Logo AntezetaAntezeta Web Marketing

Riflessioni sul marketing online, SEO e Web Analytics compresi

Antezeta Web Marketing header image 2

9 suggerimenti per migliorare la sicurezza di WordPress ed evitare di essere penalizzati o addirittura bannati da Google

Scritto da parte di sean · 3 Commenti

In teoria, questo è un blog di marketing, che pone l’accento sull’ottimizzazione dei siti nei motori di ricerca, delle web analytics e di altri argomenti di web marketing. In tale contesto, cosa centra mai la sicurezza WordPress con Google e la SEO?

Un aspetto negativo dell’ecosistema web esteso è che lo stesso furbacchione, che solitamente salta la coda al supermercato, cercherà con tutta probabilità anche di sfruttare il tuo buon blog come un modo per arrivare primo su Google.

Una cosa è certa, non avrai una sensazione molto , se hai la , com’è accaduto a molti dei miei amici blogger. Anche Technorati pratica la politica di bannare i blog sulle versioni vecchie di WordPress.

Io non mi spaccio per un esperto di sicurezza WordPress. Detto questo, però, ci sono un paio di pratiche eccellenti per la sicurezza di WordPress che vale la pena da prendere in considerazione per la tua installazione WordPress.

Molte delle tecniche fanno parte di un approccio di sicurezza chiamato offuscamento che è semplicemente un modo ricercato per dire “nascondere le cose” in modo da rendere la vita degli hacker un po’ più complicata.

Una parola saggia: prima di applicare uno qualsiasi dei suggerimenti che seguono, assicurati di avere un copia funzionale (backup) del tuo blog. Uno dei suggerimenti riportati di seguito può rovinare il tuo blog; se continui nella lettura, lo fai a tuo rischio e pericolo. Preferisco mantenere una copia locale sul mio PC che posso utilizzare per il collaudo e la verifica.

1. Conosci i tuoi plugin (estensioni)

Plugin sviluppati da terze parti consentono un accesso significativo al tuo blog, il che rende indispensabile che tu ti fidi dell’autore di qualsiasi plugin installato – o aggiornato. Alcuni plugin sono indicati di seguito – non posso garantire per l’affidabilità delle attuali versioni: puoi utilizzarli a tuo rischio.

2. Utilizza una versione recente di WordPress

Quasi tutti i software contengono errori o bug che vengono corretti col passare del tempo. In generale, mantenere la tua installazione WordPress aggiornata è un ottimo modo per evitare problemi conosciuti. È da notare che la versione più recente, in particolare nel caso di aggiornamenti importanti, può causare più problemi che risolverli. Quindi, tieni WordPress aggiornato, ma lascia che altri lo facciano prima! Notizie sui rilasci ufficiali di WordPress sono fornite dal feed nel tuo cruscotto WordPress; è inoltre possibile aggiungere questo feed dagli sviluppatori WordPress al tuo lettore di feed RSS.

3. Cambia l’account dell’amministratore dall’impostazione predefinita “admin”

Ogni hacker sa che WordPress ha un utente admin che gode dei privilegi dell’amministrazione come fosse un dio. Rimuovi l’utente admin per rallentare gli hacker. Crea un utente WordPress con i privilegi di amministratore utilizzando l’interfaccia di amministrazione. Esci da WordPress ed accedi nuovamente come nuovo utente. Cancella l’utente admin. Il nuovo utente amministratore dovrebbe essere diverso da quello che normalmente scrive post, cioè non visibile nei post.

4. Proteggi la tua interfaccia di amministrazione WordPress con una password a livello del server

Il nostro obiettivo è quello di aggiungere un ulteriore livello di sicurezza all’amministrazione WordPress. Gli utenti su Apache dovrebbero fare riferimento alla documentazione sull’autenticazione o prendere in considerazione una plugin WordPress. Gli utenti IIS potrebbero trovare queste istruzioni utili.

5. Rinomina le tabelle del tuo database WordPress

Gli attacchi da parte degli Hacker che sfruttano il tuo database generalmente richiedono la conoscenza dei nomi delle tabelle nel database. WordPress consente nomi alternativi per le tabelle del database. Ci sono diversi plugin per definire il prefisso delle tabelle che faranno questo per te, oppure è possibile seguire le istruzioni manuali. Nota che si possono avere problemi con le estensioni (plugin) scritti male se non si riconosce il valore del prefisso delle tabelle.

6. Nascondi agli occhi indiscreti la tua di plugin

In molte installazioni WordPress è possibile visualizzare un elenco dei plugin installati, navigando alla /wp-content/plugins/. Tale trasparenza non è consigliata, visto che vulnerabilità note nei plugin possono essere facilmente sfruttate. Aggiungi un file vuoto come indice, tipo index.html, nella . È inoltre possibile proteggerlo con un file .htaccess nel caso tu stia impiegando Apache come server.

