Esistono numerosi plugin di sicurezza per wordpress, però è bene considerare alcuni accorgimenti, che prescindono da questi, che ci permettono di incrementare la sicurezza del nostro blog. Vi raccomando di procedere sempre ad effettuare una copia di backup del vostro file .htaccess prima di procedere con qualsiasi intervento.

Consigli per la sicurezza del vostro blog

Nome di Login

Mi raccomando, non usate “admin” come username dell’account principale… Così facendo aumentate il tempo di lavoro ad un malintezionato che vuole rubarvi l’account, infatti oltre alla password dovrà cercare la vostra username. Se potete è quindi indispensabile far sì che il nome visualizzato e la login differiscano!

Mantenere l’installazione di wordpress aggiornata

Ogni volta che esce una nuova versione di WordPress (localizzata nella vostra lingua) assicuratevi di aggiornarla. Lo stesso vale per i plugin. Salvo casi in cui abbiate alterato o fatto alterare (da qualche sviluppatore) la struttura del plugin, procedete sempre con gli aggiornamenti.

Cancellare i files inutili

Sembra una cosa banale, ma molte persone lasciano i file readme.html nella root di wordpress. Non fatelo, in questo file infatti è contenuta la versione della vostra installazione che potrebbe spalancare molte strade ad un hacker che volesse attaccarvi!

Cancellare i files di installazione

Cancellate tranquillamente il file wp-admin/install.php dal moemento che, una volta terminata l’installazione, non è più necessario e renderebbe solo più vulnerabile il vostro sito.

Usare una password sicura

Ci sono ancora persone che usano “password”come password. Usate qualcosa di difficile da scoprire. Mixate almeno lettere, numeri ed un segno speciale. Evitate che il nome utente compaia anche nella password. La soluzione migliore è quella di creare password molto complesse generate casualmente

Mini Hacks

Alcuni di questi hacks (tranquilli non sono pericolosi ^^) sono realizzati intervenendo sul file .htaccess. Assicuratevi che il vostro hoster garantisca il pieno supporto per agire su questo file.

Proteggere il file wp-config.php

Il vostro wp-config.php contiene le informazioni riguardo al vostro database ed altre informazioni che un poteziale hacker cerca, quindi nel vostro file.htaccess aggiungete:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Bloccare la navigazione delle cartelle wp- a chiunque

Le cartelle col prefisso wp contengono vari pezzi di informazioni del vostro blog, che sicuramente non vi interessa mostrare ai visitatori nè tantomeno agli spider che vorrebbero indicizzarle. Quindi, nel file robots.txt scrivete:

Disallow: /wp-

Rimuovere la versione di wordpress

Aggiungete queste righe al file functions.php:

function no_generator() { return ''; }
add_filter( 'the_generator', 'no_generator' );

Permettere l’accesso all’amministrazione solo dal tuo indirizzo IP

Per fare ciò è inevitabile che abbiate un IP statico… A questo punto create un nuovo file .htaccess nella cartella wp-admin con scritto:

# accesso admin solo per il mio indirizzo ip
order deny,allow
allow from MY IP ADDRESS (sostituite alla scritta in maiuscolo il vostro indirizzo IP)
deny from all

Disabilitare la navigazione nelle cartelle

Alcuni tipi di server permettono la navigazione delle cartelle di default, per ragioni di sicurezza non vogliamo che nessuno ficchi il naso dove non deve, quindi aggiungete all’ .htaccess nella root, di wordpress le seguenti righe:

# disabilita la navigazione nelle cartelle
Options All –Indexes

E’ tutto, non vi resta che correre nella root del vostro wordpress a correggere le dimenticanze 😉