{"id":48852,"date":"2017-04-06T17:05:08","date_gmt":"2017-04-06T16:05:08","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=48852"},"modified":"2023-01-09T11:41:34","modified_gmt":"2023-01-09T10:41:34","slug":"guida-sicurezza-wordpress","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/guida-sicurezza-wordpress\/48852\/","title":{"rendered":"Guida alla sicurezza di WordPress. I passi per un sito sicuro"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f7071b88ff1\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f7071b88ff1\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/guida-sicurezza-wordpress\/48852\/#Guida_alla_sicurezza_di_WordPress_parti_dallhosting\" >Guida alla sicurezza di WordPress: parti dall&#8217;hosting<\/a><ul class='ez-toc-list-level-2' ><li class='ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/guida-sicurezza-wordpress\/48852\/#Guida_alla_sicurezza_di_WordPress_Regole_per_i_server\" >Guida alla sicurezza di WordPress. Regole per i server<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/guida-sicurezza-wordpress\/48852\/#Modifiche_al_file_htaccess_primo_passo_della_guida_alla_sicurezza_di_WordPress\" >Modifiche al file .htaccess, primo passo della guida alla sicurezza di WordPress<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/guida-sicurezza-wordpress\/48852\/#Guida_alla_sicurezza_di_WordPress_attenzione_alla_fase_di_installazione\" >Guida alla sicurezza di WordPress, attenzione alla fase di installazione<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/alground.com\/site\/guida-sicurezza-wordpress\/48852\/#Guida_alla_sicurezza_di_WordPress_I_plugin_da_scegliere\" >Guida alla sicurezza di WordPress. I plugin da scegliere<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/alground.com\/site\/guida-sicurezza-wordpress\/48852\/#Sicurezza_personale_un_ulteriore_step_della_guida_alla_sicurezza_di_WordPress\" >Sicurezza personale, un ulteriore step della guida alla sicurezza di WordPress<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/alground.com\/site\/guida-sicurezza-wordpress\/48852\/#Guida_alla_sicurezza_di_WordPress_mai_dimenticare_gli_aggiornamenti\" >Guida alla sicurezza di WordPress, mai dimenticare gli aggiornamenti<\/a><\/li><\/ul><\/li><\/ul><\/nav><\/div>\n<p class=\"p1\">Questa guida alla sicurezza di WordPress vuole essere un punto di riferimento per tutti coloro che gestiscono questo popolarissimo CMS e che hanno bisogno di implementare una protezione completa per il proprio sito personale ma soprattutto aziendale.<\/p>\n<p class=\"p1\">Maggiore \u00e8 la popolarit\u00e0 e la standardizzazione del codice di WordPress, maggiori sono le possibilit\u00e0 di attacco da parte di pirati informatici, e la protezione del codice \u00e8 fondamentale: in questa guida alla sicurezza di WordPress utilizzeremo un misto di buone pratiche, tool e strumenti utili e personalizzazione del codice per ottenere una struttura sana e protetta.<\/p>\n<p class=\"p1\">Nel gergo degli hacker<b> gli <\/b><a href=\"https:\/\/en.wikipedia.org\/wiki\/Script_kiddie\"><span class=\"s1\"><b>script kiddie<\/b><\/span><\/a><b>\u00a0sono una delle prime \u201cforme\u201d di attacco hacker basate su tool e script molto comuni <\/b>che tentano di sfruttare le <b>vulnerabilit\u00e0 di sicurezza<\/b> pi\u00f9 diffuse come le password scadenti, <b>l\u2019uso di reti WI-Fi pubbliche senza VPN<\/b>, l\u2019utilizzo di plugin obsoleti, la bassa sicurezza dell\u2019hosting, <b>gli attacchi phishing<\/b> e altre debolezze di questo tipo.<\/p>\n<p class=\"p1\">Sfortunatamente questo tipo di carenze possono offrire un numero impressionante di possibilit\u00e0 di violare un sito; non a caso <b>la maggior parte dei problemi di sicurezza di un sito WordPress<\/b>, a meno che non si gestisca un sito per una grande azienda, <b>deriva appunto da script kiddes<\/b>.<\/p>\n<figure id=\"attachment_48856\" aria-describedby=\"caption-attachment-48856\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48856 size-full\" title=\"guida alla sicurezza di wordpress prevenire gli script kiddies\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpres-best-practies.jpg\" alt=\"guida alla sicurezza di wordpress attenzione agli script kiddies\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpres-best-practies.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpres-best-practies-300x154.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpres-best-practies-768x394.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48856\" class=\"wp-caption-text\">Il primo step di questa guida alla sicurezza di WordPress \u00e8 prestare attenzione agli script kiddies che sono tra i primi responsabili di violazioni ai siti<\/figcaption><\/figure>\n<h1 class=\"p1\"><span class=\"ez-toc-section\" id=\"Guida_alla_sicurezza_di_WordPress_parti_dallhosting\"><\/span>Guida alla sicurezza di WordPress: parti dall&#8217;hosting<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p class=\"p1\">Quando si parla della <b>sicurezza di WordPress<\/b> \u00e8 bene iniziare da zero. Quando si sceglie una societ\u00e0 di hosting per il proprio sito e questa non \u00e8 particolarmente attenta alla sicurezza,\u00a0<b>si corre il rischio che se un sito sullo stesso server viene hackerato, allora anche tutti gli altri siti hostati possono essere vulnerabili<\/b>.<\/p>\n<figure id=\"attachment_48887\" aria-describedby=\"caption-attachment-48887\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48887 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-hosting.jpg\" alt=\"Alground Hosting \u00e8 fondamentale nella guida per la sicurezza di WordPress. Un servizio mirato e unico nel suo genere, per la protezione dei siti senza rinunciare alla funzionalit\u00e0\" width=\"780\" height=\"439\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-hosting.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-hosting-300x169.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-hosting-768x432.