Sicurezza sito WordPress: proteggi il blog con un prompt ChatGPT
Ultimamente sto lavorando tantissimo su siti WordPress. In primis questo ma, per dirne un altro, anche quello della Division Conference Toastmasters funziona con lo stesso CMS. Ho sempre usato siti basati su WordPress e negli anni, errore dopo errore, ho imparato come renderlo abbastanza sicuro da evitare il grosso deli attacchi online. Ma no non è stato sempre così. Ho ragionato che in tutti questi anni di blog, in oltre 300 articoli, non ho mai speso una parola su come proteggere il proprio blog WordPress. Era decisamente il tempo di rimediare. Oggi vi racconto quali precauzioni ho imparato a prendere ogni volta che attivo un nuovo sito WordPress. Già che c’ero ho anche creato un simpatico prompt per ChatGPT che vi aiuta a fare un’autodiagnosi dandovi consigli su come rendere meno esposto il vostro blog.
Se ti va ricordati che puoi offrirmi un caffè grazie a Buy me a coffee!
I miei blog WordPress erano un colabrodo
Non penso sia difficile da credere. Installavo WordPress, lasciando tutte le configurazioni di default e sostanzialmente fregandomene dei rischi perché “tanto è un sito piccolo chi vuoi che lo attacchi”.
Le ultime parole famose: creo il sito della banda penso alla grafica, alle pagine, ai plugin ma non alla sicurezza. Per un po’ va tutto bene finché non mi chiama il presidente chiedendomi se fosse normale che sul nostro sito comparisse uno shop tutto in cinese.
Da quel momento prova dopo prova ho trovato la mia configurazione ideale, che ovviamente, penso farebbe ridere un vero hacker, ma che è abbastanza rognosa da far desistere i bot che fanno attacchi automatici. Sono 5 piccoli accorgimenti che si basano su una semplice considerazione:
il grosso degli attacchi informatici “di massa” su WordPress sfrutta debolezze legate alle configurazioni di default del sistema. Solo cambiando quelle si inibisce il grosso degli attacchi. Così si è al sicuro? No, ma sicuramente ci sarà qualche sito più facile da bucare del nostro. I vari bot punteranno a quello.
Nel caso ve lo stiate chiedendo: sì la storia dello shop cinese è vera… errori di gioventù!
Ti potrebbero interessare questi articoli
- asd
- asd
- asd
Alla sicurezza del sito WordPress ci penso...poi
Hai appena aperto il nuovo blog WordPress. Sei entusiasta, carico a molla e stai pensando al tema, agli articoli, a tutto quello che è essenzialmente l’aspetto contenutistico del blog. Sai che dovresti pensare alla sicurezza ma:
Non è divertente e appagante come scrivere il tuo primo articolo
Il tuo è un sito piccolo e sicuramente nessuno lo noterà
Giuro che poi domani ci penso…
I 5 controlli da fare sul tuo sito WordPress
Nascondo il backend
Suona una roba da informatici esperti in realtà è un concetto molto semplice. WordPress ha la sua porta di ingresso ovvero www.tuosito.it/wp-login.php ogni blog o sito WordPress nasce così. Quindi tutti gli hacker o i bot come prima cosa provano ad entrare da li. Io lo disattivo e al suo post metto come porta di ingresso una stringa casuale totalmente diversa. Così chi prova ad entrare da lì non trova la porta chiusa: non trova proprio nessuna porta da cui entrare.
Proteggere un blog WordPress: occhio all'admin
Il mio blog non ha un admin
Ovviamente esiste un utente amministratore ma non si chiama admin come l’utente di default creato da WordPress. Anche in questo il mio utente Amministratore ha sempre un nome che sembra inventato facendo camminare un gatto imbizzarrito sulla tastiera. Anche qui pratica super semplice per evitare attacchi basati su dati noti a priori. Inoltre aggiungo una regolina: se provi a loggarti come admin (ammesso che tu abbia trovato da dove entrare) ban immediato.
Sul mio blog non c'è un utente ID 1
Quando crei un blog WordPress il sistema crea in automatico l’utente admin e gli da l’id 1. Diciamo che sei bravo e lo rinomini in s4bnciS1Av7 resta comunque l’utente con ID 1. Per sapere come si chiama l’admin del sito basta andare su www.tuosito.it/?author=1 e magicamente nell’indirizzo sbucherà il nome dell’utente. Ecco il mio admin non ha mai id 1, anzi il mio sito non ti da informazioni per nessun utente. Tecnicamente questo è un divieto all’enumerazione degli utenti.
