Proteggere la tua installazione WordPress

26 Marzo 2016 / Pubblicato in:  da Ivan Messina
Nessun commento

Alcuni anni fa solo gli hackers erano in grado di danneggiare un sito web. Recentemente chiunque può trovare tutorial online su come penetrare l'installazione di uno script che usa del codice vulnerabile.

Prendiamo la sicurezza sul serio, ed abbiamo implementato un sistema per evitare che la tua applicazione sia colpita. In ogni caso non siamo in grado di garantire una completa protezione del tuo sito web, in quanto può dipendere da del codice non sicuro o non aggiornato sul suo account.

Questo tutorial parla di come proteggere la tua installazione WordPress.

Punti importanti

  • Tieni sempre WordPress aggiornato all'ultima versione, e pure i plugin e temi
  • Crea un nuovo account amministratore con un nome utente diverso da "admin"
  • Cambia la tua password amministratore periodicamente
  • Installa soltanto plugin che sono stati recensiti dalla community di WordPress e che sono ancora in fase di sviluppo e che vengono aggiornati
  • Cambia il prefisso delle tabelle di default quando installi WordPress, invece di usare “wp_”. Se hai già installato WordPress puoi usare il plugin: http://wordpress.org/extend/plugins/db-prefix-change/

Aumentare la sicurezza di WordPress

Sotto una lista di modifiche ed aggiustamenti per la tua installazione WordPress. Leggila con attenzione e segui i vari passi.

1) Nascondi la versione di WordPress. Puoi usare il plugin: http://wordpress.org/extend/plugins/hide-wordpress-version/

2) Limita l'accesso all'interfaccia admin proteggendo la cartella "wp-admin" tramite l'apposito strumento del cPanel. Trovi la guida tra i nostri tutorial

Per il passo 3, tieni presente che devi eseguire le modifiche al file .htaccess fuori dai tag # BEGIN WordPress and # END WordPress. Tutto quello incluso tra i due tag sarà sovrascritto da WordPress.

3) Proteggi l'accesso alla cartella wp-includes. Questo è di solito usato dagli hacker per caricare files malevoli nella tua installazione WordPress. Aggiungi il seguente codice al tuo file .htaccess:

# Block include-only files.

RewriteEngine On

RewriteRule ^wp-admin/includes/ - [F,L]

RewriteRule !^wp-includes/ - [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]

RewriteRule ^wp-includes/theme-compat/ - [F,L]

# End block include-only files



Nota che questo non funziona per le installazioni di WordPress multiutente dal momento che la riga

RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]

Non permette al file ms-files.php le generazione di immagini, eliminando la riga permetti il funzionamento ma è meno sicuro.

4) Blocca i bot dei motori di ricerca di cercare nelle tue directory. google e gli altri motori di ricerca possono controllare url che non vuoi vengano controllate e farle notare agli hackers. Conviene bloccare i motori che seguono le istruzioni del file robots.txt (non tutti lo seguono) dall'indicizzare alcuni dei tuoi contenuti. Il file robot.txt va nella cartella di root del tuo account hosting ed è un semplice file di testo. Aggiungilo alla cartella public_html ed assicurati che abbia i seguenti parametri:

User-agent: *

Crawl-delay: 5

Disallow: /feed/

Disallow: /trackback/

Disallow: /wp-admin/

Disallow: /wp-content/

Disallow: /wp-includes/

Disallow: /xmlrpc.php

Disallow: /wp-*

Attacchi Bruteforce

Questo tipo di attacco sta diventando sempre più frequente ed è causa di blocchi temporanei dell'account da parte dei nostri sistemi di sicurezza che intercettano la minaccia.

Per risolvere il problema è sufficiente seguire questa guida:

1. Accedi a wp-admin

2. Installa ed attiva il plugin rename wp-login

Il plugin ti chiederà di settare una url personalizzata per accedere al suo sito web, es.  /loginsicuro.

Una volta impostato da ora in poi potrai accedere al tuo sito dall'indirizzo

Per finire è necessario modificare il file .htaccess nella directory principale del tuo sito aggiungendo la seguente direttiva:

<FilesMatch "wp-login.php">

Deny from All

ErrorDocument 403 "Forbidden"



Come sicurezza aggiuntiva installa ed attiva il plugin Bruteprotect (è necessario una volta attivato ottenere una chiave API via email per renderlo operativo).

Precauzioni extra

Inoltre ti invitiamo ad installare i seguenti plugins per una ulteriore sicurezza, non devi installarli tutti, ma solo quelli che fanno al caso tuo:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *