Archives For Plugin

Qualche giorno fa ti ho parlato di Duo, plugin di sicurezza per WordPress che ho scelto come erede e sostituto di Authy, a seguito della cessazione dello sviluppo di quest’ultimo. Oggi ti propongo qualche nuova riga di testo per raccontarti come modificare il comportamento di Duo affinché non permetta null’altro se non la notifica push e il codice generato randomicamente (offline) per darti la possibilità di superare la fase di autenticazione 2-Step.

Duo Security: modificare i metodi di autenticazione concessi 3

Se la tua password è corretta e approdi alla schermata successiva, Duo permette –tra l’altro– di far partire una chiamata verso il numero di telefono da te associato all’account, dettando il codice di autenticazione a voce. Questo però necessita di crediti telefonici che, volendo usufruire delle funzioni gratuite di Duo, vanno contro il principio stesso di gratuità.

Per aggirare l’ostacolo, accedi alla Dashbord di Duo, quindi naviga in ApplicationsWordPress (dove WordPress in realtà potrebbe corrispondere al nome che tu hai voluto dare alla tua installazione da proteggere) → Policy. Qui, in linea con la voce Application policy, potrai specificare una nuova policy che conterrà una modifica ai metodi di autenticazione, come suggerito nella documentazione ufficiale del prodotto all’indirizzo duo.com/docs/administration-settings#authentication-methods.

Puoi ignorare tutto e andare direttamente alla voce Authentication Methods (paragrafo Authentication), togliendo il segno di spunta dall’opzione Phone callback, come nell’immagine qui di seguito:

Duo Security: modificare i metodi di autenticazione concessi 1

Salvando la nuova policy (alla quale dovrai dare un nome, e io ti consiglio di fare in modo che tu possa capire immediatamente di cosa si tratta!), questa verrà applicata all’applicazione protetta, confermato subito a video se non è stato commesso errore alcuno:

Duo Security: modificare i metodi di autenticazione concessi

La modifica è quindi già operativa e potrai tu stesso verificarla provando a collegarti alla tua installazione WordPress (magari da una sessione anonima del browser, se sei già connesso e autenticato). Noterai che gli unici metodi di conferma dell’identità disponibili saranno la notifica push (Duo Push) e un Passcode generato dall’applicazione di Duo randomicamente, come sempre accaduto con Google Authenticator o Authy:

Duo Security: modificare i metodi di autenticazione concessi 2

A questo punto potrai dimenticarti dei crediti telefonici e goderti l’autenticazione a due fattori gratuita, con la tranquillità del bivio doppio disponibile e che -in qualche maniera- ti permetterà sempre di accedere al tuo blog (o qualsivoglia altra applicazione protetta da Duo).

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Da qualche tempo ormai, un paio di referer vengono utilizzati per tentare di verificare se esistono vulnerabilità all’interno dei WordPress in giro per il web (questo che leggi compreso), il che comincia a diventare abbastanza fastidioso. Si tratta ovviamente di movimenti eseguiti da bot che non fanno altro durante l’arco della giornata, ma che continuano a generare righe di log che ovviamente si notano lato server, cose che tu stesso in teoria potresti notare (se hai accesso ai log del tuo hosting), oppure utilizzando plugin come Redirection.

WordPress: bloccare site.ru e baidu.com (spam referer)

Non ho scoperto l’acqua calda certamente, c’è chi se n’è accorto da tempo (dai un’occhiata qui, oppure qui) e chi ha già fatto qualcosa in merito per impedire ulteriori accessi da quel tipo di referer HTTP. Ah già, a tal proposito, dovesse sfuggirti di che diamine sto parlando, propongo:

Il referer (o HTTP referer) è semplicemente l’URL di un elemento che conduce all’elemento corrente: ad esempio, il referer di una pagina HTML può essere un’altra pagina HTML. In sostanza, esso rappresenta la fonte dalla quale un utente è venuto a conoscenza di una pagina. Il referer è parte integrante di una request HTTP inviata dal browser al webserver.