Difendere un blog WordPress: attento qui
Non dovresti sbirciare la mia lista utenti
Già che si parla di utenti un’altra cosa molto carina dell’installazione di default di WordPress è che ti mette a disposizione la lista degli utenti su www.tuosito.it/wp-json/wp/v2/users. Sapendo lo username diventa facile strutturare un attacco. Ecco io la blocco.
Gli utenti del mio blog non sono affari degli attaccanti e dei vari bot che provano ad entrare ogni giorno. Mi vuoi bucare il sito? Bene Tira a caso finché non azzecchi uno user valido.
Se non ti serve l'XML-RPC non tenerlo aperto
Ogni blog WordPress ha una porta nascosta: si chiama protocollo XML-RPC e di solito è una porta spalancata. Questa porta serve a connettersi al proprio blog da altre piattaforme. Tipo per pubblicare articoli da remoto. Non è un attacco usatissimo ma qualche tempo fa era tornato in voga. Se come me scrivi sempre dal tuo sito non ti serve quindi chiudi quella porta e fatti un regalo. Anche perché è facilissimo scoprire se la porta è aperta: basta andare su www.tuosito.it/xmlrpc.php
Ora mi direte, tutto molto bello ma suona dannatamente complicato. No perché c’è un plugin che vi permette di fare tutto questo in pochi click davvero a costo 0. Oltre a questo permette di fare una serie di altre configurazioni molto carine:
Configurare il firewall per evitare attacchi a forza bruta
Attivare la protezione a 2 Fattori per gli utenti importanti
Oscurare le cartelle e i file più importanti dove si potrebbero pescare informazioni molti interessanti per attaccare
Vi segnala la presenza plugin con vulnerabilità
Tanto tanto altro…
Questo plugin è Solid Security ed è il primo plugin che installo in un sito WordPress nuovo di zecca.
Vuoi scoprire quanto è sicuro il blog WordPress?
ti ho preparato un prompt ChatGPT di autodiagnosi. Tu lanci il prompt e ChatGPT inizierà a farti domande chiedendo di andare su determinati indirizzi del tuo sito WordPress. Dovrai rispondere col risultato e lui farà una diagnosi e saprà (o dovrebbe sapere) aiutarti a risolvere queste vulnerabilità. Potrai aggiustare la sicurezza del tuo sito WordPress in pochi semplici passi.
Altre piccole attenzioni per la sicurezza del blog WordPress
Questi sono consigli tecnici ma buona parte della sicurezza sta in tanti piccoli accorgimenti di buon senso.
Per esempio mai pubblicare un articolo col tuo account Admin, Crea un secondo account senza grossi poteri che possa solo pubblicare articoli e scrivi da lì.
Non installare plugin strettamente necessari: ogni plugin aumenta la possibilità di falle nel codice aprendo porte indesiderate agli attaccanti. Ovviamente ricordandosi di aggiornare sempre tutto.
Ovviamente mettere un’autenticazione a due fattori sull’utente amministratore. Questo sicuramente anche nel peggiori dei casi dovrebbe rappresentare la barriera più difficile da superare.
Ma così il mio blog è al sicuro da tutto e tutti?
Mettere in pratica queste regole di sicurezza sito WordPress non rende il tuo blog inviolabile. Se qualcuno vuole davvero attaccarti, troverà il modo.
Ma la maggior parte degli attacchi è automatica, rumorosa, statistica. Con una buona checklist sicurezza WordPress, qualche test periodico e un prompt ChatGPT per verificare i punti critici, fai pulizia. Togli rumore. Chiudi le porte più ovvie.
Non diventi invisibile.
Diventi meno conveniente.
E spesso è più che sufficiente per proteggere un blog WordPress dagli attacchi automatici.
E voi?
Avete una vostra procedura standard per difendere un blog WordPress?
Avete fatto un test sicurezza WordPress o usato il prompt ChatGPT?
Se lo avete provato, ditemi come vi siete trovati.
E se avete idee per migliorare la sicurezza sito WordPress o il prompt, scrivetemi.
