(Image Credit : Millionclues)

WordPress è conosciuto, tra le varie cose, anche per la sua semplicità e praticità di installazione. Questo è alla base della sua popolarità sia come piattaforma di blogging sia per altro ancora.

Installare Wordpress in locale è, ormai, davvero alla portata di ogni tipologia di utente, ma anche installarlo su un server remoto risulta molto semplice considerando che si è guidati step by step e si hanno migliaia di riferimenti e guide.

Le installazioni di Wordpress, essendo facili e rapide, risultano spesso tutte identiche fra loro nei vari parametri di configurazione; il che fa molta gola agli hackers che non devono molto arrovellarsi per tentare intrusioni pericolose o per scovare debolezze all’interno della piattaforma.

Ecco perché, durante il processo di installazione, occorre prendere delle precauzioni che poi garantiranno la massima sicurezza al nostro blog in futuro. Un’installazione che differisce, anche se di poco, da quella standard non fà altro che rendere più difficile il lavoro di hackers e simili.

Vediamo alcuni possibili e cruciali punti di intervento in fase di installazione e relativi al discorso appena fatto che sono, cosa importante, alla portata di tutti (esperti o meno).

Prefisso Tabelle

I parametri di accesso al vostro database sono configurati nel file wp-config.php. In questo file, il prefisso di tutte le tabelle è definito quando l’utente crea il database durante la fase di installazione. Di default, il prefisso è “wp_” ed è quello usato dal 99% degli utilizzatori.

Logicamente, in fase di definizione potete scegliere anche un prefisso diverso (anzi, è consigliato), ma dovete solo ricordarvi che i soli caratteri permessi sono numeri, lettere e underscore.

Chiavi Uniche di Autenticazione

Dalla versione WordPress 2.6 sono a disposizione quattro password segrete: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY e NONCE_KEY, utili a rendere la sessione di login molto più sicura e difficile da crackare da parte di eventuali malintenzionati.

Tali chiavi non sono configurabili da pannello di controllo, ma occorre agire modificando il file wp-config.php del proprio blog. Aprendo quest’ultimo, è infatti possibile notare la presenza di queste tre stringhe di testo:

define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);

Potete creare manualmente le 4 chiavi oppure prendere spunto dal generatore random su wordpress.org

Permessi su File e Cartelle

In questo caso la responsabilità ricade sul file robots.txt dove potete, volendo, disabilitare l’accesso dei vari search engines a directory interne tramite il classico /Disallow

Rinominare WP-Content

Tutti i plugin, i files e i temi sono memorizzati all’interno della directory wp-content. Poiché, spesso, i plugins aprono voragini di sicurezza enormi, sarebbe davvero gravissimo se qualche hacker riuscisse ad entrare in questo folder. Dalla versione 2.6 è possibile rinominare questo folder e posizionarlo laddove si vuole all’interno della struttura Wordpress.

Per farlo, basta solo ridefinire il tutto con l’aiuto di costanti nel file wp-config.php :

define(‘WP_CONTENT_DIR’, ABSPATH . ‘test’);    // wp-content Directory
define(‘WP_CONTENT_URL’, ‘http://example.com/test’); // wp-content URL

Versione Wordpress

La versione di WordPress che state utilizzando è, solitamente, mostrata in varie parti di un blog. Poiché ogni versione ha le sue debolezze ben note, direi che rivelarla significa dare un indizio importante a qualche malintenzionato. Per rimuoverla potete utilizzare  Secure WordPress Plugins.

Disabilitare messaggi di errore e informazione

Tutti possono provare ad effettuare il login sulla vostra area di amministrazione con username and password. Se l’autenticazione produce un errore, WordPress fornisce alcuni consigli su come riuscire ad inserire i valori corretti. Direi che sono vantaggi che un hacker non dovrebbe avere e, quindi, occorre disabilitare ogni messaggio di errore o di semplice informazione che appare in tali casi.

Potete ricorrere, per raggiungere lo scopo, sia al Secure WordPress Plugin sia agendo sulla costante WP-DEBUG presente nel wp-config.php settandola al valore FALSE :

define(‘WP_DEBUG’, false);

Logicamente, queste sono solo alcune tra le più importanti precauzioni da prendere in ambito sicurezza.

Lascio a voi, nei commenti, suggerirne altre che, in fase di installazione di Wordpress, possono risultare utili.