continua qui: it.wikipedia.org/wiki/Referer

Detto ciò, quello che puoi fare –nel caso in cui tu sia protagonista della stessa scocciatura– è mettere mano al tuo file .htaccess e prevedere l’esclusione dei referer di cui puoi fare tranquillamente a meno. Io in lista ti propongo anche baidu.com,

Baidu (百度=Bǎidù) è il principale motore di ricerca in lingua cinese in grado di ricercare siti web, file audio e immagini e secondo il sito Netmarketshare.com a novembre 2016 è il 3° motore di ricerca al mondo con un 7,54% di share dopo Bing che deteneva nello stesso periodo l’8,28%.

continua qui: it.wikipedia.org/wiki/Baidu

il quale compare in diverse righe di errore 404 perché tenta strani accessi o inclusioni di file non propriamente standard, motivo per il quale c’è quella ragionevole certezza che si tratti di un ulteriore attacco bot (spero mi perdoneranno gli amici cinesi che intendono utilizzare realmente il loro motore di ricerca preferito per arrivare a qualche mio articolo, ammesso che quegli amici esistano realmente, e che –soprattutto– vogliano leggere un mio articolo!).

Modifica del file .htaccess

Come già saprai, il file .htaccess si trova nella cartella principale del tuo WordPress e viene generalmente gestito da quest’ultimo o dai plugin installati (per esempio, quelli di sicurezza), occhio quindi a dove metti le mani. Apri il file in modifica e individua un “posto tranquillo” in cui depositare il nuovo codice, puoi copiare quanto di seguito e incollarlo subito prima della riga di commento “# END WordPress” che dovresti trovare intorno alla fine del file:

<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteCond %{HTTP_REFERER} site\.ru [NC,OR]
 RewriteCond %{HTTP_REFERER} www\.baidu\.com [NC]
 RewriteRule ^.* - [F]
</IfModule>

Salvando il file, dopo poco tempo dovresti già notare molta più pulizia all’interno dei tuoi log (e degli errori 404), con buona pace del tuo WordPress e delle molteplici volte che non sarà più costretto a rispondere negativamente ai tentativi di attacco, dai quali sta bene anche a debita distanza.

In alternativa

Beh, in alternativa si potrebbe passare da un diverso metodo, basato su IP o su regole di Redirection (il plugin di cui ti parlavo a inizio articolo, nda). Per la prima alternativa citata, qualcuno sta già facendo un buon lavoro di raccolta IP dai quali generalmente partono gli attacchi di site.ru, la trovi su GitHub all’indirizzo github.com/rogercomply/siteru-blocklist/blob/master/ipblocklist, e viene continuamente aggiornata (considera che -a ora che sto scrivendo l’articolo- l’ultimo aggiornamento riporta la data di due giorni fa).

Potresti pensare di copiare quegli IP e includerli all’interno della ban list di iThemes Security (altro plugin di cui ti ho parlato in passato), ricordando di tanto in tanto di passare a copiare e incollare la lista aggiornata.

La seconda alternativa passa invece da redirect di tipo 301, consegnando i bot su pagine alle quali chiedere perdono. Ho pensato quindi di rispolverare la vecchia storia del rilancio “stile proxy” verso siti web che possono dare la redenzione, come radiomaria.it.

Inaugurando un nuovo gruppo di filtri di Redirection chiamato “Strunz Interceptor” (poetico, lo so!), ho pensato di prevedere alcuni degli attacchi più classici e ripetitivi, rimbalzandoli verso la home page di Radio Maria. Ho raccolto quei filtri in un file CSV che puoi tranquillamente salvare e importare all’interno del tuo WordPress con Redirection installato. Ho salvato il tutto su Gist, così da poterlo aggiornare agilmente in futuro nel caso ce ne fosse bisogno:

Sentiti assolutamente libero di segnalarne di nuovi all’interno dei commenti di questo articolo o direttamente sotto al file Gist.

