• User

    Aumentare la sicurezza di un sito Wordpress, cosa fare e non fare?

    Salve, mi chiamo Francesco e mi sono appena registrato al vostro meraviglioso forum. Nelle prossime settimane vorrò realizzare un sito web personale con il famoso cms wordpress.
    Avendo conoscenze nulle, a livello di sicurezza, vi chiedo cosa devo e non devo fare per avere un sito non facilmente vulnerabile, magari mi consigliate di leggere qualche guida o libro.
    Grazie mille per l'aiuto, buona giornata.


  • Moderatore

    Due azioni fondamentali sono la configurazione del nome dell'amministratore, che deve essere tassativamente diverso da admin, e l'uso di qualche plugin per la sicurezza che impedisca in particolare gli attacchi con la forza bruta. Limit Login Access è un banalissimo plugin che fa il suo sporco lavoro in questo senso ma ce ne sono altri che fanno anche altre cose e altre persone potranno portare le loro esperienze.


  • User Attivo

    Come già detto, non usare "admin" come username dell'utente amministratore. E neppure "wordpress", "test" o un nome riconducibile al tuo dominio, perchè sono facilmente attaccabili. E soprattutto, scegli una password sicura (ma questo credo sia scontato).
    Dato che devi ancora installare WP, ti consiglio di cambiare il prefisso delle tabelle del database, nel file wp-config.php, con qualcosa di lungo e poco intuibile, per prevenire gli attacchi di SQL injection. Per esempio:
    [PHP]
    /**

    • Prefisso Tabella del Database WordPress.
    • È possibile avere installazioni multiple su di un unico database
    • fornendo a ciascuna installazione un prefisso univoco.
    • Solo numeri, lettere e sottolineatura!
      */
      $table_prefix = 'hr3ow0_';
      [/PHP]

    Per quanto riguarda i plugin io mi trovo bene con "All In One WP Security & Firewall" che da solo fa un bel po' di cose.

    Infine (last but not least) ricorda sempre: backup regolari e periodici di file e database! Importantissimo!

    Buon lavoro


  • User

    Ok, grazie mille per le risposte se avete dei corsi da suggerirmi o dei libri per approfondire l'argomento fatelo pure perché voglio studiare bene l'argomento. Grazie


  • User

    I suggerimenti di Riccardo79 e NetMassimo sono ottimi.
    Personalmente vorrei solo aggiungere il link alla pagina ufficiale di Wordpress che spiega come difendersi al meglio: codex.wordpress.org/Brute_Force_Attacks


  • User

    Ok, grazie mille per le risposte.


  • User Attivo

    I suggerimenti scritti in precedenza sono importantissimi, suggerisco il plugin iThemes Security che forse è uno dei più user-friendly e ti da' un sacco di opzioni. Per il resto fai sempre molta attenzione a quello che installi nel tuo sito, soprattutto se trovi theme e plugin fuori dal sito ufficiale che potrebbero contenere backdoor e/o virus e/o indebolire il sito.


  • User

    @Riccardo79 said:

    Infine (last but not least) ricorda sempre: backup regolari e periodici di file e database! Importantissimo!

    Esistono plugin anche per fare il backup di wordpress? Scusa l'ignoranza.


  • User Attivo

    @Raskolnikov said:

    Esistono plugin anche per fare il backup di wordpress?

    Io utilizzo il servizio esterno "Infinite WordPress", che permette di gestire numerosi siti WP e di fare il backup completo di file e DB.
    Per fare il backup del solo DB esistono diversi plugin, per fare il backup dei file ho visto che esiste un plugin chiamato backWPup (non lo uso, quindi non so dirti quanto sia valido) che fa anche l'upload del file col backup su DropBox, server FTP, etc.


  • Bannato Super User

    preferisco akeeba o uno a pagamento su dropbox e altri servizi cloud


  • User Newbie

    Ciao omonimo, come consigliato da salvatore79 ti consiglio anche io iTheme Security. In rete trovi parecchie guide per una configurazione ottimale. Provvede anche ai backup del database.

    Per il backup dei file ci pensa il mio hosting e mi scarico il gzip del sito periodicamente.

    Evita comunque plugin e temi compromettenti: abbi sempre cura che vengano aggiornati dagli sviluppatori e non siano datati. Leggi anche i feedback degli utenti che li hanno testati prima di te per avere un'idea della loro qualità. Evita come la peste i temi crackati che oltre ad essere illegali possono portarsi dietro del codice malevolo.

    Altro suggerimento che non ti è stato dato è quello di bloccare la numerazione consecutiva degli utenti registrati. Lo puoi fare mediante un plugin che si chiama Stop User Enumeration.

    Cosa forse scontata ma che molti non fanno: tieni sempre aggiornato Wordpress, plugin e tema in modo che eventuali bug vengano risolti dagli sviluppatori!