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48887\" class=\"wp-caption-text\">Alground Hosting \u00e8 fondamentale nella guida per la sicurezza di WordPress. Un servizio mirato e unico nel suo genere, per la protezione dei siti senza rinunciare alla funzionalit\u00e0<\/figcaption><\/figure>\n<p class=\"p1\">Le buone pratiche in questo settore, sono semplici ma estremamente importanti<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\"><b>Eseguire versioni stabili e sicure del web server<\/b> e di tutti i software presenti sullo stesso<\/li>\n<li class=\"li1\">Avere un firewall a livello server<\/li>\n<li class=\"li1\">Tenere il server sotto-chiave; solo il team IT deve potervi avere accesso<\/li>\n<li class=\"li1\"><b>Mai accedere al server da un network non sicuro<\/b><\/li>\n<li class=\"li1\">Se si necessita di accedere via FTP , usare un programma SFTP garantito ( ad esempio)<\/li>\n<li class=\"li1\">Accertarsi che l\u2019installazione di MySQL sia quanto pi\u00f9 sicura possibile<\/li>\n<li class=\"li1\"><b>Creare sempre un database unico <\/b>per tutte le installazioni dei blog e accertarsi che il proprio database non inizi con wp_<\/li>\n<li class=\"li1\"><b>Fare un backup del database e degli altri files<\/b> quanto pi\u00f9 spesso possibile, soprattutto prima di effettuare qualunque tipo di modifica ( ci sono diverse opzioni come <a href=\"https:\/\/www.codeguard.com\/\"><span class=\"s1\">CodeGuard<\/span><\/a><span class=\"Apple-converted-space\">\u00a0 <\/span>e <a href=\"https:\/\/vaultpress.com\/\"><span class=\"s1\">ValutPress<\/span><\/a> )<\/li>\n<li class=\"li1\">Ovviamente accertarsi che le proprie password siano complesse e non utilizzate altrove<\/li>\n<\/ul>\n<p class=\"p1\">Il servizio di <strong><a href=\"http:\/\/algroundhosting.com\/\">Alground Hosting<\/a><\/strong>, specializzato in WordPress, \u00e8 stato sviluppato nel corso degli anni dai nostri tecnici, e rispetta tutti i parametri sopra descritti. Si tratta di un hosting di elevata specializzazione, che offre la massima protezione a livello mondiale. In questo caso, tutti i plugin possono essere utilizzati, e anzi, vengono aggiornati direttamente dai consulenti di Alground.<\/p>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Guida_alla_sicurezza_di_WordPress_Regole_per_i_server\"><\/span>Guida alla sicurezza di WordPress. Regole per i server<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\">Il prossimo passo di questa<b> guida alla sicurezza di WordPress<\/b>\u00a0 consiste nel <b>configurare una serie di regole per il server<\/b>.<\/p>\n<p class=\"p1\">Se si ha accesso alla configurazione principale del server, \u00e8 opportuno impostare tali regole a questo livello. Tuttavia, non tutti hanno accesso al server principale, per questo vedremo come fare tale operazione <b>tramite il file .htaccess <\/b>(da notare che il file .htaccess deve essere modificato dopo l\u2019installazione di WP)<\/p>\n<figure id=\"attachment_48888\" aria-describedby=\"caption-attachment-48888\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48888 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-htaccess.jpg\" alt=\"Una buona guida alla sicurezza di WordPress parte anche dall'editing del file .htaccess\" width=\"780\" height=\"439\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-htaccess.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-htaccess-300x169.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-htaccess-768x432.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48888\" class=\"wp-caption-text\">Una buona guida alla sicurezza di WordPress parte anche dall&#8217;editing del file .htaccess<\/figcaption><\/figure>\n<p class=\"p1\"><b>Avvertenza importante:<\/b> Bisogna essere molto prudenti quando si apportano delle modifiche al file .htaccess. Pertanto se non si ha una buona familiarit\u00e0 con il codice, allora \u00e8 meglio delegare le modiche al proprio sviluppatore. Applicando il codice esattamente com\u2019\u00e8, infatti, si \u00e8 potuto notare che su alcuni siti funziona bene mentre su altri si verificano degli errori (tutto dipende dalla configurazione del server, dai plug-in installati e cos\u00ec via). Per essere sicuri, meglio lasciare intervenire uno sviluppatore qualificato, meglio se \u00e8 lo stesso che offre il servizio di hosting.<\/p>\n<p class=\"p1\"><b>WordPress auto-crea una sezione nel file .htaccess<\/b>. Non inserire nulla all\u2019interno di questa sezione, poich\u00e9 verr\u00e0 soprascritta. Alcune modifiche andranno fatte prima e altre dopo la sezione .htaccess, cos\u00ec da evitare danni. Se non si sa cosa va dove, allora \u00e8 meglio non intervenire sul file .htaccess.<\/p>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Modifiche_al_file_htaccess_primo_passo_della_guida_alla_sicurezza_di_WordPress\"><\/span>Modifiche al file .htaccess, primo passo della guida alla sicurezza di WordPress<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\"><b>La prima porzione di codice aiuta a prevenire errori su molti server Apache e attiva il rewrite engine <\/b>( richiesto da molti comandi per funzionare):<\/p>\n<blockquote>\n<p class=\"p1\">## Include this at the start of your .htaccess file ##<\/p>\n<p class=\"p1\">Options +FollowSymlinks<\/p>\n<p class=\"p1\">RewriteEngine On<\/p>\n<\/blockquote>\n<p class=\"p1\"><b>Questa porzione disattiva la firma del server<\/b>. Si tratta di un ricco \u201c<strong>security by oscurity<\/strong>\u201d, nel senso che minori informazioni ha un hacker relativamente al vostro server, pi\u00f9 difficile sar\u00e0 violare il sistema. Pi\u00f9 gli hacker sanno, pi\u00f9 semplice sar\u00e0 entrare nel server e cercare vulnerabilit\u00e0 note:<\/p>\n<blockquote>\n<p class=\"p1\">## Disable the Server Signature ##<\/p>\n<p class=\"p1\">ServerSignature Off<\/p>\n<\/blockquote>\n<p class=\"p1\"><b>A volte gli spammer aggiungono le proprie stringhe di query alla fine dell\u2019URL<\/b>, tentano di fare le cose pi\u00f9 dannose e questa porzione di codice pu\u00f2 impedirlo reindirizzando una certa query da 301\u00a0ad un canonical URL.