Protezione WordPress

Qui in ServWise, assistiamo ad attacchi quotidiani ai siti Web di WordPress e vediamo regolarmente siti compromessi dagli hacker. Per aiutare i nostri clienti abbiamo compilato un breve elenco di controllo delle principali azioni di sicurezza che tutti i clienti che utilizzano WordPress dovrebbero seguire.

Passaggio 1: tieniti aggiornato.

È di vitale importanza quando si utilizza WordPress che si stia eseguendo l'ultima versione, gli hacker prendono di mira WordPress a causa della sua popolarità e perché è facile per qualcuno senza un'adeguata comprensione della sicurezza creare un sito Web che rende WordPress un obiettivo principale.

Passaggio 2: proteggere i nomi utente e le password

Usa sempre password complesse e individuali per ogni accesso, inclusi i tuoi accessi MySQL. Vediamo regolarmente account del pannello di controllo a cui gli hacker accedono perché la stessa password è stata utilizzata con la connessione MySQL che è memorizzata in testo normale all'interno di wp-config.php. Le password devono contenere almeno 8 caratteri e includere un intervallo di caratteri maiuscoli e minuscoli, numeri e simboli. Non dovresti mai usare admin come nome utente.

Passaggio 3: sposta wp-config.php fuori dalla radice del tuo sito web

wp-config.php contiene tutte le informazioni sulla connettività del database e quindi spostare il file wp-config.php fuori dalla cartella del sito Web pubblico (dove uno script dirottato potrebbe essere in grado di leggerlo) è una buona idea. Se WordPress è installato nella cartella public_html o wwwroot (ad es. /Home/public_html/wp-config.php), puoi semplicemente spostare il file di una cartella sotto (ad es. In /home/wp-config.php) e WordPress troverà automaticamente il file (ricordarsi di dare al file wp-config.php i permessi di lettura per l'utente del dominio). Se il tuo WordPress è archiviato in una sottocartella del tuo sito o desideri archiviare il file altrove, sposta il file e crea un nuovo file wp-config.php con il seguente codice modificato per puntare alla posizione in cui hai spostato l'originale file.

<php
/** Absolute path to the WordPress directory. */
if ( !defined('ABSPATH') )
define('ABSPATH', dirname(__FILE__) . '/');

/** Location of your WordPress configuration. */
require_once(ABSPATH . '../phpdocs/wp-config.php');

Passaggio 4: disabilitare la modifica dei file

WordPress per impostazione predefinita consente agli amministratori di modificare file come plugin e file di temi. Questo è spesso il primo strumento che un hacker utilizzerà una volta ottenuto l'accesso all'amministratore. Puoi disabilitare la modifica inserendo questa riga nel tuo file wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Passaggio 5: disabilitare i plug-in inutilizzati

Se un plug-in è inutilizzato, disabilitarlo.

Passaggio 6: limita l'accesso amministratore al nostro IP

Se hai un indirizzo IP statico, aggiungi quanto segue al tuo file .htaccess per limitare l'accesso dell'amministratore solo al tuo IP, modificalo in modo che 123.123.123.123 sia il tuo indirizzo IP:

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^/wp-admin$
RewriteCond %{REMOTE_ADDR} !^123.123.123.123$
RewriteRule ^(.*)$ – [R=403,L]

se non disponi di un IP statico, puoi comunque utilizzare questa regola aggiornando l'IP tramite FTP / pannello ogni volta che il tuo indirizzo cambia e devi accedere all'amministratore.

Altre cose da fare

Queste e altre tecniche di protezione per WordPress possono essere trovate su http://codex.wordpress.org/Hardening_WordPress
Esistono anche numerosi plug-in di sicurezza che possono essere utili
WordFence: esegue la scansione delle installazioni di WordPress alla ricerca di malware contro un codice WordPress noto. http://wordpress.org/plugins/wordfence/
BruteProtect: bloccante per limitare i comuni attacchi di forza bruta. http://wordpress.org/plugins/bruteprotect/

  • 8 Utenti hanno trovato utile questa risposta
Hai trovato utile questa risposta?

Articoli Correlati

Come rendere sicuro il proprio piano di hosting da attacchi di hackers

I tipici vettori di attacchi utilizzati dagli hacker sono i seguenti: Permessi di file e...

Perché aggiornare il tuo cms?

È importante aggiornare i software che utilizziamo su internet (applicazioni tipo cms e browser)...

Limitare gli attacchi di forza bruta in WordPress

È abbastanza comune per gli hacker tentare scansioni casuali di siti Web per vulnerabilità di...

Come rendere sicuro il tuo sito web

Come host monitoriamo costantemente i nostri sistemi per assicurarci che i servers siano sicuri....

Il mio sito è stato hackerato, cosa faccio?

Prima di tutto niente panico! Poi segui i seguenti passi. Cambia tutte le password per tutti...