Cosa può minare la sicurezza di WordPress? Ecco cinque cose che dovreste sapere

di Giovanni Biasi Commenta

wordpress trucchi sicurezza

WordPress, come sappiamo, è probabilmente il CMS più utilizzato al mondo: semplice, immediato e di facile utilizzo. Anche OnlineTutorial.it sta su WordPress, fate un po’ voi. Ma come in ogni cosa nel mondo di internet, c’è da stare attenti alla sicurezza, visto che ci sono minacce costanti in cui possono incappare blog e siti ospitati su WordPress. Spesso si scopre dell’esistenza di una falla nella sicurezza solo dopo un problema effettivo. Vi riportiamo di seguito cinque possibili minacce sulla sicurezza di cui dovreste tener conto. 

Prevenire i troppi tentativi di login

Utenti non autorizzati possono provare ad effettuare il login sul vostro sito utilizzando diverse combinazioni di login e password. Ci sono diversi strumenti che lo fanno per loro: è un metodo conosciuto col nome di “brute force”. La buona notizia è che è possibile prevenire tutto questo installando un plugin: si tratta di questo, che pone un limite massimo ai tentativi di login da parte di un utente. Se li supera, non avrà più tentativi disponibili.

Conferma delle informazioni di login

La versione attuale di WordPress è in grado di dire all’utente, in caso di login errato, quali informazioni sta sbagliando. Magari si sbaglia solo il nome utente, ma la password è corretta, e il sistema ce lo dice. E questo, ovviamente, può facilitare molto il processo di “brute force” di cui vi parlavamo prima. Per ovviare alla cosa, è possibile semplicemente incollare il codice seguente all’interno del file functions.php del vostro tema.

functionfailed_login () {

    return'the login information you have entered is incorrect.’
}
add_filter ( 'login_errors''failed_login');

Registrazione globale aperta

Chiunque può registrarsi sul vostro sito. Si tratta di un’opzione di WordPress, disabilitata di default. Se non volete un’utenza libera all’interno del vostro sito, fate meglio a tenerla disabilitata. Per esserne certi, basta recarsi all’interno delle Impostazioni, sul proprio pannello di aministrazione, e deselezionare il checkbox “Chiunque può registrarsi”. Come precauzione ulteriore, selezionate “Sottoscrittore” nella scelta del ruolo di default per i nuovi utenti.

Accesso agli editor

Generalmente, un amministratore di un sito web con WordPress dà l’accesso al pannello ai propri editor. Questo aiuta sicuramente nella gestione del sito, ma può anche rappresentare un pericolo nel caso qualcuno  si metta a smanettare all’interno della dashboard, magari andando a modificare tema, sfondo, layout e così via. Per prevenire tutto questo, è sufficiente inserire questa stringa di codice all’interno del file functions.php:

define ( 'DISALLOW_FILE_EDIT', true );

 Versione di WordPress

Chiunque abbia una minima conoscenza di WordPress può facilmente controllare la versione che state usando. Da lì è possibile accedere ad eventuali vulnerabilità particolari proprie di una certa versione. Per ovviare al problema, è possibile cambiare le informazioni nei metadata dell’header della propria pagina, e nel file readme.html.

Per modificare i metadata, utilizzate questo codice:

functionremove_wp_version () {

    return'';
}
add_filter ( 'the_generator', 'remove_wp_version');
Per quanto riguarda il file readme.html, basta modificare il titolo a piacimento. Accertatevi solo che non sia una cosa decifrabile da un hacker. Si può anche rimuovere completamente, o soltanto il numero della versione all’interno del file.

Lascia un commento

Il tuo indirizzo email non verrà pubblicato.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>