WordPress: come renderlo sicuro in 8 mosse…e addio hackers!

Prima o dopo è capitato o capiterà anche a te che stai gestendo un blog con WordPress: qualcuno ti bucherà il sito! Bene, prima di trovarti con una bella gatta da pelare ti darò qualche consiglio su come prevenire la maggior parte degli attacchi sul tuo WordPress:

  • Inserisci nel file wp-config.php (root della tua installazione) le chiavi univoche di autenticazione. Per farlo vai alla riga 42 del file e trovi le istruzioni per farlo. Bene, fallo e salva il file sul server. Da questo momento tutti gli utenti dovranno ri-autenticarsi per accedere (inserire user e password)
  • Cancella dalla root i file che dicono che versione hai, ovvero: LEGGIMI.txt,license.txt,licenza.html e readme.html… non servono a nulla e, comunicando al potenziale hacker la versione del tuo WP gli fanno capire come poter attaccare.
  • Sul file wp-config.php c’e’ scritto tutto ciò che occorre per connettersi al database: non lasciamo la chiave di casa sotto lo zerbino… nascondiamo questo (ed altri) file da possibili occhi indiscreti. Per rendere inaccessibili i file wp-config.php, .htaccess e per “oscurare” in contenuto di tutte le cartelle basta editare il file .htaccess della root ed aggiungere queste poche righe alla fine:

# Protezione file wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# blocco file htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>

#blocco accesso cartelle
Options All -Indexes

  • Tieni sempre aggiornata l’ultima versione di WordPress e di tutti i plugin che usi
  • Cancella tutti i pluigin non utilizzati e tutti i temi non usati
  • Installa il plugin “Hide WordPress Version” per nascondere la versione del tuo WP
  • Installa il plugin “AntiVirus” ed esegui la scansione del tema in uso alla ricerca di file “sospetti”. Puoi anche farti inviare un report giornaliero della scansione e dormire sonni tranquilli
  • Per finire installa il plugin “Better WP Security” vero portento per mettere il lucchetto al tuo WordPress. Come opzione base, dopo l’installazione del plugin, potrai attivare la procedura automatica per la protezione del sito (nel 90% dei casi tutto va liscio, ma ti consiglio di fare un backup del database e della root se le cose non vanno bene. Il plugin in fatti puo’ entrare in conflitto con temi o altri plugin… prova solo DOPO aver fatto un backup. Con questo ottimo plugin potrai, tra le altre cose:
    • Disabilitare l’amministrazione del sito a determinate ore del giorno
    • Bannare utenti ed IP
    • Cambiare la cartella wp-content con altro nome
    • Pianificare il backup del database
    • Cambiare il prefisso delle tabelle da wp_ ad altro prefisso a random
    • Modificare la pagina di amministrazione (ad esempio www.miosito.it/gestionesito)
    • Limitare i brute force attakcs
    • insomma… una vera manna dal cielo per proteggere il nostro blog!


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

347.8431602