Come Proteggere WordPress da eventuali Hacking


wordpress-logo

Se utilizzate la piattaforma WordPress come me, per il blog o per un sito web probabilmente sapete che ci sono stati un sacco di buchi in fatto di sicurezza, non solo nel software stesso, ma anche per quello che riguarda i plugin. Alla luce di questi problemi, vedremo come impedire tentativi di hacking andando a bloccare la nostra cartella di amministrazione.

Brevi suggerimenti per aumentare la sicurezza del nostro Blog

La sicurezza è importante, ho ritenuto necessario includere alcuni suggerimenti aggiuntivi qui. Questo non è affatto un elenco completo, ma guardateci comunque.

  • Assicurarsi che si sta eseguendo l’ultima versione di WordPress e tutti i tuoi plugin.
  • Assicuratevi che i permessi sui vostri file siano impostati correttamente secondo le linee guida WordPress.
  • Assicuraratevi di utilizzare password difficili per tutti gli account.
  • Assicurarsi di fare il backup dell’intera installazione di WordPress e della relativa banca dati
  • Blocca la tua cartella con la le regole nel file di .Htaccess (questo ve lo spiego adesso).

Assegnamo a mano una password alla cartella wp-admin

Creiamo un file di nome .htaccess sono nella nostra cartella wp-admin, e mettiamoci dentro:

AuthName "Restricted Area"
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile /dev/null
require valid-user

Dovete modificare la linea AuthUserFile, utilizzando l’intero percorso del file .htaccess. Ad esempio mette /var/www/prova/percorso/.htpasswd. Adesso andiamo a creare, appunto, il file .htpasswd.
D’ora in avanti devi usare il file .htpasswd della linea di comando per creare il file delle password. Vorrei anche consigliare di usare un altro account utente e quindi un’altra password rispetto a quella che utilizziamo per l’installazione di WordPress.

$ htpasswd -c .htpasswd mionomeutente
Nuova password:
Riscrivi la nuova password:
Aggiunta la password per l utente mionomeutente

Ovviamente, al posto di mionomeutente, mettiamoci il nome utente che intendiamo usare.

Verrà creato a questo punto un file contenente le varie password per gli utenti che hanno l’accesso al pannello di wp-admin con un aspetto simile al seguente:

mionomeutente : qwerty123456

D’ora in avanti, quando passeremo al nostro account /wp-admin, ci apparirà una finestra dove inserire nome utente e password, diverse rispetto a quelle normalmente richieste per l’accesso all’account.
Se ricevete un errore del server, invece, si dovrete rimuovere il file .htaccess e ricominciare daccapo.
Infine, è necessario assicurarsi di rimuovere i permessi di scrittura entrambi i file con il comando chmod per avere maggiore sicurezza.

chmod 444 .htaccess
chmod 444 .htpasswd

Su dynamicdrive è presente un piccolo tool che ci aiuta a che farà tutto il duro lavoro di creare il file per voi. Ciò è particolarmente utile se non si ha accesso shell per il vostro server, perché si può solo caricare i file via client FTP / SFTP.


Lascia un Commento!