WordPress è la piattaforma più utilizzata per la realizzazione di siti web e, con circa il 65% di quote di utilizzo, ha acquisito una enorme popolarità tra i blogger e molte web agency.
Con numeri del genere è inevitabilmente nel mirino degli hacker di tutto il mondo e, nonostante gli enormi sforzi degli sviluppatori per mantenere in sicurezza il CMS, spesso vengono violati. Ecco come migliorare la sicurezza di WordPress con semplici e pratici accorgimenti.
Come migliorare la sicurezza di WordPress (prima parte)
I tentativi di attacco da parte degli hacker vengono effettuati principalmente nella sezione di autenticazione per l’accesso al sito e purtroppo hanno vita facile soprattutto quando l’incauto amministratore del sito sceglie password troppo banali.
Una recente ricerca ha stilato un elenco di password più utilizzate ancora oggi nel mondo.
Tutti dovrebbero provare almeno una volta a scorrere il log del web server del proprio sito WordPress per riscontrare quanti tentativi di accesso si verificano alla pagina di autenticazione.
Questi tentativi vengono effettuati da botnet proprio per compromettere siti web da destinare ai più disparati usi e, spesso, quando ci riescono, senza che il proprietario del sito ne sia consapevole.
Semplici accorgimenti per migliorare la sicurezza di WordPress
Quelli che seguono sono semplici e banali strategie per rendere un po’ meno facile la vita di hacker e malintenzionati. Consigli che possono essere messi in pratica da tutti e frutto di esperienze dirette ed indirette.
Usare password complesse
Gli aggressori possono indovinare centinaia di migliaia di password al secondo e molti account cadono in pochi minuti (o secondi se si scelgono password come quelle elencate sopra). La scelta di una buona password è la prima strategia da adottare. Dovrebbe essere composta da almeno 10 caratteri contenenti, in modo casuale, lettere maiuscole e minuscole, numeri e caratteri speciali (esempio !.-%_).
Sono perfette le password generate da WordPress quando si crea un nuovo utente o si cambia password.
Una buona norma è quella di cambiare la password almeno ogni 3 mesi.
Attivare il captcha nella pagina di accesso
Il captcha è un elemento, di solito utilizzato su pagine contenenti form di contatto, registrazione, accesso, ecc., efficace per capire se, chi esegue un azione sul form, è un essere umano e non un computer.
Sarà successo a molti amministratori, quando su un sito WordPress è abilitata la registrazione libera, ritrovarsi fastidiosissime registrazioni false eseguite appunto da bot.
Attivando un captcha queste attività potrebbero essere limitate moltissimo.
Il servizio offerto da Google reCAPTCHA potrebbe venirci incontro per mitigare registrazioni false, ma anche tentativi di accesso ed attacchi brute force che potrebbero rallentare il sito o violare account utenti.
Attivare Google reCAPTCHA sul sito senza installare nuovi plugin
Quando possibile è preferibile evitare l’installazione di nuovi plugin per non appesantire il sito con ulteriori file (ne abbiamo parlato qui). Sappiamo infatti che un sito leggero e snello ottiene una migliore indicizzazione sui motori di ricerca.
Per il servizio captcha utilizzeremo quello fornito da Google anche in considerazione che, essendo il più utilizzato in assoluto, di conseguenza è anche il più efficace.
Tempo richiesto: 10 minuti
Ecco come, con un paio di semplici passaggi, puoi aggiungere Google reCAPTCHA sul tuo sito.
- Generare le chiavi reCAPTCHA sul proprio account Google
Per generare le chiavi necessarie per attivare il reCAPTCHA sul proprio sito, collegarsi al sito https://www.google.com/recaptcha. Cliccare su “v3 Admin Console” ed inserire i dati di accesso del proprio account Google (crearne uno se sprovvisto). Cliccare sul simbolo “+” nella parte alta a destra della pagina ed inserire i dati come nell’esempio dell’immagine che segue, ipotizzando “miosito.it” il dominio dove inserire i reCAPTCHA.
Cliccare su “Invia” e la pagina successiva mostrerà le chiavi per il dominio. Copiare entrambe le chiavi che serviranno per il passaggio successivo. - Inserire il codice nel sito
In questo passaggio indichiamo come attivare il reCAPTCHA sul proprio sito, inserendo il codice nel file “functions.php” del proprio tema. Per fare questo è necessario aver installato il child del tema principale del sito web. Se non è presente il tema child, leggi questo post per sapere come e perché installare un tema child.
Accedere al sito tramite un client FTP e scaricare il file “functions.php” del tema child ed inserire il seguente codice alla fine del file. Sostituire CHIAVE_DEL_SITO con la chiave precedentemente generata:function load_login_scripts()
{
wp_enqueue_script( 'recaptchav3', 'https://www.google.com/recaptcha/api.js?render=CHIAVE_DEL_SITO');
wp_enqueue_script( 'custom-recaptcha', '/js/recaptcha.js' );
}
add_action( 'login_enqueue_scripts', 'load_login_scripts');
Sempre tramite il client FTP, creare una directory chiamata “js” e caricare un file denominato “recaptcha.js“. Inserire il seguente codice, sostituendo “CHIAVE_SEGRETA” con la chiave segreta precedentemente generata:document.addEventListener("DOMContentLoaded", function(event) {
grecaptcha.ready(function() {
grecaptcha.execute('CHIAVE_SEGRETA', {action:
'login'}).then(function(token) {
console.log(token);
});
});
});
Se è stato fatto tutto come descritto, dovremmo vedere la piccola icona che identifica il reCAPTCHA nella parte inferiore a destra della pagina di autenticazione di WordPress.
Gli accorgimenti per migliorare la sicurezza di WordPress non finiscono qui, leggi questo post con altre utili indicazioni, tra le quali:
- Autenticazione a 2 fattori
- Fail2ban
- Wi-Fi pubblici, cosa evitare e come.
Hai bisogno di realizzare un nuovo sito web professionale e sicuro con WordPress?
Contattaci sapremo venire incontro ad ogni tua esigenza.