Condividi l'articolo con i tuoi contatti:

Nel 2016 ti avevo parlato di come potessi rendere molto più semplice e comoda l’autenticazione in due fattori del tuo WordPress appoggiandoti al plugin ufficiale di Authy. Oggi, a distanza di meno di due anni da quel mio articolo, sono costretto a mettere tutto da parte perché Authy ha dichiarato (alcuni giorni fa) di aver abbandonato lo sviluppo del plugin, chiedendo ai suoi utilizzatori di smettere di utilizzarlo e passare a qualcosa di diverso, supportato e aggiornato.

WordPress: migrazione da Authy OneTouch a 2FAS

Il mea culpa è d’obbligo perché solo qualche fa ho rispolverato (solo proponendo la lettura) quel vecchio articolo, perché non mi ero accorto dell’annuncio ufficiale di Authy comparso su Medium, loro piattaforma di pubblicazione degli articoli che li riguardano.

View story at Medium.com

Mi sono messo quindi alla ricerca di una valida alternativa, ponendo il cuore in pace riguardo l’autenticazione con tocco singolo e l’icona personalizzata nell’applicazione per smartphone / tablet / PC che Authy ha sempre proposto. Per la prima c’è rimedio (anche se si tratta nuovamente di appoggiarsi a qualcosa di custom che un bel giorno potrebbe cessare di funzionare), per la seconda sembra meno, “echissefrega” dirai tu, cosa che vale anche per me, perché l’importante è ripristinare il secondo layer di sicurezza post-inserimento e conferma password dell’account.

Quali alternative esistono?

Una pagina del Codex di WordPress parla proprio di autenticazione a due fattori e, tra le varie, suggerisce anche alcune alternative disponibili tra i plugin che si possono cercare e installare sul proprio blog fuori da WordPress.com: codex.wordpress.org/Two_Step_Authentication#Plugins_for_Two-Step_Authentication. Mi preme segnalarti che anche Jetpack (il famoso plugin di Automattic) propone una sua autenticazione in due fattori, ma ti costringe a passare dal sistema di login di WordPress.com che io ho personalmente evitato (preferisco tenere i mondi separati).

Cosa resta quindi? Beh, di plugin fortunatamente ce ne sono davvero tantissimi, e le regole sono sempre le stesse. Ti posso consigliare in linea di massima tutto ciò che viene ancora mantenuto (quindi aggiornato costantemente), supportato (basta dare un’occhiata alle richieste di assistenza, anche sul repository di WordPress.org) e con molte installazioni all’attivo. Nonostante ci siano plugin assolutamente robusti e non più aggiornati, non posso mettere la mano sul fuoco e dirti che ci sia certezza piena che oggi questi siano ancora in linea con le misure di sicurezza necessarie per la tua tranquillità.

Questo è l’elenco proposto a oggi dal Codex, trovi il mio commento messo subito di fianco:

  • Authy: che ha dichiarato disfatta e termine dello sviluppo lo scorso 12 gennaio.
  • Duo: quello che sto attualmente utilizzando e che meglio ti spiegherò nella seconda parte di questo articolo.
  • Google Authenticator: ciò che ho utilizzato prima di passare al plugin di Authy, che però non riceve aggiornamento alcuno da circa un anno.
  • Rublon: ancora aggiornato, ma con recensioni ben poco lusinghiere in merito a malfunzionamenti e possibili punti di debolezza, considerando inoltre che si tratta di un plugin che permette di impostare il 2FA per un solo utente per installazione (stesso blog ma due autori? Puoi usarlo solo pagando), forse non la migliore opzione per un blog amatoriale senza fini di lucro.
  • WordFence: sicuramente aggiornato e supportato, ma fa ben più di ciò che serve a me e te in questo momento.

A questo elenco potrei aggiungere le due varianti di 2FAS che ho avuto occasione di mettere alla prova, plugin in versione Lite e Pro che offre alcune intelligenti possibilità e che permette l’autenticazione a due fattori basata su codice randomico (si continua quindi a usare Authy, nda). 2FAS permette inoltre di aggiungere una macchina fidata all’elenco di quelle che possono evitare la 2FA al login (Trusted), oppure utilizzare un codice di backup offline precedentemente generato, in caso di emergenza. Buona velocità di login post-riconoscimento e una possibile alternativa che però non ha moltissime installazioni, aggiornate (entrambe) nell’arco degli ultimi 10 mesi.