<\/p>\n<p class=\"p1\"><b>Basta modificare enter|query|strings|here per includere tutte le stringhe di query che creano problemi separate da \u201cpipes\u201d <\/b>(il pipe \u00e8 un separatore che si indica con &#8220;|&#8221;). Questa successiva porzione di codice permette anche di bloccare gli spammer e pu\u00f2 risolvere altri tipi di problemi.<\/p>\n<blockquote>\n<p class=\"p1\">## Remove Spammy Query Strings ##<\/p>\n<p class=\"p1\">&lt;ifModule mod_rewrite.c&gt;<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} enter|separated|query|strings|here [NC]<\/p>\n<p class=\"p1\">RewriteRule .* http:\/\/www.%{HTTP_HOST}\/$1? [R=301,L]<\/p>\n<p class=\"p1\">&lt;\/ifModule&gt;<\/p>\n<\/blockquote>\n<p class=\"p1\">La prossima porzione di codice \u00e8 in grado di prevenire che i bots con user agent colpiscano il vostro sito. Basta cambiare <span class=\"s1\">yourwebsite.com<\/span> con la URL reale prima di inserire in .htaccess:<\/p>\n<blockquote>\n<p class=\"p1\">## Protect from spam bots ##<\/p>\n<p class=\"p1\">&lt;IfModule mod_rewrite.c&gt;<\/p>\n<p class=\"p1\">RewriteCond %{REQUEST_METHOD} POST<\/p>\n<p class=\"p1\">RewriteCond %{REQUEST_URI} .wp-comments-post\\.php*<\/p>\n<p class=\"p1\">RewriteCond %{HTTP_REFERER} !.yourwebsite.com.* [OR]<\/p>\n<p class=\"p1\">RewriteCond %{HTTP_USER_AGENT} ^$<\/p>\n<p class=\"p1\">RewriteRule (.*) ^http:\/\/%{REMOTE_ADDR}\/$ [R=301,L]<\/p>\n<p class=\"p1\">&lt;\/IfModule&gt;<\/p>\n<\/blockquote>\n<p class=\"p1\">Una pratica di hacking molto comune \u00e8 anche l&#8217;<b>SQL Injection<\/b>, e questa porzione di <b>codice \u00e8 in grado di bloccare la maggior parte degli attacchi di questo tipo<\/b>:<\/p>\n<blockquote>\n<p class=\"p1\">## SQL Injection Block ##<\/p>\n<p class=\"p1\">&lt;IfModule mod_rewrite.c&gt;<\/p>\n<p class=\"p1\">RewriteBase \/<\/p>\n<p class=\"p1\">RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]<\/p>\n<p class=\"p1\">RewriteRule ^(.*)$ &#8211; [F,L]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} \\.\\.\\\/ [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} boot\\.ini [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} tag\\= [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} ftp\\:<span class=\"Apple-converted-space\">\u00a0 <\/span>[NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} http\\:<span class=\"Apple-converted-space\">\u00a0 <\/span>[NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} https\\:<span class=\"Apple-converted-space\">\u00a0 <\/span>[NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} (\\|%3E) [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} base64_encode.*\\(.*\\) [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} ^.*(\\[|\\]|\\(|\\)||\u00ea|&#8221;|;|\\?|\\*|=$).* [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} ^.*(&#8220;|&#8217;|&lt;|&gt;|\\|{||).* [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} ^.*(%24&amp;x).* [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\\.0).* [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]<\/p>\n<p class=\"p1\">RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]<\/p>\n<p class=\"p1\">RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$<\/p>\n<p class=\"p1\">RewriteRule ^(.*)$ &#8211; [F,L]<\/p>\n<p class=\"p1\">&lt;\/IfModule&gt;<\/p>\n<\/blockquote>\n<p class=\"p1\">Ora ci sono dei <b>plug-in che possono limitare gli attacchi login da qualunque indirizzo IP,<\/b> ma questi non sono in grado di impedire agli hacker di <b>utilizzare grossi blocchi di IP per compiere attacchi brute-force al sito <\/b>(<a href=\"http:\/\/proxylist.hidemyass.com\/\"><span class=\"s1\">Public Proxy List<\/span><\/a> ).<\/p>\n<p class=\"p1\">Il seguente pezzo di codice \u00e8 un vero e proprio salvagente in quanto <b>consente di raggiungere le pagine di login solo da determinati indirizzi IP<\/b> specificati, bloccando quindi l\u2019accesso a queste pagine da tutti gli altri IP.<\/p>\n<p class=\"p1\"><b>Basta intervenire su allow form per consentire gli IP <\/b>( \u00e8 possibile rintracciare gli indirizzi IP direttamente da Google cercando \u201cWhat is my IP). Se necessario cambiare i nomi dei file di accesso come (wp-login.php \u00e8 di default, ma non \u00e8 il login, ma il sito utilizza entrambi a causa di un plug-in in uso).<\/p>\n<figure id=\"attachment_48889\" aria-describedby=\"caption-attachment-48889\" style=\"width: 810px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48889 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-accesso-ip-consentiti.jpg\" alt=\"Modificando una serie di opzioni impostate in partenza, possiamo aumentare di molto la sicurezza di un sito WordPress\" width=\"810\" height=\"456\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-accesso-ip-consentiti.jpg 810w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-accesso-ip-consentiti-300x169.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-accesso-ip-consentiti-768x432.jpg 768w\" sizes=\"auto, (max-width: 810px) 100vw, 810px\" \/><figcaption id=\"caption-attachment-48889\" class=\"wp-caption-text\">Modificando una serie di opzioni impostate in partenza, possiamo aumentare di molto la sicurezza di un sito WordPress<\/figcaption><\/figure>\n<p class=\"p1\">Oppure, per semplificare la cosa, andare su <a href=\"https:\/\/proxybonanza.com\/en\/exclusive_proxy\/custom\"><span class=\"s1\">ProxyBonanza<\/span><\/a> e pagando 10 dollari \u00e8 possibile <b>avere un proxy IP esclusivo<\/b>, per poi consentire a questo IP l\u2019accesso e poterlo utilizzare dovunque per accedere al sito. (ProxyBonanza ha un plug-in per Firefox e Chrome, che rende questo passaggio molto semplice). Basta, quindi, eliminare i falsi IP con gli IP effettivi e se l\u2019IP cambia \u00e8 sempre possibile modificarlo in seguito via FTP.<\/p>\n<p class=\"p1\">Nell&#8217;esempio qui sotto basta scambiare gli IP che abbiamo scritto con i vostri indirizzi IP effettivi.