Matt Mullenweg, il creatore di WordPress, è intervenuto sul proprio blog a denunciare l’esistenza d’una botnet che intercetta le password degli account amministrativi: è opportuno cambiare il nome-utente da admin per le versioni precedenti alla 3.0. Sono tre anni che le nuove installazioni chiedono d’impostare un identificativo diverso per gli amministratori, ma chi avesse aggiornato WordPress da un rilascio inferiore potrebbe tuttora avere delle credenziali insicure. Il problema non dovrebbe riguardare i blog su WordPress.com.

Io sono piuttosto “paranoico” e, da web designer, suggerisco una serie di accorgimenti avanzati nel mettere in sicurezza WordPress. Oltre a generare una password complessa, è possibile rinominare la cartella wp-content che contiene i temi e i plugin: la documentazione del Content Management System (CMS) è esaustiva. Forzare le trasmissioni via HTTPS al pannello d’amministrazione, laddove disponibile un certificato SSL, è un’altra pratica consigliabile. Inoltre, dovreste escludere la tag generator che mostra la versione corrente.

Se utilizzate Apache o un server compatibile, dovreste pensare d’inibire l’accesso agli elenchi dei file presenti nelle cartelle di WordPress via .htaccess. La sicurezza è un aspetto fondamentale e, insieme al backup, non dovrebbe essere sottovalutato. Su WordPress.com è attivabile da qualche tempo pure l’autenticazione a doppio fattore. Quello delle botnet, ahimè, è un fenomeno tutt’altro che estinto: ultimamente dei malintenzionati hanno sfruttato il meccanismo per generare i Bitcoin. Ricordate di tenere aggiornato WordPress.