Sicurezza di WordPress: la guida completa Suggerimenti, considerazioni ed idee per difendersi dagli attacchi informatici sul proprio sito

<span class="entry-title-primary">Sicurezza di WordPress: la guida completa</span> <span class="entry-subtitle">Suggerimenti, considerazioni ed idee per difendersi dagli attacchi informatici sul proprio sito</span>

Come possiamo migliorare la sicurezza di WordPress? La cosa migliore sarebbe quella di delegare ad un esperto questo arduo compito, per quanto sia possibile quantomeno effettuare alcune operazioni essenziali in modo autonomo ed installando al limite qualche plugin.L’argomento sicurezza WordPress è molto delicato, ma con un po’ di pazienza riusciremo senza dubbio a trovare le soluzioni più adatte alle nostre necessità.

Vediamo subito, pertanto, di che si tratta.

La scelta della password (e della username). La prima regola da seguire è quella legata alla scelta della password di accesso al sito, in particolare quella di amministratore. Se inseriamo una password stupida o facile da indovinare per chiunque, daremo l’accesso da amministratore a chiunque riesca ad indovinarla. Esiste infatti una classe di attacchi informatici che viene effettuata in continuazione, e che va sotto il nome di attacchi brute force: come suggerito dal nome stesso, si tratta di script malevoli che tentano di combinare le username e le password più comuni o banali (ad esempio “admin” “admin”, oppure “admin” “12345”), ed avranno così una certa probabilità di riuscire ad accedere al nostro sito. A meno che non siano attivi meccanismi di protezione ad hoc, in certi casi neanche sapremo che il nostro sito è stato attaccato per cui potrebbero rubarci le credenziali di accesso senza che neanche ce ne accorgiamo.

Come scegliere la password. Non è facile, ad oggi, proteggersi dagli attacchi brute force neanche per gli hosting, visto che questi attacchi ad esempio usano indirizzi IP variabili e molto ampiamente distribuiti, per cui è opportuno che la scelta della username e della password rispetti dei requisiti minimali di sicurezza, ovvero:

  1. sia composta da almeno 8 caratteri;
  2. sia composta da lettere e numeri assieme;
  3. contenga almeno un carattere non alfabetico come ! oppure .;
  4. sia abbastanza difficile da indovinare (e, per un discorso di usabilità, facile da ricordare solo per chi ne dovrà fare uso).

Per la username, evitate di scegliere admin come username di amministratore, in quanto uno dei primi tentativi che vengono fatti sui siti, a campione, usa tipicamente questa username. I principali plugin per la sicurezza di WordPress (che vedremo a breve) offrono numerosi meccanismi di protezione e monitoraggio da questo genere di attacchi. Ricordatevi che non sono tutti uguali, nè equivalenti: la maggioranza di essi introducono delle “regole” che rendono la vita più difficile agli attaccanti (che chiamiamo impropriamente hacker, in molti casi), ovvero – ad esempio – gli impediscono di visualizzare il contenuto delle cartelle, ma nessuno di questi è realmente sicuro al 100%. Il rischio di vedersi sottrarre le credenziali di accesso al proprio sito è accentuato da altri fattori esterni, molto spesso. Nel caso in cui abbiate subito un attacco del genere, l’attaccante potrà accedere al vostro sito, cancellare o modificare i contenuti e così via: in questi casi, è sempre opportuno reinstallare una copia fresca di WordPress, e rigenerare tutte le password sperando di disporre di un backup recente del sito salvato a parte.

Cambiare periodicamente la password. Per migliorare la sicurezza è anche un’ottima cosa cambiare periodicamente la password di accesso: cambiando anche solo un carattere della stessa o seguendo un criterio logico, ad esempio una volta al mese, si riuscirà a garantire una massima protezione ai nostri account, specialmente se contengono dati sensibili come le email oppure le password del nostro account Facebook. Cambiare periodicamente le password è importante così come evitare di usare sempre la stessa password per più siti o servizi: nel caso in cui una password sia associata al vostro indirizzo email su un altro servizio, ad esempio, sarete comunque scoperti e passibili di furto di informazioni. Conviene sempre inserire delle variazioni sulle proprie password, dunque, ed evitare di riutilizzarle in gruppo o, quantomeno, modificarle periodicamente. Con il furto di credenziali verificatosi qualche tempo fa è successo proprio questo, e una volta che le password sono svelate in massa su un servizio diverso dal nostro sito, non c’entra neanche più nulla che siano complicate o meno. Motivo per cui è essenziale sia cambiarle spesso, e non “riciclarle” mai altrove. Molta della sicurezza di WordPress passa da qui, ma non è tutto: numerosi attacchi informatici avvengono mediante privilege escalation o, se preferite, senza che l’utente debba conoscere la password del sito.

Nota: si è soliti suggerire, in questi casi, di inserire password complesse (con simboli non alfabetici e piuttosto lunghe, ad esempio babba6538!^h piuttosto che pippo), senza considerare che questo tipo di password sono difficili da gestire e ricordare per l’utente meno esperto. Come fare allora? Non siamo tutti nerd, in effetti (e per fortuna!), per cui una buona regola per generare password sicure è ad esempio costruirle con 3 o 4 parole di fila poco intuitive e che ricordiamo facilmente / non siano ovvie: quindi una buona password per il vostro sito si può generare da qualsiasi ragionamento o associazione di idee non ovvia.

Anche matematicamente, del resto, risultano essere password più difficili da scoprire di quelle “caotiche”: c’è una vignetta di xkcd che ne parla, vedi terzo punto.

Ti piace questo articolo?

2 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Sicurezza di WordPress: la guida completa

Votato 10 / 10, da 2 utenti