La mia scelta: DUO

Voce della lista Codex, Duo è un prodotto evidentemente dedicato al business che però strizza l’occhio anche alle installazioni più piccole, casalinghe, un po’ come questa che stai leggendo. Contrariamente ad altri prodotti, “tiene in casa” il mezzo di autenticazione, quindi si va oltre l’applicazione di Authy che hai già su iOS o Android, ma in cambio ti dà il clic singolo per autorizzare un login via notifica push (ciò che sostituisce il OneTouch di Authy, nda) e un più snello sistema di associazione al tuo account poiché con uno solo di questo (connesso alla tua casella di posta elettronica e al tuo device preferito), potrai confermare il collegamento a più prodotti, senza necessità di creare un QR per ciascun nuovo sito web / WordPress.

Setup

Installa il plugin all’interno del tuo WordPress e intanto vai a creare un nuovo account sul sito web ufficiale partendo da questo documento: duosecurity.com/docs/wordpress.

Duo Two-Factor Authentication
Duo Two-Factor Authentication

La creazione di un account nuovo sul sito di Duo richiederà che tu abbia a bordo del tuo smartphone l’applicazione dedicata (puoi anche farne a meno se decidi di utilizzare SMS o chiamata, ma sconsiglio entrambe le alternative, nda), puoi scaricarla partendo da questi badge (o cercarla manualmente nel tuo store di riferimento):

Duo Mobile
Duo Mobile
Price: Free
Duo Mobile
Duo Mobile
Developer: Duo Security
Price: Free

Una volta inserito il tuo numero di telefono e pochi altri dettagli che ti riguardano, avrai accesso alla console di amministrazione del servizio, dalla quale si potrà cominciare a iniziare la fase vera e propria di configurazione dell’autenticazione a due fattori. Naviga in Applications, quindi fai clic su Protect an Application. Inizia a scrivere WordPress, poi fai clic su Protect this Application in sua corrispondenza:

WordPress: migrazione da Authy OneTouch a Duo

Nella schermata che ti si caricherà, avrai già a disposizione i 3 dati fondamentali per collegare Duo al tuo blog (e relativo plugin): Integration key, Secret key e API hostname. Copia e riporta nella pagina del plugin sul tuo blog i 3 dettagli, imposta i livelli che dovranno sottostare all’autenticazione a due fattori (Enable for roles) e infine scegli se disabilitare il protocollo XML-RPC di WordPress (occhio, serve a Jetpack). Conferma il tutto con Save Changes.

A questo punto partirà la configurazione dell’account utente associato a quel blog (e ai successivi che faranno uso del plugin e saranno associati alla stessa console di amministrazione, nda). Inserisci i dettagli richiesti (non dovresti aver necessità di specificare null’altro rispetto a quanto già inserito precedentemente) e scansiona il nuovo codice QR generato per l’applicazione Duo, quindi conferma l’accesso tramite notifica push.

Salvo errori, sarai ora connesso al tuo blog e ti troverai in Dashboard, con possibilità di gestire nuovamente la tua creatura, nuovamente protetta dall’autenticazione a due fattori.

Cos’altro c’è da dire

WordPress: migrazione da Authy OneTouch a Duo 5

Duo è uno di quei prodotti parecchio strutturati, ricco di funzioni che probabilmente mai avrai necessità di utilizzare, ma è certamente interessante scoprire la console e ogni sua voce, esplorare, modificare, sperimentare. Io non mi voglio addentrare in alcuna di queste perché la maggior parte sono legate a un abbonamento di tipo Premium dal costo di 6$/mese/utente che ti viene dato in prova per 30 giorni, oltre i quali l’account verrà scalato a gratuito (perdendo quelle caratteristiche extra), utile per gestire l’autenticazione a due fattori di WordPress ma anche di altre applicazioni (ecco, di quelle possiamo anche parlarne in futuro, in un altro articolo magari).

