WordPress è il sistema di gestione contenuti più diffuso del mondo. Un terzo dei siti di tutto il mondo è sviluppato su questa piattaforma.

Questo lo rende una preda perfetta per hacker e spammer.

Per fortuna la sicurezza in WordPress è tenuta in grande considerazione e gli sviluppatori hanno messo in pratica tutte le misure possibili per evitare che un sito venga “bucato” da malintenzionati.

Nonostante questo possiamo mettere in pratica dei piccoli accorgimenti per rendere la nostra installazione più sicura. E senza l’uso di plugin!

Aggiorna WordPress

Mantenere il nostro CMS aggiornato è la cosa più importante. WordPress viene aggiornato costantemente con tutte le patch per sistemare eventuali problemi di sicurezza.

La maggior parte degli aggiornamenti di WordPress infatti sono costituiti da bugfix e patch di sicurezza.

Per i più pigri è da segnalare che a partire dalla versione 3.7 WordPress può ricevere aggiornamenti automatici. Per attivare questa comoda opzione basta andare nel nel file wp-config.php e aggiungere o modificare la seguente riga di codice:

define( 'WP_AUTO_UPDATE_CORE', true );

Cancella temi e plugin inutilizzati

Può capitare di aver installato un plugin o un tema che poi per un motivo o un altro non è stato più utilizzato. Avere infatti dei plugin e dei temi inutilizzati oltre ad aumentare lo spazio occupato su disco, può portare ad un maggiore rischio di esporre il tuo sito ad eventuali attacchi.

Limita l’installazione dei plugin a quelli necessari e che usi regolarmente.

Cancella l’utente admin

Di default molte installazioni di WordPress creano l’utente admin. Nel caso di brute force ci saranno molti tentativi di accedere utilizzando questo account.

Per migliorare la sicurezza dovrebbe essere cancellato l’account admin e sostituito con un nome meno scontato.

Usa password efficaci

Scontato ma mai banale, il consiglio di usare una password che sia difficile da indovinare è un evergreen.

Non usare la password più semplice che ricordi, come “mario83“, ma sforzati di usarne una che combini lettere maiuscole, minuscole, numeri e caratteri speciali.

Potresti usarne una come “!lm10Gatt0s!CH1am4G1g1o“. Questa è una passphrase e potresti usarne una simile usando una frase che puoi ricordare facilmente.

WordPress assegna un valore per ogni password inserita, cerca di usarne una di livello strong.

Permessi di files e cartelle

Per una corretta installazione di WordPress bisogna anche tener conto dei permessi di files e cartelle. Per una configurazione ottimale tutte le cartelle dovrebbero essere 755 e i file 644, il wp-config.php dovrebbe essere settato con permessi 400.

Files/Folders	Permissions
wp-content	755
wp-admin	755
wp-includes	644
Tutti i files .php	644
wp-config.php (cartella public_html)	400
index.php (cartella public_html)	644

Usa le WordPress key

Assicurati che nel tuo file wp-config.php siano state create le WordPress key. Queste variabili globali servono per migliorare il sistema di protezione criptando i cookie che risiedono sul browser.

Vengono generate durante l’installazione su quasi tutti gli hosting, ma nel caso nel tuo wp-config.php non siano presenti, puoi crearle andando su https://api.wordpress.org/secret-key/1.1/.

define('AUTH_KEY',        'Mi@A%m`3adaTJ@#sL+{nq-WhrOwyCH|I(3k>NEoT=2+-.Fs^B*8*K|[jJ_GlQ~q[');
define('SECURE_AUTH_KEY', 'ag-?YfLW!<gYt~EtGRWD3?jp@h#8fW&cVb50FSL=6?)$ps?N8t*&]2U5jvZ4{wnQ');
define('LOGGED_IN_KEY',   '++@dhNqKK8uv9OUM|-u^i>/sZt.2]-X(^n>i/+;vf!Fw;Dl(,<v.H>kV1+D-h:C7');
define('NONCE_KEY',       'WSR]KMRL%6<y|#0.] =r^W4PPse].T<g#S00It^O!BX%BBq0:XAYOg#g33[ZWlT<');

Fai un backup del database

Il backup è una cosa fondamentale. Può sembrare scontato, ma molti sottovalutano l’importanza di avere una copia di riserva nel caso il sito venga compromesso.

Ormai tutti gli hosting offrono backup automatici, la cui cadenza periodica si può impostare a piacimento, in modo da essere sempre sicuri di non perdere il lavoro svolto.