente iniziato a lavorare su un riavvio completo.
Quel riavvio era in gran parte la versione 3.0, con un'architettura molto più sicura e strumenti di aggiornamento automatico che eliminavano il duro lavoro di rimanere aggiornati con le ultime patch e correzioni di sicurezza.
Quando si tratta di mantenere la sicurezza, queste versioni dovrebbero essere assolutamente mantenute aggiornate e gli utenti dovrebbero utilizzare autorizzazioni, restrizioni e trucchi di sicurezza rigorosi, per rimanere al sicuro da utenti Internet dannosi.