Realizzazione e Creazione Siti Wordpress

SICUREZZA WORDPRESS



(Aggiornato il 08/07/2016)
La sicurezza wordpress dovrebbe essere presa in considerazione in modo importante tanto quanto prendete in considerazione le giuste impostazioni per creare un sito funzionale, sia per un sito o blog creato con WordPress o con qualsiasi altra piattaforma.

Impostare e gestire impostazioni disicurezza wordpress non si dovrebbe fare perché è consigliato o perché è obbligatorio ma semplicemente perché state proteggendo il vostro lavoro e vi state proteggendo per eventuali problemi che potrebbero accadere se qualche malintenzionato decidesse di farvi “sparire” il sito, mettere in sicurezza wordpress vuol anche dire assicurare un buon futuro al vostro sito e dormire sonni tranquilli o quasi.


Prima ancora di pensare a tutte le procedure e le impostazioni di sicurezza wordpress bisogna assolutamente essere sicuri che il proprio computer non sia infetto da virus, worm, trojan, maleware e quant’altro per avere la sicurezza che nessuno possa penetrare nel vostro pc e trovare tutte le informazioni necessarie per poter fare quello che piu gli piace, è inutile avere un sito protetto in ogni suo punto se poi avete falle di sicurezza nel vostro computer che possono essere utilizzate da chiunqe, quindi scansionate il computer con un buon antivirus aggiornato e assicuratevi che sia tutto “normale”.

Altro punto fondamentale per la sicurezza di wordpress,oltre ad utilizzare password complesse e un nome utente che includano numeri, caratteri normali e caratteri speciali per l’accesso al pannello di controllo del vostro sito wordpress, ricordatevi che anche l’accesso al vostro spazio web del vostro hosting deve essere protetto, se avete fatto tutti i passi necessari per la sicurezza del vostro sito e poi non vi siete preoccupati di proteggere l’accesso al vostro hosting sarà tutto inutile.

Ricordatevi sempre, in qualsiasi occasione dobbiate mettere mano a file o al database di wordpress di eseguire sempre una copia di backup di tutti i file e del database.

TENERE AGGIORNATO WORDPRESS:

La prima cosa da fare ancora prima di pensare a tutto il resto è mantenere aggiornata la versione di wordpress. Quante volte lo avete gia letto? Ma in realtà pochi lo fanno, per mancanza di tempo, perche non si ha voglia, oppure perche si rimanda sempre a domani.
Aggiornare WordPress con l’ultima versione significa risolvere falle di sicurezza che sono state corrette, cosi da eliminare eventuali strade possibili per attacchi hacker, cracker e compagni vari.

AGGIORNATE IL TEMA CHE UTILIZZATE:

Un’altra cosa sottovalutata che potrebbe compremettere la sicurezza wordpress è il tema o template che utilizzate per il vostro sito o blog. Una versione gratuita di un tema è il modo piu facile per dire a tutto il mondo: prego entrate le porte sono aperte, questo vale anche per temi e template professionali se non aggiornati, quindi se ne avete disponibilià installate temi wordpress professionali e aggiornati alla versione più recente.

AGGIORNATE I PLUGIN:

Altro controllo da fare per la sicurezza wordpress sono i plugin, che come nel caso di wordpress se non aggiornati possono avere falle di sicurezza, quindi è assolutamente consigliato aggiornare sempre i plugin all’ultima versione disponibile. Altro fattore importante per i plugin e la sicurezza di wordpress è di rimuovere completamente tutti quelli installati che non state utilizzando.

Ebbene si, anche i plugin che non state utilizzando compromettono la sicurezza di wordpress, oltre che ad occupare spazio inutile nel vostro server, in particolar modo perche non ci si preoccupa di aggiornarli visto che non vengono utilizzati ed in questo modo avremo dei file datati e con falle di sicurezza enormi.

IMPOSTAZIONI SICUREZZA WORDPRESS

Le impostazione di sicurezza riportate di seguito sono solo alcune impostazioni di base che qualsiasi sito wordpress dovrebbe avere, in realtà per una sicurezza maggiore le impostazioni da eseguire sono piu complesse e non proprio alla portati di tutti ma già con questi accorgimenti si è ad un buon punto di partenza per una buona sicurezza wordpress.

CAMBIATE IL NOME UTENTE:

Cambiate il nome utente di admin con un’altro nome a vostra scelta e impostate una password complessa che comprenda numeri, lettere, caratteri speciali e possibilmente che sia lunga almeno 12 caratteri.

COME CAMBIARE IL NOME UTENTE:

Nel caso non abbiate impostato un nome utente (username) al momento dell’installazione di WordPress non sarà più possibile cambiarlo se non mettendo mano al database di WordPress.

Attraverso il vostro pannello di controllo PhpAdmin selezionate il database del sito wordpress al quale volete modificare il nome utente, una volta entrati nel database sulla sinistra troverete l’elenco di tutte le tabelle, cliccate sulla tabella “wp_users” e sulla destra vi appariranno i dettagli all’interno della tabella, cliccate su modifica e nella schermata successiva che vi appare cercate il campo “user_login” alla destra del quale troverete scritto il nome utente ancora impostato in “admin“, all’interno di quel campo al posto di admin scrivete il vostro nuovo nome utente di WordPress e cliccate su esegui.

Vedi la Video Guida


COME CAMBIARE LA PASSWORD:

Cambiare la password di wordpress è un’altra buona regola per mettere in sicurezza wordpress, di conseguenza aumentare il livello di sicurezza e ovviamente piu la password è complessa e piu difficile sarà il suo ritrovamento.

Per farlo recatevi nel pannello di amministrazione di wordpress e alla sezione utenti cliccate su “utenti“, nella schermata successiva apparirà la lista utenti, cliccate sul nome utente al quale volete cambiare password e alla schermata successiva a fondo pagina impostate una nuova password e cliccate su “aggiorna profilo“. Ecco un esempio di password complessa di 15 caratteri: !n6i!Oz”k@Q\eF^

Vedi la Video Guida


IMPOSTARE PERMESSI CORRETTI DI FILE E CARTELLE:

Per chi non lo sapesse tutte le cartelle del sito sono settate con dei permessi di scrittura, di esecuzione, di lettura e altri, assicuratevi che questi permessi siano impostati in modo corretto, questo eviterà possibili problemi di sicurezza e che terzi abbiamo la possibilità di scrittura su file importanti.

COME IMPOSTARE I PERMESSI:

Per queste impostazioni potete utilizzare il pannello di controllo del file manager del vostro hosting oppure utilizzare il vostro programma FTP, cliccate con il tasto destro del mouse sulla cartella o sul file, scegliere “Proprietà/CHMOD” oppure “Permessi file” e visualizzare le impostazioni dei permessi ed eventualmente impostarle in modo corretto.

Per queste cartelle e file si consiglia di impostate i permessi come segue:

root directory 755
/wp-includes/ 755
/wp-admin/index.php 644
/wp-admin/js/ 755
/wp-content/themes/ 755
/wp-content/plugins/ 755
/wp-admin/ 755
/wp-content/ 755
.htaccess 644

Per il singolo file wp-config.php presente nella root impostate i permessi in 640.

BLOCCARE L’ACCESSO AL FILE WP-CONFIG.PHP:

Questo file contiene informazioni importanti di sicurezza wordpress ed è importante che nessuno riesca a leggere il contenuto del file quindi per renderlo sicuro si dovrà bloccarne l’accesso da parte di terzi utilizzando il file htaccess.

Per eseguire questa procedura si dovrà editare il file .htaccess attraverso il pannello di controllo oppure scaricando il file utilizzando il vostro programmo FTP preferito, cliccate con il destro sul file, apritelo con un editor di testo e inserite all’interno del file il seguente codice facendo attenzione a non modificare le impostazioni di default di wordpress già inserite all’interno del file:

<files wp-config.php>
order allow,deny
deny from all
</files>


NASCONDETE LA VERSIONE DI WORDPRESS:

Altra buona regola di sicurezza per rendere pià sicuro WordPress è nascondere e rendere invisibile la possibilità di leggere la versione di WordPress che state utilizzando, questa procedura non impedirà in modo assoluto di poter risalire alla versione di WordPress utilizzata ma è un buon modo per rendere il lavoro pià difficile.

