Proteggere la tua istallazione WordPress

Una volta soltanto gli hacker potevano penetrare e danneggiare un sito web, adesso chiunque può trovare un tutorial per farlo.

Noi di karmahost prendiamo la sicurezza sul serio, ed abbiamo quindi un sistema per evitare che il tuo sito sia colpito. Siamo in grado di garantire una completa sicurezza, poiché nella maggioranza dei casi dipende da un codice non sicuro o non aggiornato sul tuo account.

Il seguente tutorial tratta la protezione della tua istallazione WordPress.

Punti importanti:

  • Tieni sempre wordpress aggiornato, plugin e temi compresi;
  • Scegli un nome utente diverso da "admin";
  • Cambia spesso la tuo password da amministratore;
  • Assicurati che i plugin che istalli siano recensiti dalla comunity di wordpress, e che siano ancora in fase di sviluppo e che vengano quindi aggiornati;
  • Cambia il prefisso delle tabelle di default come "wp_ ". Se hai già istallato wordpress puoi utilizzare il seguente plugin, https://wordpress.org/plugins/db-prefix-change/.

Aumentare la sicurezza di WordPress

Sotto abbiamo scritto una lista di aggiustamenti e modifiche da applicare alla tu istallazione.

  • Nascondi la versione di wordpress. Puoi farlo utilizzando il plugin, https://wordpress.org/plugins/hide-wordpress-version/;
  • Limita l'accesso all'interfaccia admin, proteggendo la cartella "wp_admin" utilizzando lo strumento apposito che trovi sul cPanel. Puoi trovare una guida tra i nostri tutorials.

NOTA: Nel passo tre tieni a mente che devi eseguire le modifiche al file .htaccess al di fuori dei tag "#BEGIN WordPress" e "#END WordPress". Tutto ciò che viene incluso tra i due tag viene sovrascritto a wordpress.

  • Proteggi l'ingresso alla tua cartella wp_includes, che viene solitamente usata dagli hacker per caricare file malevoli all'interno della tua istallazione. Puoi farlo aggiungendo il seguente codice al tuo file .htaccess. Questo però non funzione per le istallazioni multiutente.
# Block include-only files.

RewriteEngine On

RewriteRule ^wp-admin/includes/ - [F,L]

RewriteRule !^wp-includes/ - [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]

RewriteRule ^wp-includes/theme-compat/ - [F,L]

# End block include-only files
  • Impedisci ai bot dei motori di ricerca di cercare nelle tue directory. Google o altri motori di ricerca possono controllare url che non vuoi che siano controllate, e farle quindi notare agli hacker. Si consiglia di bloccare i motori di ricerca che seguono le indicazioni dei files "robots.txt". E' consigliabile bloccare i motori che seguono le istruzioni del file precedentemente detto, dall'indicizzare alcuni tuoi contenuti. Il file "robot.txt" è un semplice file di testo e si trova nella cartella "root" del tuo account hosting. Aggiungilo alla cartella public_html ed assicurati che abbia i seguenti parametri:
User-agent: *

Crawl-delay: 5

Disallow: /feed/

Disallow: /trackback/

Disallow: /wp-admin/

Disallow: /wp-content/

Disallow: /wp-includes/

Disallow: /xmlrpc.php

Disallow: /wp-*  

Attacchi brute force

Questo genere di attacco e sempre più frequente, e causa il blocchi temporanei degli account da parte dei nostri sistemi di sicurezza che rivelano la minaccia.

Per risolvere questo problema segui la guida sottostante:

  1. Accedi al wp-admin;
  2. Istalla ed attiva il plugin "rename wp-login".

Il plugin precedentemente detto ti richiederà una url personalizzata per accedere al tuo sito web, per esempio, /loginsicuro. Una volta attivato il plugin potrai accedere al tuo sito web con l'url, http://miosito.it/loginsicuro. Per concludere, dovrai modificare il file .htaccess aggiungendo la seguente direttiva.

<FilesMatch "wp-login.php">

Deny from All

ErrorDocument 403 "Forbidden"

Come sicurezza aggiuntiva istalla ed attiva il plugin Bruteprotect (una volta attivato avrete bisogno di un una chiave API per renderlo operativo).

Precauzioni extra

Inoltre è consigliato di istallare i seguenti plugin per una maggiore sicurezza, non devi istallarli tutti, ma soltanto quelli che fanno al caso tuo:

10    Sicurezza, Software Di Terze Parti  
Total 0 Votes:
0

Tell us how can we improve this post?

+ = Verify Human or Spambot ?

Pronto a metterci alla prova?

Prova gratis il nostro servizio per 14 giorni senza nessun impegno
PROVA GRATIS
CONTATTACI
chevron-right linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram