Di articoli che trattano l’installazione di WordPress è pieno il web. Credo di averne scritto uno o due pure io, in passato.
Quello che invece noto, è che molti che si cimentano in questa facile operazione, magari per la prima volta, trascurano alcuni aspetti importanti che potrebbero fare la differenza nell’uso futuro del blog, specialmente riguardo la sicurezza.
Ecco perché ho deciso di stilare questa breve lista di cose da fare prima, durante e dopo l’installazione.
Poche semplici operazioni, alla portata di tutti.
Prima dell’installazione di wordPress
- Se possibile, impostare una password sicura per il database.
- Se possibile, cambiare la password FTP con una più sicura, e se disponibile preferire il protocollo SFTP (Secure FTP).
Durante l’installazione di WordPress
- Impostare un nome utente e una password qualsiasi, tanto poi lo elimineremo.
- Impostare un prefisso per le tabelle diverso da “wp_”, esempio “sHd4m2_”
Dopo l’installazione di WordPress
- Collegarsi a WordPress con l’utente creato durante l’installazione, creare un nuovo utente amministratore con un username e una password sicuri (non usare admin o mariorossi come login e la data di nascita come password).
- Scollegarsi da WordPress e ricollegarsi con il nuovo utente, quindi cancellare il primo utente creato. Questo è importante perché si cancella l’utente con l’ID 1.
- Creare un utente con funzioni di editore, non amministratore, da utilizzare quotidianamente per l’inserimento articoli e pagine e per commentare. Usare l’utente amministratore solo quando serve.
- Installare e configurare un backup, tramite plugin o le possibilità offerte dall’hosting.
- Collegarsi via SFTP (non FTP), aprire il file wp-config.php e andare alla voce “Authentication Unique Keys and Salts” (“Chiavi Univoche di Autenticazione e di Salatura” in italiano) e seguire le istruzioni per installare le chiavi univoche di autenticazione al posto indicato, è un semplice copia/incolla di 8 righe.
- Sempre via SFTP (non FTP), cancellare i file leggimi.txt, licenza.html, readme.html e license.txt che si trovano al primo livello dell’installazione (a seconda che abbiate installato la versione in italiano o in inglese, potreste trovarne solo due o tutti)
- Installare il plugin Limit Login Attempts e attivarlo, la configurazione di default è sufficiente. Questo plugin complica di molto la vita ai vari software che cercano di violare le password. Semplice e efficace.
Fine, almeno per le precauzioni realizzabili da un utente non troppo esperto.
Si potrebbe fare di più, ovviamente, ma occorre avere più dimestichezza con le modifiche dei file di configurazione dell’hosting, e meritano casomai un approfondimento a parte.
Comunque, se si seguono i punti appena citati per il prima, il durante e il dopo l’installazione di WordPress, possiamo poter dire di partire con il piede giusto.
Sembrano tante cose da fare, ma in realtà è più facile eseguirle che scriverle, ci vogliono pochi minuti per eseguirle tutte correttamente.
Sono tutte cose che si possono fare anche in un secondo tempo, o in un WordPress già attivo, ma facendole all’installazione è molto più semplice.
Quanto è sicura la mia password?
Qualcuno è convinto che usare frasi complesse come password, tipo “michiamopippo”, o sostituire le consonanti con dei numeri, tipo “g10v4nn1”, o aggiungere un numero al proprio nome di battesimo o al nome del cane sia un modo per avere password sicure.
Non lo sono affatto.
Una password sicura deve essere di almeno 12 caratteri, meglio 15, e determinate caratteristiche.
Meglio affidarsi ad uno strumento di generazione di password sicure, o fare un test con gli strumenti disponibili in rete per scoprire se la propria password è da sicura.
Perché NON si deve usare FTP?
Perché è un protocollo insicuro, senza alcuna protezione. Tutti gli hosting permettono di usare SFTP (Secure FTP) al suo posto, generalmente con le stesse credenziali dell’FTP. È assolutamente da preferire.
[button color=”teal” window=”true” size=”large” link=”https://robrota.com/contatto/”]Contattami senza impegno per installare o mettere in sicurezza WordPress![/button]
Revisione di un articolo originale del 11-7-2013