I trucchi essenziali alla protezione del blog

Siete sicuri che la vostra installazione di WordPress sia al sicuro dai cattivi?

Sembra impossibile da credere, ma ci sono un sacco di malintenzionati pronti a smantellare il vostro blog solamente per il gusto di farlo, o – peggio – per sfruttare il vostro sito per i loro sporchi comodi; pure io, una volta, sono stato vittima di una “iniziezione” di codice maligno, e mi sono trovato il sito quasi bandito da Google perché portatore insano di virus!

Quindi cosa fare per proteggere il blog dagli hacker/cracker?

Là fuori ci sono un sacco di articoli che potete leggere, ricchi di consigli per migliorare la sicurezza del vostro blog; io stesso tempo fa avevo già parlato di una manciata di plugin per incrementare la sicurezza di un blog.
Riprendendo il discorso, il mio vuole essere un piccolo contributo, soprattutto per gli utenti meno esperti, che troveranno qualche suggerimento e qualche plugin facile da usare…

  1. creare una bella password
  2. cambiare il nome all’utente ADMIN
  3. Non usare il prefisso standard per le tabelle
  4. personalizzare l’Url di log-in
  5. aumentare la sicurezza del blog
  6. limitare i tentativi di accesso
  7. criptare la password del blog
  8. mettere una password al blog
  9. bloccare gli attacchi hacker
  10. controllare se i file sono stati modificati
  11. usare password usa e getta
  12. Manuale per la sicurezza di WordPress

1. Usare una password forte

Si tratta di una procedura ovvia, ma molti utenti spesso ci passano sopra.
L’uso di una password lunga e complessa, l’abitudine di cambiarla relativamente spesso, di non usare la stessa password in più situazioni, sono tutte cosa che possono incrementare la sicurezza delle vostre aree protette.

2. Non usare il nome ‘admin’

Il fatto di non usare il nome ‘admin’ per l’utente amministratore è una comune procedura di sicurezza, che non faciliterà le cose a chi tenta di accedere al pannello di amministrazione del vostro blog WordPress.
Siccome i dati per accedere all’area di amministrazione sono due – username e password – usare ‘admin’ come nome dell’utente rende il lavoro facile ai malintenzionati in quanto sarà sicuramente la prima parola che proveranno ad usare per entrare.

Se avete già l’utente che si chiama ‘admin’ e lo usate regolarmente, allora è buona cosa cambiare il nome dell’utente ‘admin’. Purtroppo non si può cambiare il nome di un utente direttamente da WordPress, quindi le soluzioni sono 2: o lo facciamo direttamente sul database, o creiamo un nuovo utente.

Se seguiamo la seconda strada, basterà creare un nuovo utente amministratore, dopodiché cambiare i privilegi dell’attuale utente ‘admin’ ad un livello inferiore.

Se invece vogliamo cambiare il nome dell’admin passando per il database Mysql, basterà accedere al database tramite PhpMyAdmin, cliccare sul pulsante SQL nella fila di bottoni in alto ed inserire un codice del genere…

UPDATE wp_users SET user_login = 'Inserisci il tuo nuovo nome utente' WHERE user_login = 'Admin';

…avendo ovviamente l’accortezza di inserire il nome che vogliamo dov’è indicato, tra i due apici.

2b. Non usare il prefisso standard per le tabelle

WordPress, al momento dell’installazione, ci presenta una scelta standard per il prefisso che verrà usato per le sue tabelle all’interno del database scelto; non usare il valore di default sicuramente renderà la vita più difficile ad un eventuale malintenzionato che abbia intenzione di collegarsi al nostro database.
Se il database di WordPress è stato già creato da un po’ di tempo, e probabile che le vostre tabelle abbiano il prefisso di default, quindi sarà il caso di rinominare le tabelle.
Per farlo in maniera semplice ed indolore esiste un plugin che si chiama WordPress Table Prefix Rename.

3. Stealth Login plugin

Stealth Login permette di personalizzare gli URL per il log-in, il log-out, l’amministrazione e la registrazione nel vostro blog WordPress.
Anzichè rendere pubblico l’indirizzo della pagina di login, come di solito tutti fanno insetendo il widget ‘meta’ nella sidebar, si può creare in questo modo un indirizzo di nostra scelta, come per esempio

http://www.moiblog.it/entra

E’ anche possibile attivare il cosiddetto “Stealth Mode” (modalità invisibile) che impedisce ai visitatori di accedere al file ‘wp-login.php’ direttamente.
Questo plugin non rende assolutamente protetto il vostro blog, ma almeno renderà la vita molto difficile a chi tenta di crackare la vostra password di accesso!

