Better WP Security

Better WP Security – Metti in Sicurezza il Tuo WordPress

La questione della sicurezza è da sempre molto sentita, spendiamo giornate a creare nuovo contenuto per il nostro sito per poi farci spazzare tutti i nostri sforzi grazie a qualche hackbimbominkia nel giro di una manciata di minuti! Questa è sicuramente una situazione che vogliamo evitare e grazie ai consigli di Piero ti mostriamo come fare!

Contenuti Extra

Weekly Plugin

Alla scoperta dei nuovi e più interessanti plugin per WordPress.

  1. WordPress SEO by Yoast
  2. wpXtreme – Il Marketplace per WordPress
  3. BackWPup – Backup Avanzati per WordPress
  4. imaGenius – Aggiungi Immagini con Stile
  5. Better WP Security – Metti in Sicurezza il Tuo WordPress

Era da un pò di tempo che pensavo di realizzare un articolo che permettesse a te e agli altri utenti WordPress di mettere in sicurezza la tua piattaforma e proprio quando stavo definendo la scaletta da seguire ecco che vedo apparire all’interno della community WordPress Italy+ un video realizzato da Piero Mazzini.

Dato che non mi piace inventare l’acqua calda ho deciso di usare come appoggio il suo video per condividere alcuni concetti di sicurezza che questo plugin ci aiuta a mettere in pratica. Se l’argomento sicurezza è di tuo interesse colgo al volo l’occasione per ricordarti l’articolo 8 Semplici Consigli per Preparare il tuo WordPress alla Battaglia dove grazie ai consigli di due esperti WordPress (Massimo della Rovere e Maurizio Pellizzone) sono stato in grado di fornirti dei semplici passi per incrementare la sicurezza della tua piattaforma.

Oggi invece andremo a parlare delle principali impostazioni che il plugin Better WP Security ci mette a disposizione.

Prima di vedere dal vivo i vari suggerimenti ti devo ricordare una cosa che molto probabilmente potrà scombussolare le tue certezze, un computer sicuro non esiste! Con questa affermazione non voglio dirti che è impossibile rendere la vita più difficile a tutti quei simpaticoni che tentano di entrare nel nostro sito, grazie ai consigli di Piero e alle funzionalità di questo plugin sarà un gioco da ragazzi aumentare la sicurezza di WordPress, quello che sto cercando di dirti è che se qualcuno decide di entrare nel tuo sito e ha sia competenze che tempo da perdere, è molto probabile che riesca nel suo intento.

Purtroppo il web è fatto anche di queste persone…

Fortunatamente ci sono sviluppatori che permettono anche a noi non addetti ai lavori di cambiare il comportamento di default di WordPress e questo ti permetterà di allontanare tutti coloro che hanno intenzione di entrare nel tuo sito perché hanno letto qualche tecnica all’interno di un hacker forum, che per fortuna nostra sono circa il 95% dei così definiti hacker (anche se cracker sarebbe il termine più adeguato).

Fatti un Backup

Crea un Backup per il tuo WordPress

La prima cosa che devi fare, non tanto per aumentare la sicurezza ma per avere almeno una copia del tuo sito pronta da ripristinare, è quella di creare un backup della tua installazione WordPress. Piero ci mostra come sia possibile creare un backup direttamente con l’uso di Better WP Security (che però ti consente di fare soltanto un backup del tuo database), quello che ti consiglio io è invece utilizzare il plugin BackWPup che ti ho presentato un pò di tempo fa all’interno della serie Weekly Plugin.

Esistono moltissimi altri sistemi di backup che ti permetteranno di salvare sia i dati che il database del tuo sito (in questo modo salvi praticamente tutto) e quindi lascio a te la scelta dello strumento ma, la cosa importante che devi capire, è che avrai bisogno di un sistema di backup! Magari anche mantenere diverse versioni del tuo backup salvate in posti differenti perché, quando si parla di sicurezza, ti assicuro che le paranoie non sono mai troppe.

Un Bottone per una Base di Sicurezza

Come dicevo poco fa, questo plugin è veramente potente anche per tutti i non addetti ai lavori, infatti presenta al suo interno la possibilità di sistemare le principali falle di sicurezza presenti in WordPress premendo un semplice bottone.

Premendo il bottone One-Click Protection si innescano diversi meccanismi che permettono di rafforzare le difese del proprio WordPress ma, se come me e sei interessato a conoscere che cosa fa questo singolo bottone, devo subito dirti che non è facile avere informazioni a riguardo. Con questo non voglio scoraggiarti, anzi, premere questo bottone è la prima cosa che ti permetterà di dormire sonno più tranquilli ma sicuramente dovrai navigare all’interno delle impostazioni di questo plugin per dormire come un sasso!