WordPress: migrazione da Authy OneTouch a Duo 6

Una chicca però che rimarrà c’è ed è subito sfruttabile, è quella relativa all’access log, una panoramica su chi ha fatto accesso, da dove / quando / perché / “un fiorino” (irresistibile, dovevo scriverla). Puoi darci un’occhiata anche tu andando in ReportsAuthentication Log:

WordPress: migrazione da Authy OneTouch a Duo 7

Ricordati che una rapida panoramica (contenente inoltre una mappa del mondo per mostrare graficamente i punti di accesso) è sempre disponibile nella pagina principale della Dashboard (di Duo, nda).

In conclusione

Credo di aver detto praticamente tutto e averti trattenuto più del dovuto sull’articolo (grazie per essere arrivato a leggere fino a qui), ma ci tenevo a pubblicare ogni dettaglio utile per la tua migrazione a un nuovo alleato per la 2FA su WordPress. Probabilmente in futuro proverò altre soluzioni ma, almeno per il momento, questa è quella che ho reputato essere la migliore nel rapporto tra pro e contro, di certo –per quanto riguarda questi ultimi– mi mancherà il non poter approvare l’accesso direttamente dall’applicazione installata sul mio PC, ma poco male, il telefono è quasi sempre a portata di mano.

Fammi sapere nei commenti se tu hai usato altre alternative, sai bene che mi piace sempre confrontare ogni possibile soluzione.

Cheers.

Condividi l'articolo con i tuoi contatti:

Dando per assodato che tu abbia già letto il vecchio articolo sull’argomento (tutt’oggi valido, quindi leggilo pure se non lo hai già fatto), in questo nuovo articolo voglio proporti ulteriori best practices da adottare per provare a proteggere quanto più possibile il tuo blog, il tuo utente e quindi l’accesso a ore e ore di lavoro che vuoi mantenere pulite e funzionanti online, per garantire la tua presenza nel web.

WordPress e sicurezza: alcune best practices 2

L’articolo dei 5 passaggi fondamentali per la sicurezza di WordPress include note riguardanti la rimozione dell’utente amministrativo predefinito, la verifica e l’aggiornamento dei plugin installati (ma anche di WordPress stesso), il backup dei dati (file modificati e copia del database MySQL completo) e l’utilizzo di un plugin di sicurezza che possa dare maggiori indicazioni verso la direzione desiderata (quella per una protezione quanto più completa possibile). Cosa si può aggiungere oggi alla lista?

Autenticazione a due fattori

Te ne sto parlando fino a sfinirti, i miei articoli dedicati al mondo dell’autenticazione 2-Step hanno ormai lo stesso sapore delle preghiere che la nonna ti costringeva a dire prima di andare a letto, oppure in chiesa quando riusciva a trascinarti là dentro durante la domenica mattina, me ne rendo conto. Eppure, nonostante i gravi bug che saltano ogni ostacolo, l’autenticazione in due passaggi resta uno dei punti fondamentali da sfruttare per la propria protezione. Dove possibile, è sempre bene abilitarla.

Ti ho già parlato di autenticazione 2-Step e WordPress, grazie all’utilizzo del plugin di Authy, mi basta riportarti il vecchio articolo, è valido tutt’oggi:

WordPress e Authy: autenticazione OneTouch

Modifica delle chiavi di sicurezza

Tecnicamente “Salt“. Copio e incollo direttamente da un wp-config.php di base:

Authentication Unique Keys.
Change these to different unique phrases!
You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/ WordPress.org secret-key service}
You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.

e trovi qui un articolo su iThemes.com che meglio spiega di cosa si tratta:

A WordPress salt is a random string of data that hashes the WordPress security keys in the wp-config.php file.
If you open your wp-config.php file, you’ll see the Authentication Unique Keys and Salts section with seven security keys.

