Gestire un blog o un sito web, sia che sia per svago che per lavoro, è un impegno costante. Vedere rovinati all’improvviso giorni, mesi, anni di impegno è certamente una cosa orribile ed è quello che potrebbe capitare se il nostro sito non è adeguatamente protetto e non vengono eseguiti regolarmente backups quantomeno del database.

Fortunatamente chi utilizza WordPress ha accesso ad una sterminata lista di plugins realizzati per i più disparati scopi. In questo post andremo a vedere una selezione dei migliori plugins dedicati alla sicurezza (ed affini) di WordPress:

Akismet

Il re dei plugin contro lo spam nei commenti. Non serve altro. Basta installare Akismet per liberarsi di un bel numero di spammers, spambot e scocciatori vari. Il plugin si occuperà di analizzare i nuovi commenti accedendo al server Akismet (e per questo serve una API key ottenibile da qui) ed impedendone automaticamente la pubblicazione se ritenuti sospetti.

AskApache Password Protect

Con AskApache Password Protect è possibile settare una password per l’accesso alla dashboard di WordPress, oltre che a qualsiasi altra cartella presente sul vostro spazio web. E’ pensato per porre una barriera in più all’eventuale malintenzionato che sfruttando una falla della piattaforma avrebbe accesso al pannello di controllo se non fosse per questa ulteriore password richiesta. E’ consigliato soltanto se non permettete la registrazione utente, in caso contrario si rivela inutile in quanto dovreste condividere questa password con tutti gli utenti del blog (pena l’impossibilità da parte loro di accedere al loro profilo).

Admin Log

Questo plugin è utile a tenere traccia delle attività che avvengono nell’area di amministrazione. Registra ogni accesso ad ogni pagina di amministrazione. I log riportano data, ora, utente e pagina di amministrazione aperta.

Secure WordPress

Questo plugin aiuta a migliorare la sicurezza di WordPress svolgendo alcune operazioni quali rimuovere il log degli errori di login, aggiungere i vari index.html alle cartelle dei plugin, rimuovere la versione di WordPress dai meta tags delle pagine… Tutte informazioni che potrebbero facilitare il lavoro ad un eventuale attaccante.

Limit Login Attempts

Limit Login Attempts si occuperà di tagliar fuori un utente al superamento di X tentativi d’accesso falliti (prevenendo così tentativi di bruteforcing). Tiente traccia degli ip di origine dei potenziali attaccanti ed invia un’email all’amministratore avvisandolo dell’accaduto.

WP Security Scan

Questo plugin scansiona WordPress in cerca di potenziali vulnerabilità, segnalando poi all’amministratore cosa modificare per correre ai ripari. Si occupa in automatico e costantemente di monitorare passwords, permessi dei files, sicurezza del database e molto altro…

Admin SSL

Questo plugin forza l’utilizzo della cifratura SSL (utilizzando le famose pagine https per dirla in altri termini) ogni qualvolta sia necessario l’utilizzo della password. In questo modo tutte gli scambi di dati sensibili e/o la gestione del blog avverrà passando da pagine cifrate. Tuttavia è necessario possedere un certificato SSL o usufruire dell’SSL condiviso offerto da alcuni servizi di hosting. In definitiva se il vostro hosting (e le vostre tasche nel caso certificato dedicato) ve lo permettono questo è uno sbalzo in avanti in termini di sicurezza.

WP-DBManager

Come detto all’inizio, effettuare un backup è fondamentale per mettere al sicuro il proprio lavoro. Il plugin probabilmente più indicato per questo scopo è WP-DBManager. Questo plugin non solo è eccezionale per eseguire backup automatizzati ma può anche effettuare operazioni utili quali l’ottimizzazione del database e l’esecuzione di query al db direttamente dal pannello di WordPress.

TAC

TAC sta per Theme Authenticity Checker e serve a scansionare i files che compongono i temi di WP e segnalare qualsiasi eventuale pericolo dovuto a codice malevolo o comunque pericoloso. E’ utilissimo se si fa uso di temi scaricati da fonti non attendibili o sconosciute. Alcuni malintenzionati infatti potrebbero avere nascosto porzioni di codice non desiderate ad esempio per innestare i propri codici adsense o per riempire di link nascosti le nostre pagine. Insomma fidarsi è bene, non fidarsi è meglio!

Se ti è piaciuto questo post