Tutto quello che sono riuscito a scoprire è che questo bottone permette di fare alcuni controlli di base come il controllo sulla presenza di un account amministratore con il nome admin, se le tua area login è protetta da attacchi di tipo brute force e rimuove anche qualche file che sono ritenuti inutili dopo aver installato questa piattaforma.

Un Gran Numero di Opzioni

Lista Opzioni Sicurezza di Better WP Security

Come puoi vedere da questa immagine, una volta che avrai cliccato il bottone One-Click Protection sarà questa la principale lista di cose da fare che il plugin andrà a suggerirti. Come puoi notare, all’interno della lista sono presenti diversi colori e ciascuno di essi mira a farti capire a colpo d’occhio quali sono le opzioni più importanti da modificare per arrivare infine alle opzioni che sono già state risolte.

Seguendo l’aneddoto del semaforo possiamo capire tranquillamente che gli elementi evidenziati in rosso richiedono molta attenzione e sarebbero i primi che devi modificare, spostandoci successivamente sul giallo che identifica regole parzialmente sicure ed il verde che invece comunica che queste modifiche sono state applicate correttamente.

La cosa strana che si può notare immediatamente è che all’interno di questa lista sono presenti anche delle voci colorate di blu, questo ti servirà per capire che sono delle impostazioni che potrebbero causare conflitti con altri plugin o con particolari installazioni di WordPress e anche se non rappresentano i migliori esempi di sicurezza, dovrai stare molto attento quando andrai a metterci le mani sopra.

Sono Sempre gli Utenti

Talvolta coloro che permettono l’ingresso ai malintenzionati sono proprio gli utenti che gestiscono il sito! Non sto dicendo che personalmente vanno a contattare un hacker e gli chiedono se gentilmente possono entrare nel sistema piuttosto è colpa della loro sbadataggine che permettono di scoprire alcune falle di sistema e facilitano l’ingresso alla propria piattaforma.

La primissima cosa da fare è modificare il nome admin che fino a poco tempo fa veniva installato di default da WordPress, ma cambiare nome utente non ti sarà sufficiente. Come ci mostra Piero, sarà molto utile anche modificare l’ID del proprio amministratore; troppe volte infatti questo identificatore rimane al valore 1 (che identifica il primo utente creato dalla piattaforma e che, con tutta probabilità, è anche l’amministratore del sito).

Personalmente ho preso la buona abitudine di modificare il ruolo dell’utente con ID 1 (il mio consiglio è quello di impostare il ruolo a Subscriber) in questo modo, anche se qualcuno riesce ad entrare nel mio sito con le credenziali dell’utente con questo ID non avrà alcun potere e non potrà fare praticamente niente all’interno del mio pannello di amministrazione; mentre tengo il mio amministratore ben al sicuro mescolato tra i vari utenti con un nome utente particolare ed una password bella forte . Ovviamente grazie a questo plugin potrai evitare questa pratica e dovrai soltanto seguire i passaggi consigliati per cambiare il nome e ID del tuo amministratore.

Che Fare se Sei Lontano?

Cosa Fare se Sei Lontano?

Anche se passi molto tempo di fronte al pannello di amministrazione del tuo WordPress (se sei come me ed hai intenzioni serie per far crescere il tuo blog sono sicuro che lo stai già facendo) c’è da dire che spesso questa piattaforma resta tutta sola. Per quanto sia alto il desiderio di mantenere aggiornato e riempire di contenuti il proprio calendario editoriale c’è da dire che non è possibile stare sempre di fronte al computer (dormirai qualche ora, oppure no?!?).

Abbiamo visto poco fa che premendo un semplice bottone sarai in grado di mettere in sicurezza il tuo WordPress (ti ricordo che queste sono soltanto alcune opzioni automatiche e ci sono mooolte altre opzioni da attivare all’interno di questo plugin) ma bisogna sempre capire che questo non basta e ci sono molte occasioni in cui WordPress si troverà da solo a fronteggiare le sfide che Internet gli propone.

Una caratteristica molto apprezzata anche dal nostro Eugenio (di cui ne ha parlato anche all’interno di uno dei nostri hangout) è stata proprio quella che ti permetterà di definire dei periodi in cui poter disattivare il lato admin di WordPress e fare in modo che nessuno sia in grado di accedere alla nostra priattaforma. Anche Piero ci parla di questa funzionalità e la spiega in modo veramente semplice.

Quindi se vai in vacanza, se sai che tutte le notti dalle 2 alle 7 del mattino non entrerai nel pannello di amministrazione, puoi disattivare il pannello di amministrazione per un periodo ben preciso ma, allo stesso tempo, devi stare molto attento perché questa è una modifica che taglierà fuori anche te e ti impedirà di accedere al tuo WordPress. Ricorda quindi che per quanto potente sia questa funzionalità dovrai stare molto attento ad impostare gli orari corretti!

