Non sei loggato: Entra o Registrati Gratis!  Ita  Eng

Hosting Wordpress, hosting Joomla e molto di più! Wide Logo

Sicurezza WordPress: alcuni preziosi consigli

aprile 6, 2012 by Enrico

Nell’articolo precedente vi abbiamo presentato un plugin fondamentale per la sicurezza di WordPress, Better WP Security. Sebbene sia uno strumento, come detto, completo e molto potente, ci sono ancora alcuni accorgimenti che √® importante avere, per mantenere al sicuro la nostra installazione WordPress¬†da possibili e spiacevoli attacchi.

AGGIORNARE SEMPRE

Aggiornamenti√ą un po’ come sui nostri pc o Mac: mantenere il software aggiornato non significa essere fanatici della tecnologia e/o voler desiderare sempre l’ultima versione. Aggiornare significa chiudere possibili falle attraverso cui malware o virus possono entrare e fare danni. Perci√≤, quando avete la notifica di un nuovo aggiornamento, non fatevi prendere dalla pigrizia, ma aggiornate subito: √® una cosa veloce! Quindi, ricordate: mantenere aggiornati

  1. Installazione di WordPress;
  2. Plugin;
  3. Temi
  4. Browsers (anche loro hanno falle attraverso cui gli hacker possono passare!)

NASCONDERE LA VERSIONE DI WORDPRESS

Può sembrare stupido, tuttavia si tratta di un espediente molto importante: se infatti il malintenzionato di turno riesce a scoprire la versione WordPress che avete in uso, costui avrà maggiori facilità di intromissione, perché conosce eventuali falle della vostra versione. Ecco un altro motivo per cui è fondamentale aggiornare sempre. Per fare ciò, ci vengono sempre in aiuto alcuni plugin, tra cui il già nominato Better WP Security.

USARE NOMI UTENTE E PASSWORD COMPLESSI

√ą vero che con una password molto complicata si corre il rischio di dimenticarsela; tuttavia possiamo ovviare scrivendocela da parte. Evitiamo di usare i nomi utente standard come “admin” e password banali (meglio usare password alfanumeriche): saranno facilmente scovabili dai malintenzionati.

LIMITARE L’ACCESSO ALLE CARTELLE DI AMMINISTRAZIONE

Accesso bloccato alle aree di amministrazione

I percorsi standard delle cartelle di WordPress¬†sono wp-admin, wp-content¬†e wp-includes: cerchiamo di oscurarle a chi cerca informazioni o possibili falle. Possiamo farlo attraverso il plugin che vi ho descritto nell’articolo precedente, Better WP Plugin, oppure anche mediante altri plugin, che in genere inseriscono una regola all’interno del file .htaccess, che si trova nella root del sito.

CAMBIARE IL PREFISSO DELLE TABELLE DEL DATABASE WORDPRESS

Di default le tabelle WordPress hanno il prefisso “wp_”, che per√≤ pu√≤ costituire una possibile fonte di attacco in quanto √® appunto l’impostazione standard. Noi qui su Wide offriamo sin da subito, al momento dell’installazione con 1 click, il prefisso diverso da quello standard. In ogni caso possiamo sostituirlo facilmente sempre attraverso l’uso del plugin¬†Better WP Security; infatti la modifica manuale comporta maggiori difficolt√† per gli utenti meno esperti.

IMPOSTARE CORRETTAMENTE I PERMESSI ALLE CARTELLE E AI FILE

I permessi sbagliati sono spesso la causa, o la concausa, di intromissioni da parte di hacker: sfruttano, cioè, la possibilità di scrivere file e cartelle, e possono dunque inserire file javascript o comunque codice malevolo, che potrebbe infettare i pc dei vostri lettori. Quali sono dunque i permessi corretti? Vediamoli insieme

  • I permessi di tutte le cartelle devono essere impostati su 755;
  • I permessi di tutti i file devono essere impostati su 644;
  • Per il file wp-config.php¬†√® consigliabile impostare i permessi su 640;

Riguardo al file wp-config.php, che è un file fondamentale in quanto lì risiedono tutte le info del nostro sito e del relativo database, possiamo utilizzare ancora un altra misura di sicurezza: inseriamo nel file .htaccess questa regola

<Files wp-config.php>
order allow,deny
deny from all
</Files>

BLOCCARE LO SPAM

No Spam

Molti sono i commenti / trackback di spam che i blog WordPress ricevono ogni giorno: il metodo pi√Ļ veloce √® utilizzare il plugin¬†Akismet, di cui vi avevamo gi√† parlato in questo articolo; si tratta di un efficace plugin che blocca la maggior parte di questi commenti.

ESEGUIRE PERIODICAMENTE UNA SCANSIONE

ScansioneAnche se non è indispensabile, talvolta può essere utile eseguire una scansione dei file che compongono la nostra installazione WordPress. Soprattutto nel caso dei Javascript, un eventuale codice malevolo può annidarsi in file molto nascosti, e questo rende per noi difficile scovarlo. Un utile plugin è Wp Security Scan che, oltre a evidenziarvi file sospetti, è pratico perché vi avvisa anche di permessi errati su file e cartelle, come in questo esempio

WP Security Scan

Potete scaricare il plugin WP Security Scan a partire da questo link: http://wordpress.org/extend/plugins/wp-security-scan/

BACKUP

Non da ultimo, occorre sempre fare un backup completo, e se possibile con una certa regolarità: a tal proposito vi rimando a un altro nostro articolo, in cui vi consigliavamo un ottimo plugin per programmare e gestire il vostro backup: WordPress Backup to Dropbox.

CONCLUSIONE

Queste sono le regole base per mantenere il vostro blog protetto e al sicuro. Esistono ancora altre forme di protezione pi√Ļ elevata: tuttavia, per questa volta, abbiamo deciso di soffermarci sui metodi appunto di base e pi√Ļ importanti, e soprattutto attuabili da tutti, esperti o non. Fatene buon uso! ūüėČ

Related Posts Plugin for WordPress, Blogger...

  • Suggerimenti estremamente utili, vi aggiungerei la possibilit√† di abilitare la doppia password mediante Apache per il file wp-login.php, recentemente attaccato da un brute forse piuttosto massiccio.

  • Ottimo, grazie della segnalazione!

  • prova

    prova

  • Mattia Frigeri

    Grazie dei trucchi, se ti interessa approfondirne qualche altro: http://www.mattiafrigeri.it/articoli/wordpress/wordpress-tutorial-trucchi-rendere-sicuro-sito-1/, buon lavoro!

  • 13VRZ

    Che voi sappiate, esiste un plugin “leggero” che monitora le richieste d’aggiornamento?
    Lo scenario in cui inserisco questa strana richiesta √® la manutenzione per “n” siti con “m” plugin diversi.

  • Mmmm non saprei…sulla repository dei plugin di WordPress hai gi√† provato a cercare e scandagliare per bene i risultati? Nel forum nessuno ha mai parlato di questo argomento?

  • 13VRZ

    Ho trovato https://wordpress.org/plugins/wp-updates-notifier/ ma non l’ho ancora testato

  • Si, dovrebbe fare al caso tuo. Ovviamente dovrai installarlo su tutti gli “n” siti di cui parlavi, ma ad ogni modo dovrebbe fare il suo dovere in modo semplice e, appunto, leggero.
    Se noti, nella descrizione ti dice proprio: “Monitors your WordPress installation for core, plugin and theme updates and emails you when they are available. This plugin is ideal if you don’t login to your WordPress admin regularly or you support a client’s website.”