Archives For BackupWordPress

Rispondo a una domanda abbastanza comune che viene generalmente rivolta a mezzo mail o tra una chiacchiera e l’altra quando ci si trova con conoscenti che muovono passi autonomi sul web. WordPress è meraviglioso, è adatto a qualsiasi tipo di sito web e sì, può contare su una miriade di temi e plugin disponibili gratuitamente e a pagamento.

Quali sono però i 5 passi comuni per evitare che qualcosa vada storto esponendosi a un attacco dall’esterno? Provo a darti una base –spero– solida.

WordPress: 5 step per la sua (e tua) sicurezza

Questo nuovo articolo va a riprendere (parzialmente) e fare coppia con uno più vecchio, che trovi ancora qui. Cominciamo?

Occhio a username e password

Che vuol dire tutto e nulla.

WordPress: 5 step per la sua (e tua) sicurezza 3

Ciò che intendo è, per esempio, non utilizzare l’account amministrativo di default (che va quanto prima degradato a semplice utente, se non addirittura eliminato), in favore di un nuovo account da te appositamente realizzato, amministrativo, con username non facilmente indovinabile e con una password complessa (parleremo anche di password robuste quanto prima, ma ti porto a questa vignetta, che tanto spiega in merito). Non utilizzare la stessa password che hai già usato in passato per altri servizi. Fatti aiutare da un buon password manager se ti serve.

Inutile dire che l’autenticazione e due fattori è ormai una cosa fondamentale. Dai un’occhiata qui per capire di cosa sto parlando: gioxx.org/2016/09/01/wordpress-e-authy-autenticazione-onetouch.

Verifica i plugin installati

Che si traduce con:

  • utilizza dei plugin costantemente mantenuti, che non superino (se possibile) i 6 mesi dall’ultima data di aggiornamento;
  • cancella quelli non più utilizzati, che non ti servono, non pensare che un domani possano tornarti utili ancora, perché si fa sempre in tempo a ricercarli nuovamente e reinstallarli;
  • cerca di rimanere informato in merito ai loro cambiamenti, perché è facile che un attacco possa sfruttare falle in loro integrate (oppure in servizi a cui si appoggiano).

Capisco che spesso non è cosa semplice, però potrai sempre chiedere un aiuto alle community di condivisione e assistenza sul mondo WordPress in giro per il web, già più approcciabile per chiunque.

Aggiorna WordPress

Ma anche i plugin, che poi potrebbe ricadere nella voce precedente.

WordPress: 5 step per la sua (e tua) sicurezza 2

Tenere aggiornato ogni sistema (non solo operativo) è fondamentale per tappare falle scoperte e dichiarate, prima che qualcuno le sfrutti nella peggior maniera possibile. Quando viene pubblicata una nuova versione di WordPress, questa va a correggere problemi e anomalie generalmente importanti, che ti permettono di dormire sonni tranquilli. Per fortuna, salvo problemi o limitazioni imposte, WordPress aggiorna automaticamente ogni minor release, lasciando a te l’onere di pensare alle major.

Aggiornare costa solo un paio di clic, ma prima di farlo ricorda di verificare che non ci sia del codice personalizzato che possa smettere di funzionare in seguito all’operazione (chiedi aiuto al tuo sviluppatore nel caso non sia tu direttamente a occuparti del tuo blog).

Tieni sempre un backup aggiornato

WordPress: 5 step per la sua (e tua) sicurezza 4

Sia del database, sia dei file salvati sullo spazio disco del server. Se i secondi cambiano forse meno spesso (occhio però alle immagini e più in generale ai media caricati online), il primo è in costante crescita e modifica. Avere una copia di backup aggiornata è fondamentale per evitare di incorrere in possibili disastri (causati da te, dal tuo provider o da qualcuno di completamente estraneo).

Per portare a termine questa operazione esistono decine di plugin, sia gratuiti che a pagamento. Io ho scelto di affidarmi a BackUpWordPress della Human Made.

BackUpWordPress
BackUpWordPress
Price: Free

Comodo, molto personalizzabile e disponibile anche in versione gratuita limitata (io uso questa), lasciando fare poi a SyncBack il lavoro sporco (quello del download totale di tutti i file, backup compresi). Ce ne sono anche altri (di plugin, intendo), magari prova a dare un’occhiata a questo articolo di ThemeTrust pubblicato qualche tempo fa: themetrust.com/wordpress-backup-plugins (e provali sempre in ambiente di test, mai di produzione!)

