WordPress è la più popolare software di blog e il sistema di gestione dei contenuti più diffuso. Non è un caso che molti attaccanti cerchino di accedere a installazioni WordPress e server in modo indiscriminato e cercare di hackerarli. Contro questo bisogna difendersi, solo per il fatto che su Google esistono diverse guide sulle Sicurezza delle vulnerabilità da sfruttare.
Scansione di Sicurezza per WordPress
Sei tu stesso incerto se la tua pagina web WordPress o il tuo blog siano vulnerabili agli attacchi dei hacker e se debbano essere particolarmente protetti? Allora esegui lo Security Scan (pagina esterna, gratuito). Lo scan controlla tra l'altro la versione di WordPress, che dovrebbe essere aggiornata. Inoltre vengono verificate tutte le estensioni riconosciute e confrontate con una banca dati di estensioni pericolose. Se tutto va bene, il risultato del test appare così:
Inoltre, lo scan controlla i nomi degli amministratori utilizzati. In possesso di ciò dovrebbe non chiamarsi admin né come il sito web stesso.
Un altro scanner chiamato Nikto controlla la tua web site e il tuo server in generale per le sicurezze (bisogna registrarsi o scaricare la versione offline).
Misure generali
È assolutamente necessario e fondamentale utilizzare un forte password per l'utente di amministrazione WordPress, in questo modo puoi proteggere WordPress con poco sforzo e difenderlo dagli attacchi. Inoltre non utilizzare mai lo stesso password più volte, né all'interno di una installazione di WordPress per più utenti, né identici password per diversi servizi e applicazioni!
Tra le misure di sicurezza più semplici appartiene il cancellazione dell'utente predefinito con l'identificativo 1 e il nome utente "admin". Infatti, il nome dell'autore con l'indice 1 può essere facilmente risaputo richiamando la seguente URL.
www.yourblog.com/?author=1
L'area di amministrazione sul tuo server dovrebbe inoltre essere protetta con un Protezione dei cataloghi. Altrimenti si può semplicemente richiamare lo schermo di accesso come segue:
www.yourblog.com/wp-admin
Così si crea un protezione per il directory per l'area amministrativa:
Una file di password al di fuori del percorso da proteggere e al di fuori della cartella principale posizionare, chiamata_htpasswd_ e con la seguente struttura:
username:passworthash
Per username scegli un nome utente qualsiasi, che meglio non corrisponda al tuo nome utente WordPress. passworthash è il valore hash del password con cui si vuole autenticare il controllo di accesso. La cosa più semplice da fare è creare il contenuto di questa pagina con un htpasswd-Generator. Assicurati di utilizzare password sicuri, che dovrebbe essere ovvio!
Dopo aver creato una file chiamata .htaccess nel directory wp-admin della tua installazione di WordPress con il seguente contenuto:
AuthType Basic AuthName "Passwortgeschuetzter Bereich" AuthUserFile /pfad/zur/Datei/.htpasswd AuthGroupFile /dev/null require valid-user
Con ciò è garantita l'autenticazione a più fattori, anche detta MFA. Meglio ancora sarebbe un blackout dei media, ma questo porterebbe probabilmente troppo lontano per le pagine web informative. Potrebbe essere diverso per il banking online.
Nun anche ancora vietare l'accesso da fuori alla file wp-config.php nel percorso di WordPress, perché in questo file ci sono tutte le informazioni di accesso importanti come l'utente della banca dati e la relativa password. Nello stesso directory o cartella dove si trova wp-config.php c'è una file htaccess. In questo file aggiungi al termine delle seguenti righe:
\# Zugriff auf wp-config.php von außen verbieten <files wp-config.php> Order deny,allow deny from all </files>
Queste misure dovrebbero portare una maggiore sicurezza percepibile, con cui puoi già proteggere efficacemente WordPress dagli hacker!
Aggiornare regolarmente plugin e WordPress stesso
Il dashboard segnala quando è disponibile un aggiornamento. Spesso gli aggiornamenti contengono Sicurezza o codice per chiudere le sicurezze. A chi il manuale aggiornamento è troppo fastidioso, può aggiungere la seguente riga nella wp-config.php file per attivare l'aggiornamento automatico:
// Enable all automatic updates define( 'WP_AUTO_UPDATE_CORE', true );
Noch mehr Security-Tipps
Per evitare che gli attaccanti o i hacker possano leggere direttamente la versione di WordPress, è meglio aggiungere il seguente codice nella file functions.php proprio alla fine: add_filter('the_generator', '__return_empty_string'):
remove\_action('wp\_head','wp\_generator');
La file puoi modificare tramite il Pannello di Amministrazione, Design → Editor
Vorrei sapere se vuoi proteggere ulteriormente WordPress, allora aggiungi la seguente riga alla fine del file wp-config.php:
define('DISALLOW\_FILE\_EDIT', true);
Impedisce l'editing di file PHP e CSS attraverso l'editor WP nel pannello amministrativo degli hacker. Tuttavia, le modifiche a questi file dovrebbero essere vietate solo se non desideri apportare spesso modifiche personali (per comodità) tramite l'editor nel pannello. Tuttavia, puoi modificare tutti questi file direttamente sul server web, ad esempio tramite FTP o Shell.
Se la tua pagina WordPress non supporta HTTPS o SSL, non dovresti mai accedere come amministratore dalla rete Wi-Fi di luoghi pubblici, altrimenti potrebbe capitare che gli attaccanti leggano il tuo password in chiaro! E questo percorso lo vuoi proprio imboccare? In alcuni casi potrebbero essere necessarie anche conseguenze legali se si espongono le sicurezze dei file via rete. SSL può essere utilizzato solo con un certificato di solito costante, quindi è più facile che le aziende abbiano la possibilità di farlo.
Autenticazione a due fattori
Con l'aiuto di un plugin è possibile prevedere una autenticazione a due fattori al login. Per questo bisogna avere inoltre una App Google. Oltre all'autentificazione WordPress vera e propria, si deve autorizzare tramite lo smartphone. Il plugin si chiama Google Authenticator – Two Factor Authentication (2FA). Grazie a Ralf per il bel suggerimento tramite commento a questo post!
Limitare i tentativi di accesso
Incredibile, ma vero: di default chiunque può effettuare un numero illimitato di tentativi di accesso all'area amministrativa tua! In segno di sicurezza WordPress dovresti installare un plugin come Login Lockdown per impostare un limite. Dopo l'installazione troverai le opzioni del plugin sotto Impostazioni -> Login Lockdown. Lì potrai configurare in particolare quanti tentativi di accesso consecutivi qualcuno può effettuare, quindi quante volte ha fallito. Dopo aver raggiunto questo numero, non sarà più possibile accedere per 5 minuti dalla stessa IP. Questo tempo puoi anche personalizzare. Ora i cattivi dovranno sforzarsi di più se vogliono hackerare!
Sehr utile è anche la configurazione Mask Login Errors. Bisogna impostarla su Yes. In questo modo, infatti, l'attaccante non riceverà alcuna informazione sul motivo per cui la sua registrazione è fallita. Altrimenti viene comunicato se il nome utente era noto ma la password era sbagliata o se già il nome utente era sbagliato.
Cambiare prefisso della tabella
Normalmente ogni tabella inizia con il prefisso wp. Ciò rende facile, ai tentativi di SQL Injection riusciti, leggere o manipolare i contenuti delle tabelle della database. Prima dell'installazione si può modificare questo prefisso editando la _wp-config.php file. Se l'installazione è già stata eseguita, allora il plugin Change DB Prefix.
Abbiamo ricevuto di recente un commento spam che conteneva un tentativo goffo di iniezione SQL e rivela la via dei hacker:
Era probabilmente un compatriota russo che però non sa scrivere né l'inglese né il SQL correttamente. Infatti, la query SQL contiene errori di sintassi e non porta a nessuna azione sulla banca dati. Non si può fare di peggio, ma è difficile immaginare cosa sarebbe successo se questo attacco fosse riuscito!
Leggi i file Readme e di Licenza o proteggili o cancellali
readme.html e license.txt Le file readme.html e license.txt si trovano nella cartella principale dell'installazione e contengono informazioni sulla versione di WordPress. Offrono agli attaccanti un buon punto di partenza per valutare il bersaglio dell'attacco. Si può scegliere tra due opzioni: o eliminare queste due file, poiché non sono necessarie per l'esecuzione; oppure modificare la file htaccess che si trova nella cartella radice aggiungendo le seguenti righe:
# Protect readme.html File <Files readme.html> order allow,deny deny from all </Files>Utilizzare plugin di sicurezza
Con un plugin come Bullet Proof Security, molto diffuso e di grande popolarità tra gli amministratori in numerose installazioni, si ottiene una soluzione gratuita e completa per chiudere le potenziali sicurezze e le porte d'ingresso.
Il plugin resiste a diverse attacchi, protegge ad esempio il file htaccess, crea una barriera di protezione per tutta l'installazione, limita il numero massimo di tentativi di accesso consentiti, controlla le password e offre un'efficace protezione per la banca dati.
Questo plugin di sicurezza è molto semplice da utilizzare e può essere installato e configurato con pochi clic, assolutamente da provare!
Ulteriori indicazioni
Sicuramente dovresti eseguire regolarmente un Backup delle tue installazioni di WordPress, basta copiare il percorso di installazione su un disco locale. Assolutamente no, non caricare il backup sullo stesso server dove hai installato WordPress o caricarlo tramite FTP! Il plugin precedentemente menzionato crea comunque un backup della tua base di dati! Una misura una tantum come l'adattamento di htaccess per la protezione delle tue installazioni e le altre impostazioni di sicurezza descritte sopra ti proteggono in ogni caso da essere hackerati. Molto importante sono gli aggiornamenti offerti per i plugin e i temi. Leggere comunque il Change Log e se sono state chiuse delle vulnerabilità, assicurarti di installarli.
Se crei tu stesso temi o modifichi modelli esistenti, assicurati di non aprire delle sicurezze nel web design. Informati prima di utilizzare biblioteche Javascript esterne, se sono considerate sicure.
Il WordPress gestisce, per inciso, un archivio con le comunicazioni relative alla sicurezza.
Controllare le pagine web
I aspetti sicurezza e protezione dei dati sono connessi. Chi vuole assicurare la propria sito WordPress dovrebbe avere presente non solo i hacker, ma anche le leggi sulla protezione dei dati. Con il controllo online del sito scoprirai subito come è impostato.
Il controllo del sito web funziona in modo molto semplice:
- Inserisci l'indirizzo web
- Premi il pulsante di avvio
- Aspettare pochi secondi, risultato visibile direttamente nel browser
Messaggi chiave
Per proteggere il tuo sito WordPress da attacchi hacker, è importante aggiornare regolarmente il software, utilizzare password forti e proteggere l'area amministrativa con un sistema di autenticazione.
Per proteggere il tuo sito WordPress, installa plugin di sicurezza per limitare i tentativi di accesso e mascherare gli errori di login.
Per proteggere il tuo sito WordPress, usa un plugin di sicurezza, aggiorna regolarmente i plugin e i temi, e presta attenzione alla sicurezza dei dati.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