COME NASCONDERE LA VERSIONE DI WORDPRESS:

Per eseguire questa procedura di sicurezza serve editare il file functions.php del vostro tema, se non avete possibilità editare il file direttamente da pannello di controllo scaricate il file via FTP, quindi cliccate sul file con il tasto destro e aprite il file con un editor di testo, alla fine del codice appena prima dell’ultimo simbolo come questo ?> inserite il seguente codice:

remove_action (‘wp_head’, ‘wp_generator’);

il risultato finale dovrà essere uguale al seguente:

remove_action (‘wp_head’, ‘wp_generator’); ?>

SICUREZZA WORDPRESS AVANZATA:


RINOMINARE CARTELLA “wp-content” E CAMBIARE POSIZIONE:

La cartella/directory “wp-content” contiene i file dei plugin installati e non, dei temi, i file di lingua i file immagini e altri. È possibile rinominare questa cartella e spostarla in una sotto categoria diversa per rendere difficile il suo ritrovamento aumentando ancora di più il livello di sicurezza wordpress, quindi rinominate la cartella e spostatela, di conseguenza si dovrà editare il file wp-config.php, aprite il file e inserite il seguente codice:


define(‘WP_CONTENT_DIR’, ABSPATH . ‘/nuovadirectory/nuovonome’); // wp-content Directory
define(‘WP_CONTENT_URL’, ‘http://miosito.it/nuovadirectory/nuovonome’); // wp-content URL

PROTEGGERE CARTELLE CON USERNAME E PASSWORD:

Impostare username e password per determinate cartelle crea un livello di sicurezza wordpress molto alto, impostando un accesso con username a password aggiuntivi ad esempio alla cartella admin, significa che ogni volta che vorrete accedere al pannello di controllo di wordpress, oltre alla richiesta dei dati di accesso per wordpress verranno chiesti prima dei dati di accesso impostati da voi tramite un file htaccess e htpasswd, quindi si avranno due nomi utente diversi, due password diverse e di conseguenza due accessi da superare prima di poter accedere al pannello di controllo.

RINOMINARE TABELLE DATABASE DI WORDPRESS

Per prevenire attacchi al proprio sito o blog un’altra buona regola per la sicurezza è quella di
cambiare i prefissi delle tabelle del database utilizzato da WordPress, questo porterà un livello di sicurezza maggiore per prevenire un attacco molto utilizzato chiamato “SQL Injection” che sfrutta proprio queste impostazioni di default di WordPress che nomina le tabelle del database con le iniziali wp.

Questa procedura non è proprio alla portata di tutti, quindi se non siete sicuri delle procedure e su come eseguirle evitate, in caso potete leggere una guida che ho scritto su come rinominare i prefissi tabelle del database di wordpress.

ALTRI ARGOMENTI:



Vietata la Riproduzione.
Protezione Copyright

Sicurezza wordpress Guida Protezioni e impostazioni ultima modifica: 2011-10-17T12:47:05+00:00 da Admin-Fausto
2 Commenti
  1. Salve, mi sto apprestando ad installare WP sul mio hosting.

    Vorrei anche io rinominare le cartelle e seguire le procedure di cui sopra, ma una DOMANDA mi nasce spontanea.

    Dopo avere messo tutto in ” sicurezza ” come da procedura sopra riportata,

    COSA ACCADE quando vado ad installare uno o piu PLUG-IN che magari va a cercarsi una cartella di default che non trova piu ?

    COSA ACCADE se decido di aggiornare la Versione di WP ?

    • Salve Andrea, il problema non si pone perché la funzione va inserita con funzione apposita come spiegato nell’articolo nel file wp-confing quindi wordpress in caso di aggiornamenti rileverà automaticamente la posizione della cartella rinominata con il nuovo percorso inserito. Ciao.

Lascia un commento