7. Rimuovi le informazioni sulla versione di WordPress dal tuo blog e di eventuali plugin attivi

Dichiarando al mondo la versione WordPress che giri, semplifichi notevolmente il lavoro ad un hacker. In un post Peter Westwood ha documentato come fare per sopprimere informazioni sulla versione di WordPress nei feed e nel blog. Ho confezionato il suo codice in una maniera molto rudimentale come un plugin WordPress per nascondere la versione di WordPress. Nei theme più vecchi sarà ancora necessario rimuovere una riga simile a questa:

8. La segnalazione di errori php

“Se qualcosa prende la forma di una pera” come dicono gli inglesi (cioè, va storto), WordPress ed i suoi plugin possono far visualizzare codici di errori php. In un ambiente di produzione si dovrebbero sopprimere gli errori. Consulta la documentazione per la segnalazione di errori php per una discussione più approfondita.

9. Scansione sicurezza WordPress

Il plugin WP Security Scan fa un controllo del tuo blog in merito alla sicurezza e tenta di attuare molti dei suggerimenti indicati in questo articolo. Blogsecurity.net offre un’alternativa plugin di scansione.

Checklist per controllare la sicurezza WordPress

No. Oggetto Stato
1. Conoscere i tuoi plugin (estensioni)
2. Utilizzare una versione recente di WordPress
3. Cambiare l’account dell’amministratore dall’impostazione predefinita “admin”
4. Proteggere la tua interfaccia di amministrazione WordPress con una password a livello del server
5. Rinominare le tabelle del tuo database WordPress
6. Nascondere agli occhi indiscreti la tua di plugin
7. Rimuovere le informazioni sulla versione del tuo blog e di eventuali plugin attivi
8. Segnalare errori php
9. Scandire la sicurezza WordPress

 

Il tuo blog è stato bannato o penalizzato da Google?

Se Google ha penalizzato il tuo sito, il problema principale consiste nel sistemare il sito. Identificare il problema che ha turbato Google ed assicurarsi che venga rimosso. Evita la tentazione di aggiornare alla cieca i tuoi plugin, WordPress, o il tema. Il problema può persistere!

Se il tuo blog si comporta bene, puoi prendere in considerazione l’iscrizione agli e fare una richiesta di re-inclusione – una richiesta concisa risulta vincente: cosa è successo e come è stato sistemato. Se il tuo problema rientra in uno di quelli comunemente diffusi, se non dipende da te ed il tuo blog ha avuto finora un buon rapporto con Google, sono disposto a scommettere che Google ripristinerà in automatico il tuo blog nelle classifiche anche senza una richiesta specifica.

C’è qualsiasi altra cosa che dovremmo fare?

Di’ la tua ed aggiungi un commento. Grazie!

Post correlate:

Sono aperte le iscrizioni per il prossimo corso Seo del 21 e 22 febbraio e per il del 17 e 18 marzo. Cosa aspettate?

Originariamente pubblicato 14 May 2008

  • Sean Carlos aiuta le aziende nell'ottimizzare i loro risultati di business online. La sua carriera spazia dalla gestione di campagne di telemarketing e direct mailing presso un'organizzazione con più di 10.000 soci ad una significativa esperienza a livello mondiale maturata presso la Hewlett-Packard. Nei primi anni 90 Sean ha sviluppato un applicativo enterprise search, comprensivo di tutte le fasi, dall'indicizzazione alla ricerca dei testi, per il Los Angeles County Museum of Art. Dal 2000 al 2004 Sean è stato IT Manager del sito immobiliare CasaClick.it, parte del gruppo Pirelli. Sean è un docente ufficiale della Web Analytics Association. Collabora inoltre con l'Università Bocconi. Nato a Providence, RI, USA, Sean Carlos si è laureato in Fisica. Parla inglese, italiano e tedesco.

3 risposte finora ↓

  • 1 max // 15 May 2008 alle 11.01.55

    mille grazie sean, e complimenti per il post.
    mi ripropongo di verificare all of the above, anche se alcune cose potrebbero essere un po’ troppo tecniche per me.
    un saluto e a presto,
    max

  • 2 RSS Week #3: articoli interessanti che ho trascurato - Matteo Moro // 17 May 2008 alle 10.02.18

    [...] Antezeta Web Marketing: “9 Suggerimenti per migliorare la sicurezza di WordPress ed evitare di essere penalizzati o addirittu…“ [...]

  • 3 skydiamond // 10 Sep 2009 alle 16.29.59

    Davvero utile questa guida. ;)

Lascia un commento

Avviso: commenti sono benvenuti nella misura in cui essi aggiungono qualcosa al discorso. Commenti senza nome e cognome e/o con toni negativi senza giustificazione razionale di una propria posizione e/o per terzi fini, corrono il rischio di essere cancellati senza pietà ad imprescindibile discrezione dell'amministratore. Ebbene sì, la vita è dura.