<\/p>\n<blockquote>\n<p class=\"p1\">## Restrict WordPress Login Pages to Your Own IPs ##<\/p>\n<p class=\"p1\">&lt;Files wp-login.php&gt;<\/p>\n<p class=\"p1\">order deny,allow<\/p>\n<p class=\"p1\">deny from all<\/p>\n<p class=\"p1\">allow from 192.168.1.1<\/p>\n<p class=\"p1\">allow from 192.168.1.2<\/p>\n<p class=\"p1\">&lt;\/Files&gt;<\/p>\n<p class=\"p1\">&lt;Files login&gt;<\/p>\n<p class=\"p1\">order deny,allow<\/p>\n<p class=\"p1\">deny from all<\/p>\n<p class=\"p1\">allow from 192.168.1.1<\/p>\n<p class=\"p1\">allow from 192.168.1.1<\/p>\n<p class=\"p1\">&lt;\/Files&gt;<\/p>\n<\/blockquote>\n<p class=\"p1\"><b>Ci sono poi una serie di files che dovrebbero essere accessibili solo al proprietario del sito<\/b> e questa porzione di codice consente di bloccarne l\u2019accesso via browser:<\/p>\n<blockquote>\n<p class=\"p1\">## Block Sensitive Files ##<\/p>\n<p class=\"p1\">Options All -Indexes<\/p>\n<p class=\"p1\">&lt;files .htaccess&gt;<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Deny from all<\/p>\n<p class=\"p1\">&lt;\/files&gt;<\/p>\n<p class=\"p1\">&lt;files readme.html&gt;<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Deny from all<\/p>\n<p class=\"p1\">&lt;\/files&gt;<\/p>\n<p class=\"p1\">&lt;files license.txt&gt;<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Deny from all<\/p>\n<p class=\"p1\">&lt;\/files&gt;<\/p>\n<p class=\"p1\">&lt;files install.php&gt;<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Deny from all<\/p>\n<p class=\"p1\">&lt;\/files&gt;<\/p>\n<p class=\"p1\">&lt;files wp-config.php&gt;<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Deny from all<\/p>\n<p class=\"p1\">&lt;\/files&gt;<\/p>\n<p class=\"p1\">&lt;files error_log&gt;<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Deny from all<\/p>\n<p class=\"p1\">&lt;\/files&gt;<\/p>\n<p class=\"p1\">&lt;files fantastico_fileslist.txt&gt;<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Deny from all<\/p>\n<p class=\"p1\">&lt;\/files&gt;<\/p>\n<p class=\"p1\">&lt;files fantversion.php&gt;<\/p>\n<p class=\"p1\">Order allow,deny<\/p>\n<p class=\"p1\">Deny from all<\/p>\n<p class=\"p1\">&lt;\/files&gt;<\/p>\n<\/blockquote>\n<p class=\"p1\"><b>Se il vostro sito \u00e8 vittima di tentativi di attacco da un determinato indirizzo IP, \u00e8 possibile bloccare manualmente alcuni IP con la seguente porzione di codice<\/b>. Basta modificare deny form per negare l\u2019accesso all\u2019IP incriminato, con un IP per riga come:<\/p>\n<blockquote>\n<p class=\"p1\">## Malicious IP Blocking ##<\/p>\n<p class=\"p1\">order allow,deny<\/p>\n<p class=\"p1\">deny from 1.1.1.1<\/p>\n<p class=\"p1\">deny from 2.2.2.2<\/p>\n<p class=\"p1\">allow from all<\/p>\n<\/blockquote>\n<p class=\"p1\">Se ci sono persone che cercano di attaccare il vostro sito dallo stesso IP o blocchi di IP, allora <b>\u00e8 possibile reindirizzare l\u2019IP o il blocco di IP a un video rickroll <\/b>(basta modificare l\u2019IP come di seguito relativamente all\u2019IP che ha colpito il vostro sito):<\/p>\n<blockquote>\n<p class=\"p1\">## Redirect Recurring Spammer IPs to a Rickroll Video ##<\/p>\n<p class=\"p1\">RewriteCond %{REMOTE_ADDR} ^192\\.168\\.1\\.1$<\/p>\n<p class=\"p1\">RewriteRule .* http:\/\/www.youtube.com\/watch?v=oHg5SJYRHA0 [R=302,L]<\/p>\n<\/blockquote>\n<p class=\"p1\">Nel caso in cui vi siano alcuni <b>siti che cercano di colpirvi con traffico referral<\/b> che non si desidera (questo pu\u00f2 accadere per diverse ragioni), allora \u00e8 possibile bloccare questi domini con il codice:<\/p>\n<blockquote>\n<p class=\"p1\">## Block Certain Referring Domains ##<\/p>\n<p class=\"p1\">RewriteCond %{HTTP_REFERER} digg\\.com [NC]<\/p>\n<p class=\"p1\">RewriteRule .* \u2013 [F]<\/p>\n<\/blockquote>\n<p class=\"p1\"><b>E\u2019 possibile altres\u00ec utilizzare il file .htaccess per mettere in sicurezza wp-includes\u00a0\u00a0e<\/b>\u00a0compiere molte altre operazioni avanzate come il blocco da determinati paesi o browser di lingua (<a href=\"http:\/\/incredibill.me\/\"><span class=\"s1\">http:\/\/incredibill.me\/<\/span><\/a>), se lo si vuole.<\/p>\n<p class=\"p1\">Eseguendo queste operazioni il file .htaccess diviene abbastanza sicuro.<\/p>\n<p class=\"p1\">Un file .htaccess pu\u00f2 esistere per ogni directory sul sito. L\u2019elenco di cui sopra \u00e8 stato compilato con una serie di informazioni, per ulteriori approfondimenti visitare l&#8217;articolo &#8220;<a href=\"http:\/\/www.josiahcole.com\/2012\/03\/04\/wordpress-security-best-practices\/\">WordPress Security Best Practices<\/a>&#8221; e &#8220;<a href=\"http:\/\/www.josiahcole.com\/2007\/07\/11\/almost-perfect-htaccess-file-for-wordpress-blogs\/\">Almost perfecr htaccess file for WordPress Bolg<\/a>&#8220;, l&#8217;articolo di <a href=\"http:\/\/www.mastermindblogger.com\/5-simple-tricks-to-prevent-wordpress-spam-comments\/\">Mastermind Blogger\u00a0<\/a>\u00a0e quello di <a href=\"http:\/\/www.esecurityplanet.com\/open-source-security\/top-5-wordpress-vulnerabilities-and-how-to-fix-them.html\">eSecurity Plane<\/a>t.<\/p>\n<p class=\"p4\"><b>L\u2019ultimo passo \u00e8 bloccare i permessi dei file in modo che solo coloro che dovrebbero avere accesso a determinati file possono effettivamente accedervi<\/b>. E\u2019 possibile vedere come cambiare i permessi dei file <a href=\"https:\/\/codex.wordpress.org\/Hardening_WordPress#File_Permissions\"><span class=\"s1\">qui<\/span><\/a> (attenzione anche in questo caso in quanto si possono verificare dei problemi soprattutto con i plugin).<\/p>\n<p class=\"p1\">Con questa serie di operazioni, potete considerare il vostro server dotato gi\u00e0 di un buon livello di sicurezza.<\/p>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Guida_alla_sicurezza_di_WordPress_attenzione_alla_fase_di_installazione\"><\/span>Guida alla sicurezza di WordPress, attenzione alla fase di installazione<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\"><b>Una volta terminata la messa in sicurezza del server e dell\u2019hosting, \u00e8 possibile passare all\u2019installazione di WordPress e dei plug-in di sicurezza necessari<\/b>. Anche se si ha un sito WordPress gi\u00e0 esistente \u00e8 bene non saltare questo passaggio.