Abbiamo considerato alcuni accorgimenti per la sicurezza di WordPress con un precedente post. Ma gli stratagemmi per difendere il proprio blog da malintenzionati sono ancora tanti e bisogna mantenere l’asticella dell’attenzione sempre alta.
Accorgimenti per la sicurezza di WordPress (parte seconda)
Continuiamo quindi a limitare l’attività dei fin troppi botnet presenti in rete nei loro tentativi di accesso al CMS, compilare moduli del sito ed inserimento di commenti nei post per inondare di Spam sito web e posta elettronica.
Non solo, questi attacker sono molto attivi nel cercare punti deboli di siti con plugin e temi non aggiornati, obsoleti ed abbandonati dagli sviluppatori. Quindi la prima e più importante attività dell’amministratore del sito è la manutenzione continua.
Aggiornare plugin e temi
Le principali vulnerabilità di WordPress provengono proprio da plugin e temi, mentre il core viene continuamente monitorato ed aggiornato dagli sviluppatori del CMS.
Molto importante è rimuovere temi e plugin inattivi, non utilizzati e comunque non necessari per le funzionalità richieste dal proprio sito web.
Uno degli accorgimenti per la sicurezza di WordPress è quello verificare se ogni singolo plugin viene continuamente manutenuto controllando se ci sono state nuove versioni negli ultimi mesi. Mentre è meglio rimuoverlo o sostituirlo se c’è il sospetto che sia stato abbandonato dagli sviluppatori. Stessa sorte per il tema.
Attenzione al WI-FI pubblico
Può capitare di lavorare utilizzando il WI-FI presente in luoghi pubblici come aeroporti, internet café o alberghi. In questi casi meglio assicurarsi di accedere solo ai siti che dispongono di SSL, soprattutto quando bisogna autenticarsi con la propria password. Evitiamo quindi di accedere all’area di amministrazione di WordPress, alla webmail o qualsiasi altro sito con dati sensibili se non è sicuro.
Puoi sapere se un sito utilizza SSL perché l’indirizzo web inizierà con “https://” anziché “http://”. Quella “s” in più sta per “sicuro” ed è l’unica protezione tra la tua password e tutti gli altri utenti presenti nella stessa rete. Questo perché su siti sicuri i dati vengono trasferiti in modo criptato. Molti browser segnalano i siti sicuri con il simbolo del lucchetto chiuso a fianco della URL del sito.
Fai2ban su WordPress
Chiedi al tuo provider se sul server che ospita il tuo sito web è attivo Fai2ban, in questo caso è possibile installare un plugin Fai2ban su WordPress.
Fai2ban è utile per impedire l’accesso non autorizzato al tuo sito WordPress. Rileva errori di accesso sospetti o ripetuti e vieta in modo proattivo tali IP modificando le regole del firewall a livello di server.
WP fail2ban è uno dei plugin per WordPress più utilizzato per questo scopo, ma è sempre meglio confrontarsi con il proprio Hosting provider per farsi consigliare il plugin compatibile con il proprio server.
Autenticazione a 2 fattori (2FA)
Autenticazione a 2 fattori o verifica in 2 passaggi è un livello di protezione aggiuntivo all’area di accesso e amministrazione ormai obbligatorio per enti pubblici e home banking e comunque in tutte quelle sezioni dove vengono trattati dati particolarmente importanti e sensibili.
Al momento è il sistema più utilizzato per contrastare il phishing. Quindi, perché non utilizzare il 2FA anche per l’accesso al proprio sito WordPress almeno per gli utenti con elevati livelli di autorizzazione per l’amministrazione del sito?
Sostanzialmente, con il sistema 2FA, gli utenti devono inserire sia la propria password che un codice time-sensitive (token) inviato a un dispositivo secondario, come per esempio lo smartphone, per effettuare l’accesso.
Installazione ed attivazione del 2FA su WordPress
Per utilizzare l’autenticazione a 2 fattori si dovrà installare un plugin su WordPress ed un app sul proprio smartphone. Come plugin facciamo riferimento al pratico e spartano “Google Authenticator“, ma anche il più sofisticato “Wordfence Login Security” va bene.
Mentre per lo smartphone, qualsiasi app di autenticazione a due fattori che supporti TOTP va bene. Per esempio: Google Authenticator, Authy, FreeOTP Authenticator o Toopher. In questo tutorial utilizzeremo l’app “Google Authenticator” per Android o iOS.
Iniziamo proprio dallo smartphone con l’installazione dell’app. Sul telefono Android, tramite Play Store, digitare “authenticator” nel campo di ricerca ed installare l’app “Google Authenticator” tra quelle elencate nei risultati, mentre su telefoni iOS procedere nello stesso modo da App store.
Per installare il plugin su WordPress, procediamo così: dalla Bacheca di amministratore clic su “Aggiungi nuovo” nella sezione “Plugin”, cercare “Google Authenticator“, quindi “Installa adesso” e poi “Attiva”.
Dal menu Impostazioni, clic su “Google Authenticator” e sulla schermata che appare selezionare “Administrator“, come la figura seguente ed eventualmente abilitare su altre tipologie di utenti necessari.
Cliccare di nuovo “Google Authenticator” da Impostazioni. Apparirà una pagina come la figura seguente, quindi aprire l’app appena installata sul telefono, tap sul simbolo + visibile in basso a destra, quindi tap sulla voce “Scansiona un codice QR“, inquadrare il QR Code e tap su “Aggiungi Account”
Ora che abbiamo salvato l’account, ogni volta che dobbiamo accedere nell’area di amministrazione di WordPress, oltre alla password, dobbiamo aggiungere il codice che visualizzeremo aprendo l’app sul telefono.
Ecco come sarà la pagina di login di WordPress con l’autenticazione a 2 fattori abilitato.
Se hai dubbi sull’affidabilità del tuo sito WordPress ed hai bisogno di una consulenza con accorgimenti per la sicurezza di WordPress, contattaci e ti aiuteremo a mettere al sicuro il tuo sito web ed i dati presenti