Blog WordPress sotto attacco: ecco come proteggersi

HostGator e CloudFlare hanno lanciato l’allarme! Sembra che sia  in atto in queste ore un potente attacco contro i blog  WordPress. L’attacco in questione si baserebbe su dizionario e mirerebbe a trovare la password associata all’account admin di default.

Non facciamoci prendere dal panico e vediamo quali misure adottare per proteggerci e difendere il nostro blog. Quindi vediamo come fare per cercare di proteggere nella maniera più adeguata possibile i nostri blog su WordPress.

 

Utenti e password

Per prima cosa, è consigliabile non lasciare su WordPress l’account admin che viene creato di default. Se per inesperienza questo è proprio il vostro account di amministratore correte subito ai ripari.

Il nome utente admin non può essere cambiato e dunque bisogna creare un nuovo account  col qale poi cancellare il vecchio.
Ecco come fare:

• Accedete al pannello di amministrazione
• Cliccate su Utenti -> Aggiungi nuovo e creare un nuovo utente con il permesso di Amministratore. Scegliete un nome utente  difficile da indovinare e scegliete una password  che rispetti i requisiti di sicurezza minimi. Viene spesso consigliato  di utilizzare password lunghe che contengano numeri, lettere sia maiuscole che minuscole e caratteri speciali, ma se anche non volete ricordare una password complicata evitate almeno quelle troppo semplici come nomi o date di nascita. (Per approfondire leggete qui)
• Dopo aver creato il nuovo account fate il logout e loggatevi con il nuovo account.
• Col nuovo account cliccate su Utenti -> Tutti gli utenti e cancellate l’account admin. Prima della cancellazione vi verrà richiesto di associare gli articoli di admin al nuovo amministratore. E’ importantissimo effettuare questa associazione!!!

 

Per limitare i rischi di attacchi al vostro blog ricordatevi di aggiornare sempre WordPress e di installare solo plugin noti e senza esagerare con il numero. E’ sempre codice esterno che immettete! Anche i plugin vanno aggiornati sempre.

Vi consiglio inoltre di  installare questo plug-in che consente di limitare il numero di tentativi di login per indirizzo ip.

 

Modifiche nel DB

Per default, le tabelle che wordpress crea  hanno il prefisso wp_  e quindi un eventuale hacker sa subito cosa cercare.  Per aumentare la sicurezza del vostro blog cambiate il prefisso, per farlo potere  wp security scan, che in un solo click vi permetterà  di eseguire l’operazione senza danneggiare il db e preservando tutto il lavoro svolto finora.

 

Proteggere il file wp-config.php

Il file wp-config.php è importantissimo, contiene tutte le password di accesso ai database, quindi è essenziale proteggerlo da occhi indesiderati- !Basta aggiungere al file .htaccess  queste  righe di codice per negare  l’accesso al file.

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

 

Ora dovreste essere un pochino più tranquilli 🙂
Già che ci siete controllate anche che nel vostro sito non siano presenti malware o altro codice dannoso, vi basta cliccare su Sucuri Site check immettere il nome del vostro sito e lasciare che lo scansioni accuratamente.