Utilizza un plugin di sicurezza

WordPress: 5 step per la sua (e tua) sicurezza 1

Che sembra una sciocchezza, forse, ma non lo è. Un plugin di sicurezza ti aiuta a prenderti cura della tua installazione WordPress, suggerendoti dove mettere mano per evitare sgradite sorprese. Ne esistono di ogni tipo, e generalmente sono tutti in grado di suggerire buone strategie di protezione della propria area amministrativa, fare scansioni alla ricerca di possibili anomalie (sfruttabili dall’esterno), limitare gli accessi di ogni utente conosciuto (e non, soprattutto).

Io utilizzo da tempo iThemes Security (ex Better WP Security). Ne ho parlato in maniera approfondita in un precedente articolo disponibile qui:

Proteggere WordPress da login non autorizzati

Tutto chiaro? Al solito: per consigli, suggerimenti e critiche costruttive, l’area commenti è a tua totale disposizione, sempre ben felice di leggere cose nuove e interessanti! Per il supporto, invece, vi rimando al forum di ogni singolo plugin, o genericamente al forum della community italiana di WordPress.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Un errore partorito nella versione 3.6.0 di BackUpWordPress, non permette di gestire correttamente il numero di backup da conservare nel caso in cui il plugin non sia in grado di ottenere lo spazio libero sul disco del server, un po’ come mostrato in questa immagine catturata da una mia installazione:

Unable to modify 'Free space' and number of backups to store #1050

Cosa cambia? Assolutamente nulla. I backup continueranno a essere regolari, non potrete però modificarne la quantità da conservare. Si tratta di un bug che ho segnalato immediatamente al supporto (wordpress.org/support/topic/cant-get-free-disk-space-cant-modify-number-of-backups-to-store?replies=3#post-8223635), il quale ha verificato e riconosciuto l’anomalia, che verrà corretta nella prossima 3.6.1 (come da bug aperto su GitHub: github.com/humanmade/backupwordpress/issues/1050).

Giusto per la cronaca: non c’è modo di variare da configurazione WordPress il numero di quei backup, a meno di mettere mani direttamente al database, cosa che vi sconsiglio caldamente di fare.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Il problema potrebbe non affliggere la vostra installazione ma conviene in ogni caso non effettuare l’aggiornamento alla versione 2.3. Il noto plugin di backup potrebbe generare un errore simile:

Fatal error: Uncaught exception 'Exception' with message 'Argument 1 for HMBKP_Scheduled_Backup::set_reoccurrence must be a valid cron reoccurrence or "manually"' in /wp/wp-content/plugins/backupwordpress/classes/schedule.php:484 Stack trace: #0 /wp/wp-content/plugins/backupwordpress/functions/core.php(151): HMBKP_Scheduled_Backup->set_reoccurrence('hmbkp_daily') #1 /wp/wp-content/plugins/backupwordpress/backupwordpress.php(156): hmbkp_update() #2 [internal function]: hmbkp_init('') #3 /wp/wp-includes/plugin.php(406): call_user_func_array('hmbkp_init', Array) #4 /wp/wp-admin/admin.php(111): do_action('admin_init') #5 /wp/wp-admin/plugins.php(10): require_once('/wp/wp...') #6 {main} thrown in /wp/wp-content/plugins/backupwordpress/classes/schedule.php on line 484

Rimanete tranquillamente alla versione 2.2.4 ancora funzionante se possibile. Nel caso aveste aggiornato alla 2.3 disponibile su WordPress.org e non riusciste ad accedere alla vostra area amministrazione vi basterà andare a cancellare la cartella “backupwordpress” in wp-content/plugins. Inutile dire che nel frattempo sarete scoperti dal backup a meno di non installare la 2.2.4 che ho recuperato da un mio precedente backup e che ho caricato qui: supportoinformatico.org/wordpress-pub/plugins/backupwordpress_224.zip

Io resto in attesa di supporto perché una delle installazioni controllate ha dato l’errore di sopra: wordpress.org/support/topic/plugin-backupwordpress-upgraded-backup-wordpress-and-control-panel-is-inoperable?replies=4#post-4370736

Enjoy! :-)

Aggiornamento
Le installazioni che hanno dato errore sono passate a due (questo blog compreso, ndr) e la discussione si sta sviluppando sul thread sopra indicato. Sulla prima mi è bastato disattivare tutti i plugin, lanciare l’aggiornamento di BackupWordpress quindi riattivare il resto (e ora funziona correttamente). Sulla seconda (questo blog, per l’appunto) mi piacerebbe sapere dall’autore di BackupWordpress cosa potrebbe andare in conflitto con il suo plugin. Resto in attesa :-)
Condividi l'articolo con i tuoi contatti: