Esistono numerosi plugin di sicurezza per wordpress, però è bene considerare alcuni accorgimenti, che prescindono da questi, che ci permettono di incrementare la sicurezza del nostro blog. Vi raccomando di procedere sempre ad effettuare una copia di backup del vostro file .htaccess prima di procedere con qualsiasi intervento.
Consigli per la sicurezza del vostro blog
Nome di Login
Mi raccomando, non usate “admin” come username dell’account principale… Così facendo aumentate il tempo di lavoro ad un malintezionato che vuole rubarvi l’account, infatti oltre alla password dovrà cercare la vostra username. Se potete è quindi indispensabile far sì che il nome visualizzato e la login differiscano!
Mantenere l’installazione di wordpress aggiornata
Ogni volta che esce una nuova versione di WordPress (localizzata nella vostra lingua) assicuratevi di aggiornarla. Lo stesso vale per i plugin. Salvo casi in cui abbiate alterato o fatto alterare (da qualche sviluppatore) la struttura del plugin, procedete sempre con gli aggiornamenti.
Cancellare i files inutili
Sembra una cosa banale, ma molte persone lasciano i file readme.html nella root di wordpress. Non fatelo, in questo file infatti è contenuta la versione della vostra installazione che potrebbe spalancare molte strade ad un hacker che volesse attaccarvi!
Cancellare i files di installazione
Cancellate tranquillamente il file wp-admin/install.php dal moemento che, una volta terminata l’installazione, non è più necessario e renderebbe solo più vulnerabile il vostro sito.
Usare una password sicura
Ci sono ancora persone che usano “password”come password. Usate qualcosa di difficile da scoprire. Mixate almeno lettere, numeri ed un segno speciale. Evitate che il nome utente compaia anche nella password. La soluzione migliore è quella di creare password molto complesse generate casualmente
Mini Hacks
Alcuni di questi hacks (tranquilli non sono pericolosi ^^) sono realizzati intervenendo sul file .htaccess. Assicuratevi che il vostro hoster garantisca il pieno supporto per agire su questo file.
Proteggere il file wp-config.php
Il vostro wp-config.php contiene le informazioni riguardo al vostro database ed altre informazioni che un poteziale hacker cerca, quindi nel vostro file.htaccess aggiungete:
<Files wp-config.php> order allow,deny deny from all </Files>
Bloccare la navigazione delle cartelle wp- a chiunque
Le cartelle col prefisso wp contengono vari pezzi di informazioni del vostro blog, che sicuramente non vi interessa mostrare ai visitatori nè tantomeno agli spider che vorrebbero indicizzarle. Quindi, nel file robots.txt scrivete:
Disallow: /wp-
Rimuovere la versione di wordpress
Aggiungete queste righe al file functions.php:
function no_generator() { return ''; } add_filter( 'the_generator', 'no_generator' );
Permettere l’accesso all’amministrazione solo dal tuo indirizzo IP
Per fare ciò è inevitabile che abbiate un IP statico… A questo punto create un nuovo file .htaccess nella cartella wp-admin con scritto:
# accesso admin solo per il mio indirizzo ip order deny,allow allow from MY IP ADDRESS (sostituite alla scritta in maiuscolo il vostro indirizzo IP) deny from all
Disabilitare la navigazione nelle cartelle
Alcuni tipi di server permettono la navigazione delle cartelle di default, per ragioni di sicurezza non vogliamo che nessuno ficchi il naso dove non deve, quindi aggiungete all’ .htaccess nella root, di wordpress le seguenti righe:
# disabilita la navigazione nelle cartelle Options All –Indexes
E’ tutto, non vi resta che correre nella root del vostro wordpress a correggere le dimenticanze 😉