Sicurezza

Forse il consiglio più importante per garantirti la sicurezza del tuo sito Web è quello di essere pronto a cancellare parte o l’intera installazione!

In sostanza il consiglio è quello di  effettuare un periodico backup dell’intero blog WordPress, sia dei file fisici che dei post. In questa in maniera, sarai garantito in caso di danneggiamento di file a seguito di un aggiornamento non andato a buon fine o di intrusioni esterne: non avere un backup del proprio sito e del proprio database è, in sostanza, semplicemente folle.

Il backup va impostato, in automatico, con cadenza giornaliera preferibilmente o almeno settimanale.

Per conservare un backup, puoi utilizzare il plugin UpDraftPlus, che nella versione Premium costa 67,10 euro e garantisce semplici e complete procedure di backup (anche in Cloud: Dropbox, Google Drive ecc) e di recupero. In alternativa puoi usare il plugin gratuito WP-DB-Backup.

Fai attenzione: quest’ultimo plugin provvederà a salvare, sul tuo computer o sulla tua e-mail, solo il Database contenente le informazioni essenziali del sito Web.

È sempre consigliabile, tuttavia, eseguire un backup manuale mensile e salvare tutti i dati in locale o su una memoria esterna.  Questo backup deve comprendere:

• l’esportazione da WordPress di tutti gli articoli, le pagine, i commenti, i campi personalizzati, i termini, i menu di navigazione e gli articoli personalizzati, attraverso l’opzione “Esporta” che trovi dentro “Strumenti” nella spalla sinistra del menù di amministrazione del tuo CMS WordPress. In genere, io lascio selezionata l’opzione “Tutti i contenuti”;
• l’esportazione del database MySql. Semplicemente collegati alla pagina relativa al servizio MySql del tuo fornitore con i dati di accesso e scarica il relativo archivio del sito.
• il backup della cartella www del tuo sito tramite accesso FTP del tuo fornitore di hosting.

Naturalmente dovrai essere in possesso di un software per il trasferimento di file via FTP. Ti consiglio di scaricare e utilizzare FileZilla: è gratuito e intuitivo.

Il file wp-config.php è importantissimo per la tua installazione di WordPress perché rappresenta una miniera d’informazioni per i cracker. Esso, infatti, contiene tutte le password d’accesso ai database, cioè alla vera “cassaforte” del tuo sito web.  Dovrai, quindi, proteggerlo al massimo!

Per proteggerlo, sarà sufficiente aggiungere al file .htaccess le seguenti righe di codice, e l’accesso verrà negato a chiunque:

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

Naturalmente, occorre settare il file htaccess con permessi 644 per evitare di rendere tutto vano (ho testato il permesso codice 640 suggerito altrove, ma blocca la piattaforma)!

I permessi non sono altro che gli attributi assegnati ai vari file e alle varie cartelle della piattaforma (WordPress nel nostro caso) che gestisce il sito. I permessi permettono, o negano, di leggere, sovrascrivere, eseguire un dato file o una data cartella.

I permessi sbagliati sono spesso la causa d’intromissioni da parte di cracker. Costoro sfruttano, cioè, la possibilità di scrivere file e cartelle, e possono dunque inserire file javascript o comunque codice malevolo, che potrebbe infettare pure i computer dei lettori del tuo sito Web.

Quali sono i settaggi corretti dei Permessi?

Vediamoli assieme:

• I permessi di tutte le cartelle ed i file devono essere impostati su 755 (pena concreti rischi di malfunzionamenti o blocchi del sito web in caso di diversa impostazione);
• Per il file wp-config.php e per .htaccess è consigliabile impostare i permessi su 444.

Tale suggerimento viene da IThemes il più popolare plugin di sicurezza disponibile per WordPress, come si evidenzia dal seguente screenshot della pagina di configurazione del programma:

In generale, qualsiasi configurazione valida non deve finire mai con un 7 finale (perchè questo implicherebbe permessi di sovrascrittura da parte del pubblico!).

L’esempio sopra riportato riguarda la cartella wp-admin ma, in realtà, vale per wp-content e per wp-include (oltre che per la root del sito) in maniera equivalente.

Come si possono cambiare i permessi?

Utilizza FileZilla per accedere via FTP al tuo sito Web, poi sarà sufficiente cliccare col tasto destro del mouse sul file o cartella e scegliere [Impostare permessi].

Trattare i “permessi” è, comunque, una procedura delicata: potrebbe accedere che il sito Web si blocchi per l’impossibilità a svolgere un’operazione che invece era necessaria.

Ogni versione di WordPress ha una propria vulnerabilità. Perché dare, allora, ai cracker informazioni sensibili come la versione di WordPress? Il consiglio è, quindi, quello di cancellare dalla tua installazione i file readme.html e readme.txt, nella root del sito, poiché riportano l’informazione sulla versione.

Per eliminare ogni riferimento alla versione della tua installazione WordPress, inoltre, dovresti, però, anche aggiungere il seguente codice nel file functions.php del tuo tema seguendo il percorso Aspetto > Editor > functions.php :

<? php remove_action ('wp_head', 'wp_generator')?>

Ora controlla il sorgente del tuo blog (per farlo clicca col pulsante destro del mouse sulla home del tuo blog, poi scegli HTML oppure Visualizza sorgente pagina). Se l’informazione sulla versione risulta ancora presente, cerca ed elimina nel file header.php questa stringa:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Il risultato dovrebbe essere raggiunto.

Uno dei principali strumenti di sicurezza che WordPress mette a disposizione fin da subito, dall’installazione quindi, è quello delle chiavi univoche di autenticazione.

Le Secret Key, ovvero le chiavi univoche di autenticazione e salatura, per dirla come sono scritte in italiano, sono un sistema di criptazione utilizzato per le password e i cookies di WordPress, ma al momento dell’installazione non sono configurate.

Le chiavi in questione si trovano nel file di configurazione di WordPress wp-config.php, come puoi osservare da qui:

Puoi generare delle nuove Secret Key accedendo al link.

Successivamente, si tratterà di copiare la porzione di codice generata nel file Config.php sovrascrivendo quello predefinito.

Per modificare il codice è possibile utilizzare l’editor NotePad ++.

Le chiavi univoche di autenticazione potrebbero tornare utili anche per fare un reset di tutti i cookies attivi sul blog, o per scollegare tutti gli utenti attivi. Chiunque, appena cambiate queste “chiavi”, sia già autenticato all’interno di WordPress viene sbattuto fuori e costretto ad autenticarsi nuovamente.

Molti script malevoli danno per scontato che il prefisso delle tabelle del database generato da WordPress sia “wp_”, ovvero quello previsto dall’installazione standard.

Cambialo in qualcosa di meno intuibile. Infatti avere un sito impostato con delle variabili “non-standard” sicuramente ne aumenta il grado di sicurezza.

In particolare, modificando questo parametro puoi prevenire attacchi esterni al database, soprattutto le SQL injections.

Procedere a “mascherare” il prefisso delle tabelle è semplice nella fase d’installazione del CMS: ne abbiamo parlato in “Come installare WordPress, il Template ed i Plugin”.

Successivamente, invece, ci si deve affidare a dei plugin, ad esempio All In One WordPress Security (da usare con cura per evitare guai) o a modifiche manuali al file wp-config.php e, quindi, direttamente alle tabelle del database tramite l’interfaccia phpMyAdmin.

In proposito, ad esempio, il webdesigner Eugenio Corrao spiega sul proprio blog la procedura manuale da seguire.