Come nascondere un sito in WordPress

By |19/09/2016 - 10:27|News|0 Comments

La sicurezza di un sito web è fra le principali preoccupazioni di un webmaster accorto. Nessun CMS garantisce l’immunità dalle infezioni, ma è possibile nascondere il tuo sito in WordPress per proteggersi dagli attacchi, attivando un pratico plugin.

Sono infatti molti i casi di multinazionali e grandi realtà online oggetto di attacchi informatici , ma perché mai un hacker dovrebbe concentrarsi su un piccolo sito?

I piccoli siti vengono infettati con la stessa frequenza di quelli grandi, ce lo dice uno studio effettuato nel 2013 dalla National Small Business Association, secondo cui un 44% delle aziende attaccate sono PMI.

Secondo il report del 2016 prodotto da Sucuri, solo nel marzo dello stesso anno, cinquanta milioni di utenti (3 volte in più del marzo dell’anno precedente) sono stati avvisati di essere oggetto di frode da parte del sito web violato che stavano visitando. Tentativi di furti di informazioni personali, piuttosto che di installazione di software malevoli.

Il guaio è che la maggior parte degli amministratori non sono a conoscenza che i loro siti siano infetti e tanto meno non vengono avvisati. Ciò comporta una seria difficoltà nel fare prevenzione.

Perché nascondere WordPress?

WordPress è uno dei CMS più sicuri in circolazione, il suo software viene aggiornato regolarmente per risolvere eventuali vulnerabilità che si presentano, per questo motivo è importante che tu utente lo aggiorni periodicamente.

La sua popolarità però ha un’altra faccia della medaglia. WordPress è il CMS più conosciuto, quindi il più preso di mira.

Gli hackers sanno che i milioni di siti che utilizzano WordPress, non ricorrono alle migliori misure di sicurezza per mantenersi sicuri.
Molti di questi siti utilizzano password deboli, versioni non aggiornate con vulnerabilità note, plugin e temi vecchi o non sicuri.
All’ hacker basta sapere quali sono le vulnerabilità presenti e creare un modo per sfruttarle.

L’attacco più comune a cui WordPress è soggetto è brute force attacks o HTTP requests. Leggi l’articolo: I 3 attacchi più comuni a cui è soggetto WordPress.

Cosa significa “nascondere” WordPress?

Nascondere WordPress significa tentare di oscurarlo a qualsiasi persona o bot che tenti di identificare se il tuo sito funzioni su WP, celando il numero di versione, modificando i permalink, i nomi dei file e le sottodirectory.

Precisiamo che non si potrà mai occultare WordPress del tutto: un hacker esperto e competente sarà comunque probabilmente in grado di rilevarlo. Nascondere WordPress difficilmente ti salverà dagli hacker, ma, dato che la maggior dei tentativi di hacking sono realizzati da bot, c’è un’alta probabilità di sventare l’attacco.

Come procedere?

Puoi utilizzare un apposito pluginHide My WP.

Ecco come migliora la sicurezza di WordPress:

  • Cambia i permalinks dei file (come wp-admin) per oscurarli dai bots.
  • Rimuove meta informazioni (come il numero di versione) da intestazioni e feed.
  • Controlla l’accesso ai file PHP.
  • Cambia le sottodirectory di default delle cartelle vulnerabili come wp-content.
  • Modifica le query delle URL per proteggerle dalle SQL injections.
  • Nasconde i file che possono fornire agli hackers informazioni sull’ installazione di WordPress (come readme.html o license.txt).
  • Dà la possibilità di disabilitare specifici archivi, categorie, tag, post, ecc.
  • Notifica la presenza di rischi per la sicurezza con il tool “Intrusion Detection System”.

Hyde My WP è valutato su Codice Canyon con un punteggio di 4.5 su 5 stelle, è compatibile con la maggior parte dei plug-in di WordPress e l’autore è molto disponibile nel rispondere a richieste di assistenza.

In ogni caso, ricapitoliamo i suggerimenti base da mettere sempre in pratica per mantenere la sicurezza del proprio sito in WordPress (perché un solo plugin, come detto, non può bastare):

  • Aggiornare sempre WordPress alla versione più recente
  • Mantenere tutti i temi e plugin aggiornati, eliminando quelli non più attivi e smettere di usare quelli che non vengono più aggiornati
  • Proteggere la pagina di login al backend da attacchi brute force inserendo CAPTCHA e uno o due fattori di autenticazione
  • Installare qualche plugin utile per la sicurezza: iThemes Security  o Bullet Proof Security
  • Munirsi sempre di più copie di backup

Lascia un commento

This site uses Akismet to reduce spam. Learn how your comment data is processed.