<\/p>\n<p class=\"p1\">Innanzitutto <b>\u00e8 bene scaricare i file di installazione di WordPress direttamente da wordpress.org e eseguire l\u2019installazione tramite FTP<\/b> (SFTP).<\/p>\n<p class=\"p1\">Molti host offrono un\u2019installazione one-touch, che pu\u00f2 andare bene. Se si opta per questa via bisogna assicurarsi che le <b>password siano sicure e che le stesse password non siano state utilizzate per pi\u00f9 di un sito <\/b>(le password devono essere sempre uniche per database, FTP, WordPress admin etc.).<\/p>\n<figure id=\"attachment_48863\" aria-describedby=\"caption-attachment-48863\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48863 size-full\" title=\"scegliere temi e plug-in altro passo della guida alla sicurezza di wordpress\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-installazione.jpg\" alt=\"guida alla sicurezza di wordpress attenzione all'installazione\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-installazione.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-installazione-300x154.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-installazione-768x394.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48863\" class=\"wp-caption-text\">Un ulteriore step della guida alla sicurezza di WordPress \u00e8 quello di prestare attenzione alla scelta e all&#8217;installazione dei temi e die plug-in<\/figcaption><\/figure>\n<p class=\"p1\">Una volta installato WordPress,<b> il passo successivo \u00e8 quello di scegliere un tema<\/b>, non un qualsiasi tema.<\/p>\n<p class=\"p1\">Come tutti i black-out seo sanno<b> i temi e i plug-in sono un ottimo modo per ottenere links anche se nascosti <\/b>( basta ricordare MozCon 2011 quando Richard Baxter ha dato dimostrazione l\u2019esistenza di milioni di link con anchor text ottenuti da una serie di siti WordPress sui quali era stato installato un plug-in o un tema da lui creato).<\/p>\n<p class=\"p1\">Visto che molte cose pericolose possono essere nascoste nei temi ( per approfondimento un<a href=\"https:\/\/blog.sucuri.net\/2012\/10\/wordpress-themes-xss-vulnerabilities-and-secure-coding-practices.html\"> articolo su Securi Blog<\/a>) <b>\u00e8 consigliato usare o acquistare un tema sicuro<\/b>.<\/p>\n<p class=\"p1\">I temi presenti di default su wordpress.org sono abbastanza sicuri, ma di seguito vi sono altre opzioni per scegliere un tema sicuro: <a href=\"http:\/\/headwaythemes.com\/\"><span class=\"s1\">Opzione 1<\/span><\/a> e <a href=\"https:\/\/www.elegantthemes.com\/blog\/general-news\/theme-security-audit-by-sucuri\"><span class=\"s1\">Opzione 2<\/span><\/a>.\u00a0<b>Se si ha gi\u00e0 un tema installato \u00e8 possibile eseguire una scansione di sicurezza<\/b> o intervenire a livello codice; (servizio incluso nel pacchetto <strong><a href=\"http:\/\/algroundsecurity.com\/\">Alground Security<\/a><\/strong>) \u00a0lo stesso vale per i plug-in.<\/p>\n<p class=\"p1\">Dopo aver selezionato il tema, <b>il passo successivo riguarda la selezione dei plug-in<\/b>.<\/p>\n<figure id=\"attachment_48864\" aria-describedby=\"caption-attachment-48864\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48864 size-full\" title=\"scegliere i plug-in altra fase della guida alla sicurezza di wordpress\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-plugin.jpg\" alt=\"guida alla sicurezza di wordpress e plug-in\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-plugin.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-plugin-300x154.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-plugin-768x394.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48864\" class=\"wp-caption-text\">Una guida alla sicurezza di WordPress davvero efficace non pu\u00f2 trascurare alcune indicazione sui plug-in, in particolare su quelli di sicurezza<\/figcaption><\/figure>\n<h3 class=\"p1\"><span class=\"ez-toc-section\" id=\"Guida_alla_sicurezza_di_WordPress_I_plugin_da_scegliere\"><\/span>Guida alla sicurezza di WordPress. I plugin da scegliere<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p class=\"p1\">Quando si parla di plug-in \u00e8 bene essere molto prudenti, visto che <b>anche i plug-in pi\u00f9 popolari possono contenere delle vulnerabilit\u00e0<\/b> che gli sviluppatori sono lenti a individuare e risolvere. Per questa ragione, \u00e8 bene utilizzare pochi plug-in; <b>dal punto di vista della sicurezza ecco quelli consigliati<\/b>:<\/p>\n<p class=\"p1\"><strong><span class=\"s1\"><a href=\"https:\/\/wordpress.org\/plugins\/better-wp-security\/\">Better WP Security<\/a><\/span><\/strong> : E\u2019 una sorta di <b>opzione di sicurezza all-in-one <\/b>in grado di gestire molti dei punti precedentemente illustrati. Pu\u00f2 per\u00f2 sovrapporsi a altri plug-in quindi bene stare attenti<\/p>\n<p class=\"p1\"><strong><span class=\"s1\"><a href=\"https:\/\/wordpress.org\/plugins\/limit-login-attempts\/\">Limit Login Attempts<\/a><\/span><\/strong>: si tratta di un plug-in molto utile per <b>prevenire gli attacchi brute-force<\/b> ed \u00e8 gratuito<\/p>\n<p class=\"p1\"><span class=\"s1\"><a href=\"https:\/\/akismet.com\/\">Akismet<\/a><\/span>: Ottimo per filtrare molta spazzatura prima che arrivi al sito. Se il vostro sito \u00e8 semplice da spammare potrebbe anche essere semplice da hackerare, per questo \u00e8 bene proteggerlo su pi\u00f9 fronti<\/p>\n<p class=\"p1\"><strong><span class=\"s1\"><a href=\"https:\/\/sucuri.net\/website-firewall\/\">Sucuri Security<\/a><\/span><\/strong>: <b>Questo plug-in aiuta molto nel processo di monitoraggio e messa in sicurezza del sito<\/b>. Pu\u00f2 sovrapporsi a altri plug-in come Limit Login Attempts o Better WP Security, cos\u00ec \u00e8 bene non utilizzarli insieme. A pagamento<\/p>\n<figure id=\"attachment_48890\" aria-describedby=\"caption-attachment-48890\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48890 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/Sucuri-WordPress-Security-Plugin.png\" alt=\"Un elenco di plugin che migliorano da subito la sicurezza di WordPress. \" width=\"780\" height=\"391\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/Sucuri-WordPress-Security-Plugin.png 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/Sucuri-WordPress-Security-Plugin-300x150.