FAQ - Come mantenere sicuro Joomla, Wordpress ed altri CMS?

La sicurezza, soprattutto per software open source quali ad esempio Joomla o Wordpress è molto importante e non è da prendere sottogamba in quanto data la loro popolarità possono essere facilmente presi di mira da malintenzionati.

Le principali precauzioni da prendere sono:

• Cambiare almeno ogni 6 mesi tutte le password amministrative
• Usare password sicure del tipo: g7%tGh(Rk)=9gx
• Usare un nome utente di fantasia e NON il classico "admin"
• Mantenere il proprio pc esente da virus/spyware usando un buon prodotto antivirus
• Mantenere sempre aggiornato all'ultima versione il proprio CMS
• Utilizzare una versione PHP aggiornata (al momento dell'ultima revisione della faq, si consiglia la 8.1)
• Se si usano plugin/template/estensioni o simili,  di mantenere sempre tutto aggiornato all'ultima versione e di scaricare solo da fonte ufficiale del CMS e/o comunque da una fonte ritenuta più che affidabile e sicura.
• Controllare attentamente plugin/moduli che non rilasciano aggiornamenti da molto tempo
• Non fare modifiche al template/plugin o al codice del CMS se non si ha abbastanza esperienza in modo da non aprire invonlontariamente porte ai malintenzionati.
• Settare i permessi del file di configurazione a 600 (configuration.php, wp-config, etc. etc. etc)
• Modificare almeno ogni 6 mesi la password di accesso al database
• Assegnare un prefisso di fantasia alle tabelle del database, ad esempio "xr3_" invece del calssico "jos_" per joomla o "wp_" per wordpress.
• Ridurre al minimo indispensabile plugin/moduli
• Lasciare al massimo un solo tema inattivo
• Utilizzare un plugin/modulo per l'autenticazione a 2 Fattori
• Utilizzare un plugin/modulo per la sicurezza (ad esmepio Wordfence per Wordpress)
• Laddove sia prevista la possibilità di commentare, se non necessaria disabilitare la funzione
• Mettere in protezione i form e l'accesso all'area amministrativa tramite un plugin/modulo basato sul Googl Recaptcha

Percauzioni specifiche per Wordpress

• Dsabilitare XMLRPC in Wordpress
• Disabilitare Pingback e Trackback in Wordpress
• Disabilitare il WP CRON

Se il proprio sito è spesso attaccato:

In linea generale se tutte le principali precauzioni sono già state prese e si è comunque soggetti ad attacchi, è consigliabile effettuare immediatamente una scansione con più di un prodotto. Ecco alcuni antivirus/antispyware gratuiti per pc.
 
==========================================================================
HouseCall: https://www.trendmicro.com/it_it/forHome/products/housecall.html
MalwareBytes: https://it.malwarebytes.com/mwb-download/
Microsoft Security Essentials: https://www.microsoft.com/it-it/download/details.aspx?id=5201
Spybot SD: https://www.safer-networking.org/products/spybot-free-edition/
SUPERAntiSpyware: https://www.superantispyware.com/free-edition.html
==========================================================================
 
 
Qualora anche dopo essersi accertati che il proprio pc è realmente pulito e gli attacchi continuassero, si puo' tentare con il resettaggio del proprio hosting ed in ultima ipotesi della formattazione del proprio pc in quanto spesso è dalla propria macchina che i malintenzionati craccano le informazioni di accesso.
 
<< Come cambiare template per Joomla? Perchè aggiornare Joomla, Wordpress ed altri CMS? >>