4. Secure WordPress plugin

Secure WordPress è un coltellino svizzero della sicurezza in quanto tappa automaticamente un sacco di “falle” di sicurezza, primo fra tutti rimuove i suggerimenti ed il messaggio di errore durante il login a WordPress. Questo significa che se un utente prova ad entrare, e magari indovina il vostro username (che NON dovrebbe essere ‘admin’) non vedrà il messaggio di default che gli dice che ha sbagliato solo la password (e quindi lo avvisa che l’username che ha inserito era corretta).
Le altre opzioni, tutte disattivabili a scelta, di Secure WordPress sono:

  1. Rimuove da tutte le aree la versione di WordPress in uso, inclusi i feed: non in amministrazione;
  2. Rimuove dall’area di amministrazione la versione di WordPress per gli utenti non admin. Mostra la versione di WordPress in uso nel tuo blog solamente per quegli utenti che possono modificare i plugin;
  3. Crea un file index.php sotto /plugins/ e /themes/ per mantenere riservato il contenuto della cartella;
  4. Rimuove il link Really Simple Discovery in wp_head nel frontend;
  5. Rimuove il link Windows Live Writer in wp_head nel frontend;
  6. Rimuove gli aggiornamenti di temi, plugin e core di WordPress per gli utenti che non sono amministratori. Mostra il messaggio di notifica solamente per gli utenti che possono effettuare l’aggiornamento;
  7. Rimuove la versione di WordPress dagli URL di script e Css nel frontend;
  8. Protegge WordPress dalle richieste URL maligne.

Anche se usiamo Secure WordPress per eliminare i riferimenti alla versione di WordPress che stiamo usando, dobbiamo tenere presente che nella cartella principale di ogni installazione ci sono sempre un paio di file che non vengono intaccati da questo plugin, che inoltre possono essere raggiunti tranquillamente via Http e al cui interno troviamo riportata la versione di WordPress che stiamo usando:

  1. readme.htm
  2. leggimi.txt (nella versione italiana)

Dobbiamo ricordarci di cancellare a mano questi file – oppure di nasconderli o renderli irrangiungibili dagli sconosciuti – e dobbiamo ricordarci di farlo ogni volta che aggiorniamo il core di WordPress!

Secure WordPress Plugin è diventato Acutinex WordPress Pugin dalla versione 3.0 .
Personalmente questa nuova versione mi ha dato problemi con WP nel senso che il blog non mi spediva più nessuna email di segnalazione per nuovi commenti, quindi sono andato a scaricarmi la versione 2.0.8 ed ho fatto un downgrade che ha risolto il problema.

5. Limitare i tentativi di accesso

Di default WordPress permette ad un utente di tentare l’accesso infinite volte, a prescindere da quante volte sbaglia la combinazioone nome/password; questo può esporre il blog a tentativi di recupero dei dati di accesso tramite l’uso di tecniche “brute force”, che effettuano tentativi finchè non riescono a trovare la password giusta.
Ci sono almeno un paio di plugin che permettono di limitare il numero di tentativi di accesso effettuabili, loggano il tutto e nel caso avvisano anche l’amministratore:
Limit Login Attempts e Login LockDown.

6. Semisecure Login Reimagined plugin

Semisecure Login Reimagined è un plugin per WordPress che consente di criptare la password al momento del login, facendo uso di javascript; la chiave viene poi decodificata nal server al momento della lettura.
In questa maniera non può essere intercettata durante l’invio.

7. AskApache Password Protect plugin

Il plugin per WP AskApache Password Protect non agisce direttamente sull’installazione di WordPress o il suo database, ma aggiunge una serie di sistemi di sicurezza al blog, soprattutto riguardo a tentativi di attacchi automatici.
La peculiarità di questo plugin è di creare un muro virtuale attorno al blog, lavorando direttamente a livello di network (prima del php), che servirà a bloccare gli attacchi ancor prima che arrivino al blog stesso. In più questo sistema blocca anche lo spam, facendo risparmiare CPU, memoria e risorse del database.
Basilarmente, l’installazione si riduce alla scelta di una username e password; il plugin modifica il file .htaccess principale e dentro la cartella /wp-admin/ e nient’altro.
PS: leggere attentamenet le avvertenze! E’ relativamente complicato da configurare.

8. WordPress Firewall 2 plugin

WordPress Firewall 2 è un plugin che analizza e blocca le richieste web per identificare e bloccare gli attacchi.
E’ relativamente più semplice da configurare ed, in linea di massima, una volta installato potrebbe non necessitare di ulteriore configurazione.
Lo consiglio rispetto al precedente agli utenti meno esperti.

9. Monitorare i file

Quello che fanno spesso gli hacker è di entrare nel nostro sito, modificare alcuni file per i loro comodi e poi andarsene; le modifiche sono solitamente nascoste, in maniera tale da non permetterci di accorgerci di esse se non a danno fatto. E’ importante quindi monitorare lo stato dei file della nostra installazione per vedere se sono stati cancellati, modificati o se contengono codice non desiderato.

