Protezione WordPress

Vediamo tutti giorni attacchi a siti web costruiti con Wordpress e regolarmente vediamo siti web compromessi da hackers. Per aiutare i nostri clienti abbiamo messo su una lista di controlli da fare se si utilizza la piattaforma Wordpress.

Passo 1: Fare gli aggiornamenti
È di vitale importanza se utilizzi Wordpress tenerlo sempre aggiornato all'ultima versione. Gli hackers attaccano Wordpress perché il suo utilizzo è molto diffuso e perché  è molto facile realizzare un sito web con Wordpress anche per chi non ha adeguate conoscenze sulla sicurezza.

Passo 2: Creare nomi utenti e Password sicuri
Utilizzare sempre password complesse e individuali per ogni login, inclusi i dati di accesso a MySQL. Vediamo regolarmente gli hackers accedere a degli account dal pannello di controllo , perché  è stata utilizzata la stessa password per la connessione a mysql che viene memorizzata in un file testo non criptata all'interno del wp-config.php.

Le password devono essere di almeno 8 caratteri maiuscoli e minuscoli e includere numeri e simboli. Non si dovrebbe mai usare admin come nome utente.

Passo 3: Sposta wp-config.php fuori dalla root del sito web
wp-config.php contiene tutte le informazioni sulla connessione del tuo database e quindi e' una buona idea spostarlo fuori la cartella pubblica del tuo sito web ( dove un hijacked script potrebbe essere in grado di leggerlo).
Se Wordpress è installato nella cartella wwwroot o public_html ( es.: /home/public_html/wp-config.php) si può spostare semplicemente il file in una cartella sotto  (es.: /home/wp-config.php) e Wordpress trova il file in automatico. Se Wordpress risiede in una sottocartella del tuo sito o vuoi spostarlo altrove, sposta il file e crea un nuovo file wp-config.php con il seguente codice modificato per puntare all'ubicazione dove hai spostato il file originale.
----------------

<php
/** Absolute path to the WordPress directory. */
if ( !defined('ABSPATH') )
define('ABSPATH', dirname(__FILE__) . '/');

/** Location of your WordPress configuration. */
require_once(ABSPATH . '../phpdocs/wp-config.php');

----------------

Step 4: Disabilita File Editing

Wordpress come impostazione predefinita permette agli amministratori di modificare files come plugins e theme. Questo è spesso il primo strumento che gli hackers utilizzano una volta che hanno ottenuto accesso all'admin. Tu puoi disabilitare l'editing inserendo seguente riga nel tuo file wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Step 5: Disabilita plug-ins inutilizzati

Se un plug-in non è utilizzato disabilitalo.

Step 6: Altre cose da fare

Queste e altre tecniche di fissaggio per wordpress sono disponibili all'indirizzo http://codex.wordpress.org/Hardening_WordPress
Ci sono anche una serie di plug-in di sicurezza che possono essere utili
WordFence: esegue la scansione alla ricerca di malware installato wordpress contro conosciuta buon codice wordpress. http://wordpress.org/plugins/wordfence/
BruteProtect: bloccante per limitare gli attacchi comuni di forza bruta. http://wordpress.org/plugins/bruteprotect/

  • 8 Utenti hanno trovato utile questa risposta
Hai trovato utile questa risposta?

Articoli Correlati

Come rendere sicuro il proprio piano di hosting da attacchi di hackers

I tipici vettori di attacchi utilizzati dagli hacker sono i seguenti: 1. Permessi di file e...

Perché aggiornare il tuo cms?

È importante aggiornare i software che utilizziamo su internet (applicazioni tipo cms e...

Come rendere sicuro il tuo sito web

Come host monitoriamo costantemente i nostri sistemi per assicurarci che i servers siano...

Consigli generali di sicurezza

Non ci sarebbe neanche il bisogno di dirlo, che la protezione del sito web è estremamente...

Limiting brute force attacks in WordPress

It is quite common for hackers to attempt random scans of websites for common security...