Aumentare la sicurezza di WordPress

WordPress, come tutti i CMS Open Source e non, è soggetto a falle che ne mettono in pericolo la sicurezza.

Di norma, tutti gli utilizzatori di CMS Open Source lasciano un riferimento all’interno del sito stesso. In pratica, come ringraziamento per l’uso gratuito dell’applicazione si concedono link nella home page e nelle altre pagine interne al sito stesso. Ciò è sicuramente il minimo che si può fare anche perché ormai i CMS come WordPress hanno raggiunto un livello veramente molto alto ed è migliore di altri CMS a pagamento.

Come tutti gli strumenti utilizzati da molte persone, però, anche WordPress è esposto ad attacchi di malintenzionati. Ora qualcuno potrà chiedersi: “Va beh! Ma il mio sito che lo attaccano a fare? Mica sono la NASA o l’FBI?“. Giusto, ma, per fare pratica, si cercano vittime casualmente e per la statistica siamo tutti sotto al cielo.

Come fare per proteggersi e diminuire le probabilità statistiche? Prima di tutto, aggiornate sempre la vostra versione di WordPress. Nel pannello di amministrazione appare ben evidenziato in alto il rilascio delle nuove versioni con un collegamento per l’aggiornamento automatico. Lo stesso vale anche per i plugin.

Ma vediamo quali sono gli altri principali fattori da tenere in considerazione per evitare i più elementari attacchi.

Chiunque usi WordPress sa che la pagina di amministrazione è raggiungibile al link www.nomedominio.it/wp-admin. In questa pagina è presente una mascherina per il login dell’amministratore in cui bisogna inserire nome utente e password. “Beh – direte voi – mica è facile indovinare due valori!“. Forse due valori no, ma, il nome utente, di default, è sempre “admin“, quindi, ai malintenzionati, non resta altro che “indovinare” un solo valore, la password.

Ora dovrebbe sorgere alle menti di ognuno l’intuizione di cambiare il nome utente e di trasformarlo da “admin” a “pincopallino“. Peccato che non è così intuitivo come sembra. Infatti, dal pannello di amministrazione, recandoci nel menu “Utenti“, ci accorgiamo che non possiamo modificare il nome utente di admin. Allora come fare? Dobbiamo arrenderci? Per niente, ma dobbiamo trovare un percorso alternativo.

Dal pannello di amministrazione di WordPress clicchiamo sul menu “Utenti” e poi su “Aggiungi nuovo“. I campi obbligatori per la creazione di un utente in WordPress solo solo “Nome utente“, “E-mail” e “Password“. Riempiti questi tre campi (mi raccomando: il nome utente deve essere fantasioso e non admin, administrator e così via), dal menu a tendina “Ruolo” presente in fondo alla pagina selezionare “Amministratore“.

A questo punto bisogna effettuare il logout, entrare con il nuovo nome utente e password, cliccare sul menu “Utenti” e cancellare l’utente “admin“.

Primo passo compiuto. Prossimamente parleremo di altre piccole precauzioni per aumentare la sicurezza di WordPress.

Marcello Coppola

Tecnico hardware e docente di informatica prima. IT manager e capo ricevimento in hotel poi. La vita è troppo breve per riuscire a sperimentare tutto ciò che vorrei. Per questo ho deciso di dare vita ad Atlantis Innovation Lab: un laboratorio grazie al quale aiutare le aziende ad accogliere l'innovazione. Credo che la formazione continua sia la prerogativa di ogni professionista.