Sicurezza

La pagina di Login è certamente la parte più importante del tuo sito web e la prima da mettere in sicurezza.

Se un malintenzionato ottiene i tuoi dati d’accesso all’amministrazione (ed, ancora peggio, al database) gli hai consegnato la possibilità di far tranquillamente quel che vuole del tuo sito.

Le chiavi d’accesso, come noto, sono due: l’username e la password.

Di base, durante l’installazione di WordPress l’username di amministrazione viene definita in “Admin“. Occorre, invece, cambiarla da subito per non permettere ad un malintenzionato di concentrarsi sulla sola password con un attacco “bruteforce” (attacchi automatizzati che provano di continuo migliaia di combinazioni username+password per cercare di trovare quella giusta).

Anche dopo l’installazione del CMS è possibile, comunque, risolvere questo problema di sicurezza: crea un nuovo utente, assegnargli i poteri di amministratore e, quindi, cancella l’utente “Admin”.

Per quanto riguarda la password, essa deve essere sufficientemente lunga (una password di 12 caratteri è un buon equilibrio) e complessa (fatta di lettere maiuscole, minuscole, numeri e caratteri speciali).

Puoi ottenere delle password sicure tramite il sito web Passwords Generator.

È indispensabile, poi, l’installazione di un plugin che limiti il numero di tentativi d’inserimento dei dati d’accesso.

Limit Login Attempts, in proposito, può fare al caso tuo: limitando il numero di tentativi e bloccando la possibilità di login per un certo numero di minuti al raggiungimento di tale limite può sicuramente rendere più difficile, o impossibile, un attacco alla password col metodo automatizzato”bruteforce“.

Il Login va difeso con un ulteriore plugin che rende più difficili gli attacchi automatizzati (robot).  Il plugin Captcha, ad esempio, consente d’implementare questa forma di sicurezza: protegge il tuo sito dallo spam per mezzo di logica matematica, facilmente comprensibile agli esseri umani, ma che sicuramente mette in difficoltà un robot.

All’interno di tale genere di plugin, uno dei più utilizzati è Captcha by BestWebSoft.

È buona norma, infine, sempre al fine di limitare i rischi per il tuo sito Web, impedire la registrazione di nuovi Utenti quando non necessario e, comunque, quella di cancellare gli Utenti inattivi.

Un aspetto che molte persone sottovalutano è la vulnerabilità del computer dal quale accedono, anche solo per una volta, al proprio blog.

Non ha senso proteggere il tuo blog se nel tuo computer c’è un keylogger in grado d’intercettare i tuoi “nome utente” e “password”! Se tu, in questo caso, perdessi l’accesso al tuo sito potresti tentare di cambiare la password via “Data Base”.

Assicurati che il computer sia privo di virus, spyware, malware e quant’altro …

Sicuramente ti sei già dotato di opportuni software Antivirus e Antimalware, ma certamente devi anche porre attenzione su quali siti web visitare e quali file scaricare.

Sembrerebbe ovvio, ma forse è meglio precisarlo: non inserire mai le tue username e password su un computer che non sia il tuo (ad esempio, in un internet point o in albergo)! Se ciò dovesse essere indispensabile, devi poi provvedere, dal tuo computer, a cambiare subito i dati d’accesso!

Alcuni strumenti per la sicurezza del tuo computer

In ogni caso strumenti come AdwCleaner (rimuove toolbars indesiderate e Page Hijackers), Malwarebytes (rileva e rimuove malware) e Avira (un affidabile antivirus freeware) fanno, o devono fare parte, della tua “cassetta degli attrezzi” di sicurezza!

Kaspersky mette gratuitamente a disposizione anche un piccolo software contro i RootKit (programmi malware disegnati per eludere i sistemi di rilevamento e dare al cracker accesso remoto al PC della vittima).

Anche AVG Secure Search offre un livello di sicurezza aggiuntivo durante la ricerca sul Web poiché consente di valutare il livello di sicurezza dei siti prima di visitarli. Con AVG, tuttavia, occorre attenzione a non effettuare l’installazione consigliata poiché installa anche una Toolbar e una Pagina di Ricerca indesiderate.

Le password salvate, i dati nella cache e le cronologie Internet rendono l’identità di un utente meno sicura. Il software CCleaner,  però, rimuove questi file per proteggere l’esperienza di navigazione, rendendo così meno facile il verificarsi di furti d’identità o frodi online.

Il primo antivirus è un browser aggiornato

Naturalmente devi assicurarti anche il browser che utilizzi per accedere alla Rete internet debba trovarsi sempre nella versione più aggiornata.

Si tratta di un’operazione semplicissima: se usi Firefox, ad esempio, è sufficiente che dal Menù Bar tu segua il percorso Help -> About Firefox.