WordPress è sicuramente una delle piattaforme di blogging più utilizzate e ben fatte al mondo. Proprio questa sua enorme diffusione, come sempre accade in questi casi, ha svelato varie vulnerabilità che potrebbero in qualsiasi momento compromettere la sicurezza dei blog basati su questa piattaforma.
Ovviamente gli aggiornamenti di WordPress cercano quanto più possibile di turare tutte le falle scoperte, ma quando si parla di sicurezza informatica non si può stare mai tranquilli al 100%. Ecco perché oggi noi di Geekissimo vogliamo consigliarvi 6 modi per mettere in sicurezza i blog WordPress in maniera facile e veloce. Insomma, quel poco per essere sicuri di aver fatto tutto il possibile per l’incolumità della proprio blog. Buona lettura a tutti!
1. Creare un file .htaccess nella cartella /wp-admin/ inserendo in esso il seguente codice:
Questo vieterà la visione dei dati sensibili a chi non ne ha il permesso.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<limit GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</limit>Questo vieterà la visione dei dati sensibili a chi non ne ha il permesso.
2. Creare un file vuoto chiamandolo index.html nella cartella /wp-content/plugins/ per vietare la visione dei plug-in installati nel blog a chi non ne ha il permesso.
3. Installare il plug-in Login LockDown che permette di tracciare tutti i dati (come l’IP) di coloro che accedono al pannello di amministrazione del blog. Molto utile nel caso qualcuno tentasse di entrare abusivamente nel pannello di amministrazione del blog forzando la password.
4. Utilizzare una password da amministratore molto difficile da individuare.
5. Tenere sempre aggiornata la propria versione di WordPress.
6. Nascondere il numero della versione di WordPress installata grazie al plugin bs-wp-noversion. Molto utile in quanto non da punti di riferimento a potenziali cracker che volessero sfruttare le vulnerabilità peculiari di talune versioni di WordPress.
Fonti: Daily Blog Tips | Epiblogger
#1PJ
Il punto 2 è molto importante, mi fa strano che nell’installazione standard lascino questa possibilità. Tra l’altro lo stesso problema lo soffre la directory dei temi.
#2k76
aggiungerei anche una bella pulizia di alcuni file
vedi readme.htm, install.php, upgrade.php etc etc
anche la licenza se possibile.
#3Luckytto
Il codice sopra, se non erro, permette l’accesso solo a determinati indirizzi ip, ma per chi ha l’ip dinamico non è un problema? Parlo da inesperto ovviamente.
#4camu
Io per impedire l’accesso alle aree riservate, ho messo questi comandi nell’htaccess principale…
# Allow access to admin area only from given IP addresses
RewriteCond %{REQUEST_URI} ^/wp-login.* [OR]
RewriteCond %{REQUEST_URI} ^/wp-admin.* [OR]
RewriteCond %{REQUEST_URI} ^/wp-include.* [NC]
RewriteCond %{REMOTE_ADDR} !123\.143\.12\.[0-9]{1,3}
#5stew
io uso un redirect permanente quindi per il punto 2 non ho problemi, se qualcuno accede a quella pagina viene girato in home
#6Matt Brolyen
Vi siete accorti quante volte usate l’espressione: “Noi di Geekissimo”? XD
#7Phebo
Grazie della preziosa segnalazione.
Ne farò buon uso dei vostri suggerimenti.
Soprattutto alla luce del fatto che sono nuovo del mondo wordpress (prima stavo con Joomla).
Ciao.
#8Scibiz
Oggi per me è la giornata wordpress… sto provando una moltitudine di plugins.
Devo dire che quelli consigliati sono tutti degli ottimi tools. Thanks!
#9Software
Grazie per le informazioni!