Aumentare Sicurezza del Blog Impostando con CHMOD i Permessi WordPress


Come si può Aumentare il Livello di Sicurezza WordPress?

sicurezza wordpressEcco dei semplici consigli su come poter cambiare i permessi CHMOD nel caso di installazione WordPress su server Apache. I file e le directory in Unix possono avere tre tipi di permessi: lettura (‘r‘), scrittura (‘w‘), ed esecuzione (‘x‘).

Ogni autorizzazione può essere su “ON” od “OFF’” per ciascuna delle tre categorie di utenti:

  • il proprietario del file (o delle cartelle);
  • altre persone nello stesso gruppo del proprietario,
  • tutti gli altri.

Generalmente si considera che:

  • Se un file o una cartella è scrivibile, l’installazione di WordPress è non è sicura, 
  • se vengono cambiati i permessi di qualsiasi file o cartella, l’installazione non è sicura.

Per aumentare la sicurezza del Blog WordPress ecco come procedere:

  • NON utilizzare plugin che hanno bisogno di scrivere qualcosa al server.
  • NON utilizzare il plugin integrato per il backup, che permette di salvare file di backup sul server ma utilizzarne un altro che non salvi i backup sul server ma in locale, come WP-DB-Backup che oltre ad effettuare backup del database del blog in maniera automatica, programmabile dall’utente. Prevede l’invio di e-mail di avviso.
  • Utilizzare WP-DBManager: permette di ottimizzare/riparare/salvare/ripristinare il database  del proprio blog attraverso la dashboard.
  • Le cartelle devono avere le autorizzazioni settate a 755MAI a 777!
  • Tutti i file devono avere i permessi a 644.
  • NON utilizzare l’editor nativo di WordPress.
  • Se si desidera utilizzare l’editor integrato, i file di tema devono avere come autorizzazioni a 666MAI 777!
  • Cambiare il prefisso delle tabelle del database di WP: Il prefisso utilizzato in maniera predefinita da WordPress per le sue pagine è “wp”; con WP security Scan potrete cambiarlo a vostro piacimento e mettere in sicurezza il vostro blog.

Mettere in sicurezza la cartella wp-content/uploads/

Se vogliamo caricare i file delle immagini direttamente dall’editor di WordPress quando scriviamo gli articoli, bisogna creare un file .htacces e metterlo direttamente nella cartella che vogliamo proteggere, in questo modo possiamo evitare che eventuali file php caricati su wp-content/uploads/ possano essere eseguiti:

Order Deny,Allow
Deny from all

Questo tecnica può essere applicata a tutte le estensioni di file da bloccare nella cartella.