Proteggi la tua installazione di wordpress
Alcuni anni fa, solo gli hacker erano in grado di “defacciare siti” o renderli offline grazie al loro livello di conoscenza dei sistemi informatici, di networking e di codifica.
Negli ultimi anni, però, le cose sono cambiate e oggi chiunque può trovare su Internet tutorial, che mostrano procedure passo-passo per penetrare siti web che utilizzano software vulnerabili.
Noi de IlTuoSpazioWeb, prendiamo sul serio la sicurezza, proprio per questo abbiamo implementato diversi sistemi per proteggere le tue applicazioni web. Tuttavia, non possiamo proteggere ogni “pezzo” di software che i clienti utilizzano per i loro siti, purtroppo non c’è nessun modo di garantire la protezione TOTALE dei tuoi siti web, a causa di vulnerabilità derivanti da aggiornamenti non effettuati, di plugin mal codificati o di codici personalizzati.
Questo tutorial si propone di concentrarsi su una delle più famose applicazioni web comunemente utilizzate da molti utenti di nome WordPress.
In questo articolo troverai alcuni consigli e suggerimenti che ti aiuterano ad aggiungere un ulteriore livello di sicurezza per il tuo sito realizzato con WordPress.
Punti importanti
- Tenere sempre aggiornata la tua versione di WordPress, tra cui anche tutti i plugin che hai installato.
- Creare un nuovo utente amministratore con un nome utente personalizzato e quindi eliminare l’utente di default ‘admin’, molti attacchi cercano proprio di colpire questa utenza.
- Modificare regolarmente la password dell’account admin.
- Installate solo i plugin che sono ben esaminati dalla comunità di WordPress e sono sviluppati ed aggiornati attivamente.
- Durante l’installazione di WordPress, modificare il prefisso predefinito delle tabelle del database. Tutte le installazioni di WordPress usano come prefisso del database “wp_” che rende il lavoro di un hacker molto semplice. È possibile cambiare questo prefisso a vostro piacimento in fase di installazione, ma se avete già installato wordpress questo plugin può facilmente aiutarti a cambiare il prefisso delle tabelle di WordPress con pochi clic http://wordpress.org/extend/plugins/db-prefix-change/
Proteggi il tuo WordPress
Di seguito è riportato un elenco di modifiche da compiere per la tua installazione di WordPress. Leggilo con attenzione e, se hai domande, non esitare a metterti in contatto con il nostro team di supporto prima di procedere.
1) Nascondi la versione di WordPress. Nascondere la versione di WordPress rende più difficile per i bot che raccolgono informazioni sul tuo sito individuare se la versione è vulnerabile. È possibile utilizzare il seguente plugin che lo farà per te: http://wordpress.org/extend/plugins/hide-wordpress-version/
2) Limitare l’accesso alla directory “wp-admin” utilizzando per esempio lo strumento di protezione del cPanel.
Per i punti 3 e 4, si prega di tenere presente che le modifiche apportate al file .htaccess deve essere posto al di fuori dei tag # BEGIN WordPress e # END WordPress. Qualunque cosa scritta tra questi tag può essere sovrascritta da WordPress.
3) Accesso sicuro ai file inserendo le seguenti righe nel file .htaccess all’interno della directory di installazione di WordPress:
<files .htaccess wp-config.php> order deny,allow deny from all </files>
4) Accesso sicuro alla tua wp-includes (directory di wordpress). Gli hacker sono soliti inserire dei file “maligni” se trovano una installazione vulnerabile. Inserisci le seguenti righe nel file .htaccess all’interno della directory di installazione di WordPress.
# Block include-only files. RewriteEngine On RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] # End block include-only files
Fai attenzione perchè questa modifica non lavora bene applicata alle versioni Multisite di WordPress. La riga RewriteRule ^wp-includes/[^/]+.php$ – [F,L] impedirà al file ms-files.php di generare immagini. Omettendo questa linea di codice farà sì che esso funzioni ma ti offrirà meno sicurezza.
5) Impedire ai bot dei motori di ricerca di leggere le directory. Google ed altri motori di ricerca possono mettere in evidenza alcuni URL o delle directory nascoste ed esporle agli hacker. Devi creare il robot.txt e lo devi inserire all’interno della cartella public_html accertandoti che abbia i seguenti paramentri:
User-agent: * Crawl-delay: 5 Disallow: /feed/ Disallow: /trackback/ Disallow: /wp-admin/ Disallow: /wp-content/ Disallow: /wp-includes/ Disallow: /xmlrpc.php Disallow: /wp-*
Ulteriori precauzioni
Per raggiungere un ulteriore livello di sicurezza ti consigliamo di installare i seguenti plug in nella tua configurazione di WordPress.
Fai attenzione perchè non è necessario installarli tutti, basta scegliere quelli più idonei alle tue esigenze:
http://wordpress.org/extend/plugins/limit-login-attempts/ – Limita i tentativi di accesso bloccando gli indirizzi IP dopo diversi errori di autenticazione.
http://wordpress.org/extend/plugins/stealth-login-page/ – personalizza l’indirizzo della pagina di accesso con un indirizzo che solo tu conosci.
http://wordpress.org/extend/plugins/bulletproof-security/ – Security BulletProof protegge il tuo sito creato con WordPress da tentativi di hacking: XSS, RFI, CRLF, CSRF, Base64, Code Injection e SQL Injection ed altri.
http://wordpress.org/extend/plugins/wordfence/ – Wordfence Security è un plugin gratuito per la sicurezza di WordPress che include un firewall, la scansione anti-malware e la scansione di URL dannosi.
Wordfence è l’unico plugin WordPress in grado di verificare e riparare i file di base, temi e plugin, anche se non si dispone di un backup.
http://wordpress.org/extend/plugins/better-wp-security/ – Better WP Security, in un unico plug-in garantisce che il maggior numero di “falle di sicurezza” siano colmate, senza ulteriori preoccupazioni.
Confidiamo che questo articolo ti sia stato utile, il nostro team di tecnici è a tua disposizione 24/7 per rispondere alle tue domande.