5 consigli pratici per avere un blog WordPress più sicuro

Il primo semestre del 2017 è stato contrassegnato da molti attacchi automatizzati verso siti web sviluppati con wordpress ad opera di soggetti spesso provenienti da paesi che vanno dalla Russia al Giappone, passando per Cina e India.

Prima di capire come difendersi, è importante che tu sappia riconoscerli, dal momento che spesso non ci si accorge di avere il sito web infestato finché non sparisce dai motori di ricerca o non viene “spento” dall’hosting provider per evitare che l’attacco si propaghi agli altri siti web sullo stesso server.

Nome utente/password deboli

Per quanto possa sembrarti strano, ancora oggi la causa principale di accesso non autorizzato ai siti web è l’utilizzo di nomi utenti e password troppo facili da individuare.

Nella maggior parte dei casi, chi accede in modo fraudolento alla tua bacheca di WordPress si limita a iniettare articoli spam nel tuo sito web. Tali articoli sono molto facili da vedere, perché compaiono pubblicati. Cancellali subito (e magari cambia password).

Cloaking

È una pratica insidiosa, perché puoi non accorgerti di nulla per molto tempo. Solitamente i malintenzionati riescono a entrare nel tuo sito web attraverso una “falla” spesso derivante dal mancato aggiornamento di un plugin, un tema o della tua versione di WordPress, ma talvolta possono accedere mediante un altro sito web già compromesso sullo stesso server.

In questo caso giocano un ruolo importante i meccanismi di protezione del tuo hosting wordpress.

Il cloaking è una pratica utilizzata dai black hat SEO e dagli spammer (spesso coincidono) e consiste nel mostrare una pagina agli utenti e una completamente diversa ai motori di ricerca. Un attacco andato a buon fine riesce a iniettare codice di reindirizzamento nell’index.php e nel file .htaccess.

Crea il tuo sito in 9 minuti

La nostra guida completa per creare il tuo sito WordPress dalla A alla Z in 9 minuti senza essere un esperto.

➤ Vai alla guida

Come scoprire se il tuo sito web è sotto cloaking spam?

Per scoprire se il tuo sito web è vittima di questo tipo di azione malevola, puoi fare due cose, la prima è utilizzare l’operatore di ricerca “cache:” prima dell’url nella barra degli indirizzi o in quella di ricerca su Google.

Questo operatore mostra la copia cache presente negli indici di Google per la pagina richiamata.

Se la pagina è sotto attacco apparirà (molto) diversa da quella visibile richiamando lo stesso indirizzo nel browser.

Il secondo modo per capire se sei sotto attacco cloaking è guardare le pagine indicizzate del tuo sito web usando l’operatore di ricerca “site:” che in caso di attacco in corso mostrerà subito descrizioni e titoli anomali (spam) in sostituzione di quelli che invece si dovrebbero visualizzare.

Come difendersi dai cracker

Di seguito 5 suggerimenti semplici per evitare problemi del tipo descritto sopra o per rimediare ad una situazione in essere di attacco spam.

Modifica l’url di accesso al pannello di amministrazione di wordpress

Il percorso /wp-admin/ è noto a tutti gli spammer del pianeta, quindi la prima semplice cosa da fare è modificarlo. A tale scopo ti suggerisco il plugin Protect WP admin.

Quest’accortezza da sola esclude una vasta quantità di attacchi. Allo stesso tempo ti suggerisco di rinominare il file readme.txt nella root principale, per nascondere informazioni sulla versione in uso di WordPress.

Cambia il prefisso delle tabele db

il prefisso di default dei database di wordpess è sempre wp_xyz… e non è il massimo della sicurezza. Puoi modificarlo già in fase di installazione, o se non ci hai già pensato, puoi farlo successivamente. Ricorda in caso di aggiornare anche il file wp-config.php.

Evita di mostrare pubblicamente il nome utente

Se il tuo nome utente non è più “admin”, può essere comunque facilmente scoperto, soprattutto se coincide con il nome dominio o con quello visualizzato in uno degli archivi per autore. Eviterei di mostrarlo pubblicamente, soprattutto in assenza di una password debole.

Tieni tutto aggiornato

Verificare costantemente che tema, plugin e versione di wordpress siano aggiornati all’ultima versione è una sana precauzione, semplice quanto vitale per un sistema in cui mettono le mani migliaia di sviluppatori con esperienze e background diversi.

Controlla i file del tuo sito web

Esistono plugin come Wordfence che periodicamente scansionano il tuo sito web alla ricerca di codice malevolo.

Oltre tale attività, Wordfence blocca automaticamente i tentativi di accesso da paesi in particolare o con certe caratteristiche. La versione premium offre featues aggiuntive, tra cui assistenza in caso di sito web craccato.

Perché non condividi questo articolo? Grazie!

The following two tabs change content below.

Federico Magni

Ciao, sono Federico Magni e mi occupo di WordPress dal 2007. Vorrei offrirti risorse gratuite e consigli pratici per rendere più efficace il tuo sito e ottenere i risultati che ti meriti in termini di visite, vendite e iscritti.

Altri articoli di Federico Magni (vedi tutti)

E tu cosa ne pensi?

Ricevi le migliori guide WordPress via WhatsApp

GRATIS E TI CANCELLI QUANDO VUOI
ISCRIVITI GRATIS

Crea grafiche e marketing VINCENTI

PROVA GRATIS E TI CANCELLI QUANDO VUOI
PROVA GRATIS
Crea gratis grafiche e marketing vincenti.
PROVA GRATIS