Gli attacchi hacker, negli ultimi anni, sono diventati sempre più frequenti in special modo nei diversi siti/blog sviluppati con CMS (WordPress, Joomla,ecc). Evitare un attacco hacker ben costruito è quasi impossibile ma ci sono diverse operazioni che possono scongiurare la maggior parte degli attacchi hacker.
AGGIORNARE SEMPRE WORDPRESS
A mio avviso questo è il punto più importante che ogni WordPresser che si rispetti deve sempre fare. Gli aggiornamenti non apportano solo modifiche estetiche e funzionali, ma risolvono quasi sempre bug di ogni tipo. In questo modo gli hacker non potranno sfruttare le falle messe a disposizione dai bug presenti nelle versione precedenti di WordPress.
UTILIZZA PASSWORD RESISTENTI
La password è un elemento fondamentale, quindi deve essere più complessa possibile. Seguendo i consigli di WordPress ecco come deve essere una password:
lunghezza di almeno 8 caratteri alfanumerici, ovvero sia lettere che numeri, magari mixando anche maiuscole con minuscole. Non deve contenere il nome utente associato, né il nome o cognome della persona stessa evitare di utilizzare parole di senso compiuto, come compleanno88, piuttosto usare c8eanmopl8no
utilizzare caratteri speciali come # @ ! ? utilizzare software per generare password sicure, ad esempio IOBit non utilizzare come password le date, password di soli numeri, o di nomi reali.
BACKUP TOTALE DEL SITO/BLOG
Se hai un backup funzionante sei sempre salvo! E ricorda i backup vanno sempre testati.
E’ caldamente consigliato fare un backup totale (FTP+database), in modo tale da scongiurare attacchi hacker volti ad eliminare parti di sito e/o database.
NON UTILIZZARE IL NOME UTENTE ADMIN
Il nome utente Admin è l’utente standard che viene attribuito ad ogni installazione di WordPress, per cui l’hacker conosce facilmente il nome utente. Il mio consiglio è quello di cambiare sempre il nome utente durante l’installazione di WordPress.
LIMITA IL NUMERO DI TENTATIVI DI LOGIN SU WORDPRESS
Esistono vari WAF disponibili per WordPress; qui mi sento di consigliarne due: Sucuri e Wordfence, anche a scapito delle prestazioni del server!
Wordfence limita la possibilità ad un utente di provare e riprovare ad accedere al blog/sito tramite il login. Dopo un tot di tentativi falliti in determinati minuti, verrà bloccato l’indirizzo IP dell’utente per il tempo che si vuole, fino a 24 ore. Grazie a questo plugin si possono evitare attacchi di hacker tramite Brute Force Attack.
AUMENTA LA SICUREZZA DEL FILE WP-CONFIG.PHP
Il file wp-config.php ha il compito di contenere tutte le password di accesso al database. Basta aggiungere al file .htaccess queste righe di codice e l’accesso al file verrà negato a chiunque:
# protect wp-config.php <files wp-config.php> Order deny,allow Deny from all </files>
CAMBIA IL PREFISSO DELLE TABELLE NEL DATABASE
Le tabelle WordPress hanno sempre il prefisso wp_, quindi l’hacker conosce anche questo aspetto. Cambia il prefisso delle tabella con un nome a piacere (non troppo lungo). Il cambio di prefisso può essere effettuato durante l’installazione di WordPress oppure utilizzando il plugin wp security scan, che in un solo click permette di effettuare questa modifica dalla sezione database.
MODIFICA I PERMESSI DELLE CARTELLE E FILE
I permessi dei file devono essere settato sul 644 mentre le cartelle con 755. Eviterai così di trovarti con file modificati o cancellati.
CONTROLLO PERIODICO DEL BLOG/SITO WORDPRESS
Controlla periodicamente se il tuo blog o sito è stato colpito da un attacco hacker. Collegati a questo indirizzo, inserisci l’URL del tuo sito/blog e clicca Scan Website. Dopo aver lanciato l’elaborazione andate a verificare sotto Website Blacklist Report se tutte le voci (che corrispondono ai vari tipi di virus e malware) sono verdi, in caso contrario significa che quel tipo di minaccia è presente sul sito e saranno indicati anche i file infetti.
Articolo di Andrea Lupi – https://www.guida-wordpress.com/