WP File Monitor Plus è un plugin che può essere programmato per verificare regolarmente che i file non vengano cancellati o modificati, basandosi sulla data di modifica oppure tramite un hash; manda un’email quando nota qualcosa di diverso.

Antivirus è un plugin che permette di analizzare il tema installato sul blog WordPress e di avvisarci se trova tracce di codice possibilmente malevolo; ci protegge quindi contro gli exploits o le cosiddette “iniezioni” di codice. Basta attivarlo ed effettuare il check; può anche essere programmato per effettuare l’analisi periodicamente ed avvisarci alla bisogna.

Web Security Tools è un plugin che effettua una serie di scansioni di sicurezza in tutto il blog, per verificare eventuali falle o problemi, virus scritti in php o infezioni del file .htaccess. Anche questo è un “must have” della sicurezza su WordPress.

I plugin di monitoraggio dei file secondo me sono essenziali per evitare gli attacchi che vanno a modificare i file del vostro sito inserendo del “codice infetto”.
A me è successo di trovarmi infettato addirittura il file index.php principale di un’installazione di WP, e non solo quello del tema in uso; se siete distratti come me, può capitare che passino diversi giorni prima che vi accorgiate che il vostro blog ha un virus, ed è stato penalizzato da Google perdendo un sacco di visite.

10. One-Time Password plugin

One-Time Password è un sistema che protegge il blog in ambienti poco affidabili, come i net-cafè e gli internet-point, permettendo l’accesso al blog tramite l’uso di password usa e getta, valide solo per una volta.
Relativamente impegnativo da configurare, ma necessario se amministrate il blog da fuori casa. Una guida.

11. WP Security Whitepaper

C’è online una guida – relativamente vecchia nel momento in cui scrivo: l’ultima revisione è del 2008 – che contiene un esaustivo elenco di comportamenti, tecniche, suggerimenti e plugin per aumentare la sicurezza di WordPress: si tratta di WordPress Security Whitepaper, di cui esiste anche la versione in italiano, per chi avesse molta più voglia di leggere di un utente medio 😉

Altri sono arrivati qui cercando:
plugin wordpress file utente, proteggere wordpress.

16 pensieri su “I trucchi essenziali alla protezione del blog”

  1. Ciao, complimenti per l’articolo e per il sito…ti chiedevo: esiste un plugin per WordPress che permette di cambiare il nome del template, in modo che se guardo l’html del mio sito non mi compaia il nome reale ma uno inserito da me?

    1. Ciao Pasquale, non credo che quello che chiedi sia fattibile con un plugin.
      Piuttosto penso dovrai modificare il codice del tema ‘a mano, eliminando i riferimenti che vuoi nascondere.

  2. Ciao, l’ho provato a fare a mano, ma scompare il sito ed è tutto da rifare…E’ un lavoraccio!!! Piuttosto, esiste un plugin per inserire la foto degli utenti registrati?

  3. Forse ho trovato cosa può fare al caso tuo: GA4WP è un plugin che consente di impostare delle variabili personalizzate, che altro non sono che un modo per aggiungere dei dati relativi alla pagina vista, alla sessione o all’utente nel tracciamento delle visite!

    You can segment by Logged in users: speaks for itself, very useful on BuddyPress sites etc: where do people that are logged in go, where do others go. It stores the users primary user level in the variable, so you can even segment for just “subscribers”. (There’s an advanced option to ignore users of certain levels should you want to btw)

    🙂

    1. Si, questo plugin serve ad integrare Google Analytics in WordPress, ma lo fa in maniera estesa (per non dire in maniera eccezionale); ad esempio, i links verso l’esterno e i download vengono tracciati come eventi.
      Nel caso degli utenti, se guardi il video di presentazione al link che ti ho dato, a 3’20” mostra proprio quello che ti serve.

    1. Non è che dipende dalla funzione ‘rispondi’ che automaticamente mette il commento di risposta sotto a quello originale? Come succede in questa pagina, per capirci…

      1. …hai già provato a disattivare i plugin e/o ad usare usare un altro tema (magari tramite Theme test drive), e a vedere l’effetto che fa?
        In questo modo puoi capire se il problema è dato da plugin o tema.

  4. Caro amico, mi spiace, ma se mi dici che nemmeno disattivando tutti i plugin non cambia nulla, allora… non saprei come aiutarti, da dove sono io! 🙁

  5. Ottimo post, una domanda come si chiama il plugin che compare a sinistra della pagina dove c’è scritto:

    Altri visitatori sono arrivati qui cercando

    Grazie ed a presto

Rispondi a Anonimo Annulla risposta

Il tuo indirizzo email non sarà pubblicato.

You can add images to your comment by clicking here.