Connect with us

Bismark.it – Il magazine su Sicurezza Digitale e Tecnologia

How to

10 Consigli su come rendere sicuro WordPress

WordPress e’ la maggiore piattaforma usata per creare blog o siti di vari contenuti. In questa guida cercheremo di darvi dei consigli per mettere in sicurezza il vostro blog.

Installazione
L’installazione richiede pochissimi secondi ormai essendo totalmente automatizzata. Prestate attenzione a configurare i permessi per wp-config.php con chmod 644.

Aggiornamenti
Effettuate tutti gli aggiornamenti consigliati dal software, sia del core principale che dei relativi plug-in installati. Prestate particolare attenzione all’aggiornamento del core effettuando il backup di file e database. Un maggiore aiuto lo trovate qui.

Area Admin
Chiudete l’area wp-admin privatamente
 con una password tramite l’uso .htaccess o potete usare il  plugin AskApache Password Protect:

1) Create 2 file vuoti .htaccess e .htpasswd
2)Generate user e password da questo modulo
3)Aprite il file .htaccess e inserite quanto segue:

AuthName “Restricted Area”
AuthType Basic
AuthUserFile /PATH SERVER/.htpasswd
AuthGroupFile /dev/null
require valid-user

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

4)Aprite il file .htpasswd e inserite username e password precedentemente generati (in questo caso user: test / pass: test)

test:yPISZ9V/5aTI2

5)Inseriteli nella cartella wp-admin. L’area ora e’ protetta. Nei normali ftp tali file saranno visibili dando il comando “-al”

 

 

Plug-in Utili
Una carrellata dei plug-in assolutamente da avere per garantire una buona protezione. Non è necessario installarli tutti. Cercate quello che fa al caso vostro.

– Remove Header Generator (Rimuove dall’header il meta generator di wordpress della versione installata)

Wordfense : Ottimo plugin che funge da scan online e blocca eventuali ip non leciti.

– Antivirus Buona protezione contro exploits o virus injection

– Askimet Protegge da moltissimi tipi di spam

– Exploit Scanner Permette lo scan di tutti i file ed esegue i controlli principali di sicurezza

– WP-Sentinel Il plugin controlla ogni installazione di plug-in e ferma eventuali tentativi di hacking.

– AskApache Password Protect:
Questo plugin aggiunge un secondo strato di sicurezza chiedendo una password per accedere a qualsiasi cosa contenuta nella cartella /wp-admin/. Scrive un file .htaccess e cripta le password in .htpasswd

– Login LockDown:
LoginLockDown registra l’indirizzo IP e l’ora di qualsiasi accesso fallito alla Dashboard della vostra installazione di WordPress. Se più di un certo numero di tentativi sono provati dal medesimo rango di IP, la funzione di login è disabilitata per quel rango.

– WP DataBase Backup:
Questo plugin, esegue il backup del database di MySQL a intervalli regolari e ve lo invia per e-mail. Ottimo per mettersi al riparo da qualsiasi disastro.

– WP Security Scan:
Ottimo plugin che scansiona il vostro blog per eventuali falle di sicurezza: controlla la solidità delle password, del database, nasconde la versione di WordPress (più sotto per i dettagli) e protegge l’utente admin.

Consigli Utili


> Se ne avete possibilità’ prendete un server in housing, i semidedicati o condivisi non sono affidabili.

> Sconsigliamo free hosting. Oltre ad essere potenzialmente pericolosi e avere una miriade di limitazioni, non assicurano i vostri dati e potreste perdere tutto senza alcuna motivazione.

> Controllate mensilmente il codice sorgente dei file

> Le maggiori infezioni provengono da bug conosciuti.

> E’ molto difficile a tutt’oggi avere la root da wordpress, ma se avete l’amministrazione della macchina fate un check .

> Controllate a livello di codice i plug-in, soprattutto quelli meno conosciuti e meno aggiornati  sono piu’ esposti ad eventuali bug.

> Rinomina le tabelle del tuo database WordPress plugin per definire il prefisso delle tabelle / le istruzioni manuali

> Cambiate l’username di default admin.




Continue Reading

More in How to

Advertisement

Top Post

News

To Top