Puoi aprire in qualsiasi momento il tuo file wp-config.php e, spostandoti nell’area dedicata alle “Authentication Unique Keys“, selezionarle e sostituirle con quelle generate randomicamente dal tool ufficiale di WordPress che trovi all’indirizzo api.wordpress.org/secret-key/1.1/salt. Caricando nuovamente il file sul tuo spazio FTP, perderai l’accesso alla tua Dashboard e ti verrà richiesto di eseguire nuovamente il login, lo stesso varrà per qualsiasi altra postazione precedentemente collegata alla stessa Dashboard.

Se utilizzi come me un plugin di sicurezza, controlla che questo ti permetta di eseguire più rapidamente questa operazione, come succede per iThemes Security:

WordPress e sicurezza: alcune best practices 1

Meglio se HTTPS

In linea di massima questo sarebbe necessario e dovuto per blog (siti web più in generale) che propongono form di login, ma è comunque bene tenere conto che sarebbe meglio passare da HTTP a HTTPS pur integrando un certificato di base generato via Let’s Encrypt. Così facendo si crea una connessione criptata tra client e server, più difficile da intercettare e analizzare (ho detto più difficile, non impossibile, prima che qualcuno faccia lo sborone nei commenti). Se vuoi, ti posso proporre un articolo in inglese che ti descrive buoni motivi per passare a HTTPS, altrimenti ti rimando direttamente al mio –di articolo– dove ti spiego come eseguire la migrazione del tuo blog WordPress:

WordPress: passaggio da HTTP a HTTPS (aggiornato)

C’è altro?

Lo chiedo a te, proprietario di un blog e curatore del WordPress alla sua base. Di punti riguardanti la sicurezza del software ideato e inizialmente sviluppato da Matt Mullenweg probabilmente ce ne sono moltissimi altri, si può sempre migliorare il suo hardening, ogni giorno c’è un buon consiglio da seguire e mettere in atto, ma voglio potermi confrontare con te che stai leggendo questo mio ulteriore pezzo sull’argomento, chiedendoti di proporre nuovi punti per un prossimo aggiornamento, o magari precisare qualcosa di già discusso, sai bene che mi fa sempre piacere sviluppare discorsi ben motivati in merito agli articoli pubblicati.

Buon lavoro!


Immagine di copertina Glenn Carstens-Peters on Unsplash
Condividi l'articolo con i tuoi contatti:

Rispondo a una domanda abbastanza comune che viene generalmente rivolta a mezzo mail o tra una chiacchiera e l’altra quando ci si trova con conoscenti che muovono passi autonomi sul web. WordPress è meraviglioso, è adatto a qualsiasi tipo di sito web e sì, può contare su una miriade di temi e plugin disponibili gratuitamente e a pagamento.

Quali sono però i 5 passi comuni per evitare che qualcosa vada storto esponendosi a un attacco dall’esterno? Provo a darti una base –spero– solida.

WordPress: 5 step per la sua (e tua) sicurezza

Questo nuovo articolo va a riprendere (parzialmente) e fare coppia con uno più vecchio, che trovi ancora qui. Cominciamo?

Occhio a username e password

Che vuol dire tutto e nulla.

WordPress: 5 step per la sua (e tua) sicurezza 3

Ciò che intendo è, per esempio, non utilizzare l’account amministrativo di default (che va quanto prima degradato a semplice utente, se non addirittura eliminato), in favore di un nuovo account da te appositamente realizzato, amministrativo, con username non facilmente indovinabile e con una password complessa (parleremo anche di password robuste quanto prima, ma ti porto a questa vignetta, che tanto spiega in merito). Non utilizzare la stessa password che hai già usato in passato per altri servizi. Fatti aiutare da un buon password manager se ti serve.

Inutile dire che l’autenticazione e due fattori è ormai una cosa fondamentale. Dai un’occhiata qui per capire di cosa sto parlando: gioxx.org/2016/09/01/wordpress-e-authy-autenticazione-onetouch.