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/Sucuri-WordPress-Security-Plugin-768x385.png 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48890\" class=\"wp-caption-text\">Un elenco di plugin che migliorano da subito la sicurezza di WordPress.<\/figcaption><\/figure>\n<p class=\"p1\"><strong><span class=\"s1\"><a href=\"https:\/\/www.codeguard.com\/\">CodeGuard<\/a><\/span><\/strong>: <b>Ottimo servizio di backup <\/b>che permette di recuperare i dati nel caso in cui si sia stati hackerati. Il sistema di backup \u00e8 automatico. A pagamento<\/p>\n<p class=\"p1\"><strong><span class=\"s1\"><a href=\"https:\/\/www.cloudflare.com\/\">CloudFlare<\/a><\/span><\/strong>: Si tratta di un CDN ma \u00e8 anche molto di pi\u00f9. <b>Questo plug-in ha molte opzioni di sicurezza<\/b> ed \u00e8 disponibile gratuitamente o a pagamento<\/p>\n<p class=\"p1\"><strong><span class=\"s1\"><a href=\"https:\/\/wordpress.org\/plugins\/google-authenticator\/\">Google Authenticator<\/a><\/span><\/strong>: Questo plug-in <b>consente l\u2019autenticazione a due fattori<\/b>. Gratuito<\/p>\n<p class=\"p1\"><strong><span class=\"s1\"><a href=\"https:\/\/wordpress.org\/plugins\/stealth-login-page\/\">Stealth Login Page<\/a><\/span><\/strong>: Questo plug-in<b> consente di nascondere la pagina di login<\/b> senza bisogno di editare il file .htaccess. Gratuito<\/p>\n<p class=\"p1\"><strong><span class=\"s1\"><a href=\"https:\/\/yoast.com\/wordpress\/plugins\/seo\/\">WordPress SEO by Yoast<\/a><\/span><\/strong>: Si tratta di un plug-in molto utile non solo dal punto di vista SEO in quanto permette anche di <b>editare il file .htaccess da WordPress admin<\/b>. Gratuito<\/p>\n<p class=\"p1\">Se si sceglie di utilizzare WP-Engine per l\u2019hosting, \u00e8 bene sapere che questo \u00e8 molto pi\u00f9 severo relativamente ai plug-in che si possono o meno utilizzare.<\/p>\n<p class=\"p1\">Se vi sono dei temi o dei plug-in gi\u00e0 installati pu\u00f2 consigliare di eliminarli, anche se non sono stati attivati in quanto potrebbero potenzialmente creare dei problemi.<\/p>\n<p class=\"p1\">Altra cosa molto importante \u00e8 <b>tenere sempre aggiornati WordPress, i temi e i plug-in, in quanto gli aggiornamenti possono risolvere alcune vulnerabilit\u00e0 di sicurezza<\/b>, le prime ad essere sfruttate da un hacker che cerca di attaccare un sito.<\/p>\n<p class=\"p1\">Quando si costruisce il sito \u00e8 bene anche <strong>prestare molta attenzione a ci\u00f2 che i crawlers possono o non possono raggiungere<\/strong>, e a come il sito gestisce cose del tipo informazioni di login, password, password perse o reimpostate, domande di sicurezza e cos\u00ec via.<\/p>\n<p class=\"p1\">C\u2019\u00e8, infatti, <b>un sotto-insieme di tecniche di hacking chiamate Google hacking<\/b>, dedito a rintracciare le informazioni trovate e indicizzate da Google che probabilmente non si dovevano indicizzare. E\u2019 quindi bene fare un uso adeguato del file robots.txt per bloccare tutte le informazioni che non si desidera mostrare.<\/p>\n<p class=\"p1\">Sebbene la messa in sicurezza di un sito non ha mai termine, questi consigli consentono di prevenire e risolvere buona parte dei problemi. E\u2019 sempre bene ricordare per\u00f2 che nulla \u00e8 inattaccabile, quindi lo scopo \u00e8 rendere il sito quanto pi\u00f9 sicuro possibile.<\/p>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Sicurezza_personale_un_ulteriore_step_della_guida_alla_sicurezza_di_WordPress\"><\/span>Sicurezza personale, un ulteriore step della guida alla sicurezza di WordPress<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\">Come tutti gli hacker sanno, <b>il fattore umano \u00e8 uno dei punti deboli della sicurezza<\/b>, visto che, ad esempio, l\u2019admin pi\u00f9 attento o l\u2019host pi\u00f9 accurato possono essere violati magari perch\u00e9 hanno utilizzato una password comune.<\/p>\n<p class=\"p1\">La mente umana ama la routine e gli hacker tendono a sfruttare questa debolezza; per approfondimenti consigliamo il libro <a href=\"https:\/\/www.amazon.com\/The-Art-Deception-Controlling-Security\/dp\/076454280X\"><span class=\"s1\">The Art of Deception<\/span><\/a> di Kevin Mitnick.<\/p>\n<p class=\"p1\">Ecco, quindi, <b>sette buone pratiche\u00a0per minimizzare gli errori umani.<\/b><\/p>\n<ul class=\"ul1\">\n<li class=\"li1\"><b>Non accedere mai a un hotspot Wi-Fi senza VPN<\/b>: Si pu\u00f2 utilizzare <a href=\"https:\/\/www.getcloak.com\/\"><span class=\"s1\">Cloak <\/span><\/a>ma ce ne sono molti altri. In molti sarebbero scioccati da quante informazioni si trovano con un racket sniffing. <b>Quando si usa una rete Wi-Fi, sicura o insicura, tutti coloro che si trovano su quel network possono avere accesso al vostro traffico<\/b>( se il traffico \u00e8 cittografato si \u00e8 pi\u00f9 sicuri ecco perch\u00e9 \u00e8 bene utilizzare VPN su ogni rete condivisa anche se si tratta di una rete sicura). Se si ha un Wi-Fi a casa<span class=\"Apple-converted-space\">\u00a0 <\/span>\u00e8 bene utilizzare una password forte e settore il router per non visualizzare SSID (eusta \u00e8 una pratica di \u201csecurity by oscurity)<\/li>\n<li class=\"li1\"><b>Avere un firewall<\/b>: Un buon firewall \u00e8 un ottimo strumento di difesa. <b>L\u2019ideale sarebbe avere un firewall a livello hardware e software<\/b>, cosa che per\u00f2 potrebbe non essere fattibile per tutti. In ogni caso \u00e8 indispensabile avere un firewall (<a href=\"https:\/\/personalfirewall.comodo.com\/\"><span class=\"s1\">Comodo<\/span><\/a>, <a href=\"http:\/\/www.zonealarm.com\/software\/free-firewall\/\"><span class=\"s1\">ZoneAlarm<\/span><\/a> etc), che pu\u00f2 essere un p\u00f2 invadente a seconda delle impostazioni ma che \u00e8 certamente utile, sia per desktop che per laptop e server.