Come ci ricorda Pietro, l’ora che dovrai impostare non sarà quella presente nel tuo sistema, ma controlla l’orario che ti viene proposto dallo stesso Better WP Security (che segue l’orario del server) e svolgi i tuoi calcoli per rispettare le fasce orarie a te più consone.

Nascondi quello che Non Serve e Cambia Login

Piero prosegue nel suo video parlandoci anche del backup (anche se io evito di affrontarlo in questa versione testuale e ti suggerisco BackWPup) ma cosa ben più interessante è che ti viene lasciata la possibilità di nascondere alcune URL pericolose che potrebbero aiutare gli utenti malintenzionati ad accedere al proprio sito.

Queste sono impostazioni che lo stesso plugin ha attivato nel momento in cui hai premuto il bottone One-Click Protection, ben più interessante sono invece le possibilità che ti vengono offerte per modificare la URL che punta alla pagina login e a quella di amministrazione.

Chiunque usa WordPress per più di un paio di settimane si dovrebbe essere accorto che se scrivi nella barra degli indirizzi del browser qualcosa come http://miosito.it/wp-login.php oppure http://miosito.it/wp-admin/ questa piattaforma ci mostra il modulo di login dove è possibile inserire il proprio nome utente e password ed accedere successivamente all’area di amministrazione. Non credere che hacker (o cracker) usano strumenti molto differenti anzi, ad essere sincero, quando vogliono entrare in un sito WordPress usano la tua stessa schermata di login.

Per aumentare la sicurezza del tuo sito, una tra le prime cose che potresti fare è limitare il numero di tentativi di accesse e Piero ci mostra come sia possibile navigare nelle impostazioni di questo plugin e ti permetterà di modificare le impostazioni di default.

Conclusioni

Grazie a Piero siamo stati in grado di conoscere un plugin veramente molto interessante e che permette un a tutti di rafforzare le difese del proprio WordPress. In questo articolo abbiamo visto gli elementi principali di questo plugin ma ce ne sono veramente molti altri dei quali vorrei parlare e analizzare assieme a te.

Facciamo una cosa, se l’argomento è di tuo interesse e vuoi scoprire come configurare completamente questo plugin quello che potresti fare è lasciare un commento qua sotto e comunicarmi questa tua intenzione. Se arrivano un minimo di 10 commenti interessati a questo plugin e alle sue configurazioni avanzate vedremo di organizzarci e fare magari anche un hangout dal vivo dove anche tu avrai la possibilità di fare domande e trovare chiarimenti ai tuoi dubbi.

È tutto nelle tue mani!

Lascia il tuo Pensiero

5 Responses to “Better WP Security – Metti in Sicurezza il Tuo WordPress”

  1. Carmelo

    Ciao Andrea! Bell’articolo come al solito 🙂
    Ho appena seguito l’hangout realizzato da te e dal resto della community di Wp Italyplus sulla sicurezza e girando sul web ho trovato questo tuo articolo.
    Avrei una domanda: Che funzionalità mi da questo plugin che non posso settare manualmente?
    Personalmente penso che sia meglio ridurre al minimo possibile il numero di plugin installati quindi volevo chiederti se ne vale veramente la pena di installarlo piuttosto che effettuare settaggi manuali.
    Un caloroso saluto!

    Rispondi
    • Andrea Barghigiani

      Ciao Carmelo,

      se vuoi la mia onesta opinione questo plugin non offre niente di nuovo rispetto alle modifiche che puoifare a mano, diciamo che quello che mette sul tavolo è semplicemente un’interfaccia e dei semplici bottoni che ti permettono di attivare più facilmente gli stessi concetti di sicurezza che puoi attivare a mano.

      Tra l’altro, recentemente questo plugin ha ricevuto un redesign molto importante e ha incluso anche alcune funzionalità a pagamento quindi, se sei in grado di fare tutte le cose da solo, ti conviene farlo 😀

      PS: sono anche d’accordo sul concetto dei pochi ma buoni quando si parla di plugin 😉 Se sono scritti bene non fanno troppa differenza, è quando sono scritti male che bisogna stare veramente attenti 😀

      Rispondi
      • Carmelo

        Concordo alla grande con te!

        Ho sopperito al plugin seguendo con estrema attenzione l’hangout della community Wp Italyplus dove avete spiegato veramente bene cosa fare!

        Rispondi
    • Andrea Barghigiani

      Ciao Alessia e grazie mille per i complimenti!

      Per quanto riguarda apportare delle modifiche via codice puoi seguire alcuni consigli che puoi trovare in questo articolo oppure seguire due hangout che abbiamo realizzato con la community WordPress Italy+:

      – #10 Sicurezza
      – #S10 Penetration Test

      Spero di esserti stato utile e a presto che a breve inizieremo nuovamente con i nostri Hangouts!

      Rispondi