Quando alla gestione di un sito collaborano più utenti, è indispensabile assegnare i ruoli e gestire gli accessi con prudenza. Le soluzioni che presentiamo in questo capitolo si basano sull'utilizzo di plugin gratuiti presenti nella repository di WordPress.
Prima della versione 3.0 di WordPress, lo username dell'utente proprietario era impostato su admin. Ciò apriva una vulnerabilità in quanto una volta noto il nome utente, basta intercettare la password per accedere all'amministrazione del sito. È quindi sempre opportuno evitare di utilizzare il nome utente admin. Se questo utente è già presente in un'istallazione attiva, si suggerisce di creare un nuovo utente amministratore, con un diverso username, ed eliminare il precedente admin.
Anche la password va scelta con cura. WordPress fornisce un indicatore di forza che propone una password sicura ad ogni nuovo utente, anche in fase di istallazione.
Una buona abitudine è quella di evitare di assegnare più ruoli da amministratore ove non assolutamente necessario. Più utenze con privilegi elevati ci sono maggiori sono i rischi connessi ad errori accidentali, smarrimento o furto delle credenziali. È sempre preferibile assegnare ai collaboratori il ruolo più basso possibile, compatibilmente con le attività loro assegnate.
Un'importante misura di sicurezza è quella di limitare il numero di tentativi di accesso. A questo scopo può essere opportuno istallare un plugin come Login LockDown, il quale registra l'indirizzo IP da cui proviene ogni singolo tentativo di accesso fallito. Le impostazioni predefinite del plugin bloccano ulteriori tentativi da un dato indirizzo IP per un periodo di un'ora, dopo tre tentativi falliti nell'arco di cinque minuti. Queste impostazioni possono essere modificate dal pannello di configurazione del plugin.
Two-Factor Authentication
Altra misura di sicurezza nell'accesso al pannello di amministrazione è il doppio livello di autenticazione. L'autenticazione a due fasi prevede che l'utente si trovi in una duplice condizione. Da un lato gli viene richiesto qualcosa che conosce (la password), dall'altro gli viene richiesto qualcosa di cui deve essere in possesso, ossia una periferica mobile che ne confermi l'identità.
Sono diversi i plugin disponibili pubblicamente nel repository che permettono di utilizzare il sistema di doppia autenticazione nelle istallazioni di WordPress. Tra questi:
- Clef richiede l'istallazione di un'applicazione mobile che permette di accedere a WordPress tramite il sistema di crittografia RSA
- Google Authenticator attiva il sistema di doppia autenticazione utilizzando la Google Authenticator App, disponibile sia per Android che per iPhone nei rispettivi market. Di questo plugin si è già parlato su HTML.it.
- Authy è un altro plugin che si accompagna ad un'App mobile che genera una token ad ogni accesso.
- Altri plugin offrono diverse funzionalità orientate ad aumentare la sicurezza di WordPress e la Two-Factor Authentication è solo una delle molte funzionalità offerte. Tra questi si segnalano iThemes Security e WordFence.
In questa prima parte della guida, sono state presentate le soluzioni di base per rendere più sicura un'istallazione di WordPress. Dal prossimo capitolo si analizzeranno soluzioni più avanzate, per la cui implementazione si farà ricorso ai file wp-config.php e .htaccess. Alcune soluzioni, inoltre, prevedono la creazione di must-use plugin.