<\/li>\n<\/ul>\n<figure id=\"attachment_48859\" aria-describedby=\"caption-attachment-48859\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48859 size-full\" title=\"installare un firewall altro step nella guida alla sicurezza di wordpress\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-firewall.jpg\" alt=\"guida alla sicurezza di wordpress e firewall\" width=\"780\" height=\"400\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-firewall.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-firewall-300x154.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/guida-alla-sicurezza-di-wordpress-firewall-768x394.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48859\" class=\"wp-caption-text\">In questa guida alla sicurezza di WordPress non si pu\u00f2 mettere l&#8217;accento sull&#8217;importanza di avere un firewall potente sia a livello software che hardware<\/figcaption><\/figure>\n<ul class=\"ul1\">\n<li class=\"li1\"><b>Utilizzare un programma anti-virus<\/b>: I virus e i malware sono numerosi e la possibilit\u00e0 che ve ne sia almeno uno sul proprio pc \u00e8 alta. <b>Se un hacker ha accesso al vostro computer, nessuna opzione di sicurezza pu\u00f2 proteggere il vostro sito WordPress<\/b> (senza contare le e-mail, gli account di conti bancari etc). Tra i software anti-virus uno dei pi\u00f9 utili \u00e8 <a href=\"https:\/\/www.avast.com\/en-us\/internet-security\"><span class=\"s1\">Avast<\/span><\/a>, abbastanza accurato e con una scarsa incisione sulle prestazioni della macchina.<\/li>\n<li class=\"li1\"><b>Mantenere fisicamente sicuro l\u2019hardware<\/b>: Se qualcuno riesce ad accedere al vostro pc, \u00e8 davvero un gioco da ragazzi <b>installare un keylogger<\/b>. Se non si protegge il pc con una password, si pu\u00f2 correre il rischio di subire molte altre violazioni. Se si usa un pc desktop che si trova in un\u2019area comune di lavoro \u00e8 bene controllare periodicamente le porte USB e tutti i cavi in esecuzione per verificare che non vi sia nulla di insolito<\/li>\n<li class=\"li1\"><b>Usare password sicure e non riutilizzarle su pi\u00f9 siti<\/b>: Questo \u00e8 un punto fondamentale relativamente al quale il fattore umano gioca un ruolo centrale. Di solito le persone non riescono a ricordare password complesse, per questo <b>tendono a utilizzare password semplici<\/b> (asdf, 12345678, qwerty12345 etc.). Si tratta di un\u2019abitudine scorretta e pericolosa perch\u00e9<b> le <\/b><a href=\"http:\/\/www.cbsnews.com\/news\/the-25-most-common-passwords-of-2012\/\"><span class=\"s1\"><b>password comuni<\/b><\/span><\/a><b> rendono le cose molto pi\u00f9 semplici agli hacker<\/b>, soprattutto se si utilizza la stessa password per pi\u00f9 siti. <b>Le password sono semplici da scoprire con le <\/b><a href=\"https:\/\/en.wikipedia.org\/wiki\/Rainbow_table\"><span class=\"s1\"><b>rainbow tables<\/b><\/span><\/a><b> per questo \u00e8 bene accertarsi che la password del sistema operativo sia lunga<\/b> (almeno 15 caratteri) e complessa (maiuscole, minuscole, lettere, numeri, simboli, caratteri speciali). In pi\u00f9 non bisogna dimenticare che sul web \u00e8 possibile trovare molte liste di password comuni; grazie a queste liste \u00e8 quindi possibile tentare di violare un sito WordPress usando random le diverse password finch\u00e9 non si trova quella giusta.<\/li>\n<\/ul>\n<p class=\"p1\"><b>Per avere password sicure \u00e8 possibile usare tool come <\/b><a href=\"https:\/\/www.lastpass.com\/\"><span class=\"s1\"><b>LastPass<\/b><\/span><\/a><b>, <\/b><a href=\"https:\/\/1password.com\/\"><span class=\"s1\"><b>Password<\/b><\/span><\/a><b> o <\/b><a href=\"https:\/\/www.roboform.com\/\"><span class=\"s1\"><b>Roboform<\/b><\/span><\/a><b>, che permettono di generare password casuali, lunghe e molto complesse<\/b> per ogni sito e poi cittografarle e salvarle con una password master. Ci sono molte app disponibili per desktop e mobile di modo che \u00e8 possibile accedere da diversi device in sicurezza dovendo ricordare una sola password di accesso per tutti gli account.<\/p>\n<figure id=\"attachment_48891\" aria-describedby=\"caption-attachment-48891\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48891 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-lastpass.jpg\" alt=\"Per la sicurezza di WordPress \u00e8 importante appoggiarsi ai migliori servizi per la gestione di password complesse\" width=\"780\" height=\"423\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-lastpass.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-lastpass-300x163.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-lastpass-768x416.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48891\" class=\"wp-caption-text\">Per la sicurezza di WordPress \u00e8 importante appoggiarsi ai migliori servizi per la gestione di password complesse<\/figcaption><\/figure>\n<p class=\"p1\">E\u2019 bene ricordarsi di non salvare su file di testo le password e conservarle sul pc.<\/p>\n<ul class=\"ul1\">\n<li class=\"li1\"><b>Proteggere l\u2019account e-mail con l\u2019autenticazione a due fattori<\/b>: Se un hacker riesce a accedere al sito con la password, il passo successivo \u00e8 generalmente quello di violare l\u2019account email per resettarlo. <b>Se il vostro provider email offre l\u2019autenticazione a due fattori \u00e8 bene usarla<\/b>. Tale sistema \u00e8 utilizzabile anche per gli smartphone che spesso contengono gli accessi a diversi account ( sarebbe preferibile non scrivere il proprio numero online e se un sito richiede un numero di telefono \u00e8 bene utilizzarne uno fornito da Google Voice). <b>Sarebbe opportuno anche settare il cellulare dopo un certo numero di tentativi di accesso falliti<\/b> e configurare una opzione di accesso da remoto. Se il provider del vostro account richiede una domanda di sicurezza \u00e8 bene utilizzare un sistema di associazione per rispondere alla domanda (ad esempio se la domanda \u00e8 \u201cqual\u2019era la mascotte della tua scuola\u201d si pu\u00f2 pensare all\u2019insegnante antipatica della scuola e utilizzare il suo nome come risposta).<\/li>\n<li class=\"li1\"><b>Imparare a riconoscere e a evitare gli attacchi phishing<\/b>: Tramite siti o email gli attacchi phishing sono una delle cause pi\u00f9 comuni di violazioni. Ci sono tre regole per evitare questo tipo di attacco:<\/li>\n<li class=\"li1\"><b>Se si deve navigare in un sito \u00e8 bene farlo tramite password manager<\/b> (questo ci protegge da errori di digitazione URL, attacchi phishing etc)<\/li>\n<li class=\"li1\"><b>Mai cliccare un link in una mail o loggarsi da pop-up<\/b>. E\u2019 bene non farlo mai al massimo copiare l\u2019indirizzo del link e incollarlo su Google per essere sicuri; se si notano dei risultati strani nella ricerca meglio interrompere<\/li>\n<li class=\"li1\"><b>Mai aprire un allegato proveniente da qualcuno che non si conosce<\/b> ( e anche se si conosce il mittente \u00e8 bene tagliare l\u2019allegato in una cartella e controllarlo con un anti-virus prima di aprirlo o aprirlo in un programma sandbox per essere sicuri). Se qualcuno che ha il vostro indirizzo nella propria lista di contatti viene hackerato, gli hacker inviano email infette a tutta la lista dei contatti.<\/li>\n<\/ul>\n<h2 class=\"p1\"><span class=\"ez-toc-section\" id=\"Guida_alla_sicurezza_di_WordPress_mai_dimenticare_gli_aggiornamenti\"><\/span>Guida alla sicurezza di WordPress, mai dimenticare gli aggiornamenti<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p class=\"p1\">Se dopo aver seguito tutti questi <b>consigli di sicurezza<\/b> ci si dimentica di effettuare aggiornamenti allora ci si ritrova al punto di partenza.<\/p>\n<figure id=\"attachment_48892\" aria-describedby=\"caption-attachment-48892\" style=\"width: 780px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-48892 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-aggiornamenti.jpg\" alt=\"Gli aggiornamenti di ogni componente di WordPress sono fondamentali per una sicurezza nel lungo periodo\" width=\"780\" height=\"439\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-aggiornamenti.jpg 780w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-aggiornamenti-300x169.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-aggiornamenti-768x432.jpg 768w\" sizes=\"auto, (max-width: 780px) 100vw, 780px\" \/><figcaption id=\"caption-attachment-48892\" class=\"wp-caption-text\">Gli aggiornamenti di ogni componente di WordPress sono fondamentali per una sicurezza nel lungo periodo<\/figcaption><\/figure>\n<p class=\"p1\">Per essere certi che tutto il lavoro fatto non vada perduto, <b>ci sono sette step da seguire per mantenere costate la vigilanza dei siti WordPress<\/b>.<\/p>\n<ol class=\"ol1\">\n<li class=\"li1\"><b>Mantenere WordPress aggiornato<\/b>: WordPress non aggiorna spesso il proprio core quindi \u00e8 bene farlo almeno una volta al mese.<\/li>\n<li class=\"li1\"><b>Mantenere aggiornati i plug-in<\/b>: I plug-in sono una delle parti pi\u00f9 vulnerabili di WordPress, facilmente sfruttabili da hacker e programmatori malintenzionati. Quindi \u00e8 bene non solo utilizzare plug-in affidabili ma anche tenerli costantemente aggiornati, cos\u00ec da eliminare ogni vulnerabilit\u00e0.<\/li>\n<li class=\"li1\"><b>Monitorare i server log file<\/b>: Forse si tratta di una precauzione eccessiva, ma da seguire soprattutto se si \u00e8 notato qualcosa di sospetto. I file di blog del server infatti forniscono informazioni relativamente a tutto ci\u00f2 che ha tentato di violare il sito, persone o bot, quando e da quale indirizzo IP. (<a href=\"https:\/\/awstats.sourceforge.io\/\"><span class=\"s1\">AWStats<\/span><\/a> \u00e8 un buon tool gratuito per fare questo)<\/li>\n<li class=\"li1\"><b>Monitorare l\u2019accesso WP<\/b>: E\u2019 possibile usare plug-in come <a href=\"https:\/\/wordpress.org\/plugins\/simple-login-log\/\"><span class=\"s1\">Simple Login Log<\/span><\/a> per monitorare i dettagli di login al sito<\/li>\n<li class=\"li1\"><b>Monitorare i cambiamenti dei file<\/b>: Un plug-in come CodeGuard consente di<b> ricevere delle email nel caso in cui vi siano dei cambiamenti ai file WordPress<\/b>. Si tratta di un buon sistema di allarme e consente inoltre di ripristinare la situazione precedente ai cambiamenti se necessario<\/li>\n<li class=\"li1\"><b>Cambiare la password periodicamente<\/b>: Ogni 3\/6 mesi \u00e8 bene cambiare la password sebbene un<b> paio di volte all\u2019anno <\/b>pu\u00f2 essere sufficiente se si usa una password lunga e complessa<\/li>\n<li class=\"li1\"><b>Mantenere aggiornati il firewall e l\u2019antivirus<\/b>: Nuovi virus e pericoli sono scoperti costantemente quindi \u00e8 importante mantenere aggiornati l\u2019anti-virus e il firewall<\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Questa guida alla sicurezza di WordPress vuole essere un punto di riferimento per tutti coloro che gestiscono questo popolarissimo CMS e che hanno bisogno di implementare una protezione completa per il proprio sito personale ma soprattutto aziendale. Maggiore \u00e8 la popolarit\u00e0 e la standardizzazione del codice di WordPress, maggiori sono le possibilit\u00e0 di attacco da [&hellip;]<\/p>\n","protected":false},"author":15,"featured_media":48883,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[387,2123,359,1893],"tags":[],"class_list":{"0":"post-48852","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-guide-sicurezza","8":"category-sistemi","9":"category-editoriali","10":"category-cms","11":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2017\/04\/sicurezza-wordpress-guida-definitiva-img-evidenza.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/48852","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=48852"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/48852\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/48883"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=48852"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=48852"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=48852"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}