Verifica i plugin installati

Che si traduce con:

  • utilizza dei plugin costantemente mantenuti, che non superino (se possibile) i 6 mesi dall’ultima data di aggiornamento;
  • cancella quelli non più utilizzati, che non ti servono, non pensare che un domani possano tornarti utili ancora, perché si fa sempre in tempo a ricercarli nuovamente e reinstallarli;
  • cerca di rimanere informato in merito ai loro cambiamenti, perché è facile che un attacco possa sfruttare falle in loro integrate (oppure in servizi a cui si appoggiano).

Capisco che spesso non è cosa semplice, però potrai sempre chiedere un aiuto alle community di condivisione e assistenza sul mondo WordPress in giro per il web, già più approcciabile per chiunque.

Aggiorna WordPress

Ma anche i plugin, che poi potrebbe ricadere nella voce precedente.

WordPress: 5 step per la sua (e tua) sicurezza 2

Tenere aggiornato ogni sistema (non solo operativo) è fondamentale per tappare falle scoperte e dichiarate, prima che qualcuno le sfrutti nella peggior maniera possibile. Quando viene pubblicata una nuova versione di WordPress, questa va a correggere problemi e anomalie generalmente importanti, che ti permettono di dormire sonni tranquilli. Per fortuna, salvo problemi o limitazioni imposte, WordPress aggiorna automaticamente ogni minor release, lasciando a te l’onere di pensare alle major.

Aggiornare costa solo un paio di clic, ma prima di farlo ricorda di verificare che non ci sia del codice personalizzato che possa smettere di funzionare in seguito all’operazione (chiedi aiuto al tuo sviluppatore nel caso non sia tu direttamente a occuparti del tuo blog).

Tieni sempre un backup aggiornato

WordPress: 5 step per la sua (e tua) sicurezza 4

Sia del database, sia dei file salvati sullo spazio disco del server. Se i secondi cambiano forse meno spesso (occhio però alle immagini e più in generale ai media caricati online), il primo è in costante crescita e modifica. Avere una copia di backup aggiornata è fondamentale per evitare di incorrere in possibili disastri (causati da te, dal tuo provider o da qualcuno di completamente estraneo).

Per portare a termine questa operazione esistono decine di plugin, sia gratuiti che a pagamento. Io ho scelto di affidarmi a BackUpWordPress della Human Made.

BackUpWordPress
BackUpWordPress
Price: Free

Comodo, molto personalizzabile e disponibile anche in versione gratuita limitata (io uso questa), lasciando fare poi a SyncBack il lavoro sporco (quello del download totale di tutti i file, backup compresi). Ce ne sono anche altri (di plugin, intendo), magari prova a dare un’occhiata a questo articolo di ThemeTrust pubblicato qualche tempo fa: themetrust.com/wordpress-backup-plugins (e provali sempre in ambiente di test, mai di produzione!)

Utilizza un plugin di sicurezza

WordPress: 5 step per la sua (e tua) sicurezza 1

Che sembra una sciocchezza, forse, ma non lo è. Un plugin di sicurezza ti aiuta a prenderti cura della tua installazione WordPress, suggerendoti dove mettere mano per evitare sgradite sorprese. Ne esistono di ogni tipo, e generalmente sono tutti in grado di suggerire buone strategie di protezione della propria area amministrativa, fare scansioni alla ricerca di possibili anomalie (sfruttabili dall’esterno), limitare gli accessi di ogni utente conosciuto (e non, soprattutto).

Io utilizzo da tempo iThemes Security (ex Better WP Security). Ne ho parlato in maniera approfondita in un precedente articolo disponibile qui:

Proteggere WordPress da login non autorizzati

Tutto chiaro? Al solito: per consigli, suggerimenti e critiche costruttive, l’area commenti è a tua totale disposizione, sempre ben felice di leggere cose nuove e interessanti! Per il supporto, invece, vi rimando al forum di ogni singolo plugin, o genericamente al forum della community italiana di WordPress.

Buon lavoro!

Condividi l'articolo con i tuoi contatti: