La sicurezza è un tema fondamentale per qualsiasi utente online, sia esso attivo sui social, titolare di un sito web, di un blog o di una community. La grande diffusione del CMS – WordPress – ha portato  all’aumento esponenziale di attacchi hacker (brute force, sql injection) , e di conseguenza numerosi  disagi all’utenza.

E’ indubbio che ci si senta spaesati nel momento stesso nel quale scopriamo di essere stati attaccati, che il nostro blog riceva decine di messaggi al giorno contenenti le piu’ svariate notizie, dall’invito all’acquisto di erbe dimagranti, pillole per allungare il pene, viagra o roba simile. Questa haimè è la triste realtà di un universo che sta letteralmente andando alla deriva, soprattutto considerando che non sono delle persone a inviarci quei messaggi, ma fin troppo spesso sono dei BOT.

La verità che 1/4 del web è realizzato e gestito su piattaforma WordPress, questo ti fa capire l’enorme impatto di questo fenomeno sulle centinaia di migliaia d’utenti che, quotidianamente, si ritrovano il sito “riempito” di robaccia e non sanno come affrontare la cosa.

Niente paura però, aggiornare wordpress è il primo passo per rendere sicuro il nostro sito, quindi non dimenticatevi di farlo, sempre ovviamente tenendo conto che dovrete fare – per sicurezza – ogni volta un backup. Non si sa mai.

Non utilizzare l’utente “admin” invece diventa una delle scelte necessarie affinchè nessuno possa penetrare il vostro sito. Soprattutto nelle prime versioni, infatti, l’utente admin veniva creato di default e, di conseguenza, brute force ha spesso penetrato diversi siti semplicemente seguendo la scia banale delle credenziali admin. Cambiare il nome utente a la password, quindi, diventa un metodo abbastanza buono per contrastare diversi attacchi hacker. Anche creare una password complessa, con generatori strong, diventa un buon metodo per migliorare il proprio livello di sicurezza.

Un buon metodo per evitare attacchi restano le wordpress key, che vanno aggiunte nel file wp-config.php per migliorare la sicurezza, e l’utilizzo-gestione dei cookie di wordpress. Molti non sanno che le key facilmente reperibili, sono generate dal sito ufficiale: https://api.wordpress.org/secret-key/1.1/ e andranno poi inserite nel file wp-config.php nello spazio dedicato.

Il prefisso delle tabelle inoltre potrà essere cambiato sia nel database sia nel file “wp-config.php”. Questa scelta permetterà di aumentare ulteriormente la sicurezza di un sito wordpress. E’ importante comprendere che, siccome wordpress inserisce di default il prefisso delle tabelle “wp_” , è consigliabile cambiarle per evitare che un hacker qualunque possa effettuare una SQL injection.

Nascondere la versione di wordpress è un altro modo per aumentarne la sicurezza. Osservando il codice di un sito infatti è possibile risalire alla sua versione, e di fatto questo consente a un qualsiasi hacker di carpire informazioni vitali per l’attacco. Al fine di evitare che l’hacker conosca la tua versione wordpress, basta inserire il seguente codice nel file function.php:

/* Hide Version Number */
/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fb_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'fb_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'fb_remove_wp_version_strings' );
/* Hide WP version strings from generator meta tag */
function fb_remove_version() {
return '';
}
add_filter('the_generator', 'fb_remove_version');
Infine risulta essere un buon metodo di prevenzione anche eliminare i temi e i plug-in non utilizzati, cercando di abbassare l’eventuale possibilità di falle nel codice, oltre ad aggiornare sempre all’ultima versione i plug-in installati.
Tutte le cartelle poi, andrebbero impostate con i permessi 755 e i file 644, mentre il wp-config.php dovrebbe essere settato con permessi 600.
Ricordate che la sicurezza online non è mai troppa e, nonostante la presenza continua di nuovi BOT, o gente che intende carpire i vostri dati a fini malevoli, ciò che conta è fidarsi e affidarsi solamente a veri professionisti del web, ovvero persone esperte che sappiano scegliere le migliori impostazioni per rendere il tuo sito davvero sicuro.
Lasciatemi comunque aggiungere che fino a quando esisteranno realtà “penetrabili” come il CMS wordpress, ovvero progetti che non consentono al programmatore veri e propri interventi, ma solo “modifiche” relative, tutto risulterà difficile al cliente, compresa la sicurezza di un e-commerce, un sito di finanza o altro.
Se siete professionisti, a maggior ragione, non dovreste affidarvi a wordpress “perchè lo fanno tutti” o “solo per risparmiare“, e neanche pensare che “tanto c’è il plugin”, perchè si, esistono plugin che fanno anche il caffè, questo è indubbio, ma è come lo fanno poi questo caffè? A questo ci avete pensato?
Solo il vero professionista apprezza e sa scegliere il lavoro di un altro vero professionista.
Buon lavoro a tutti.

Fiorella Spagnoli