Sicurezza WordPress: consigli pratici

Oggi vediamo come aumentare e migliorare la sicurezza di WordPress. La sicurezza è uno degli aspetti fondamentali del nostro CMS: non si può tralasciare e deve essere all’ordine del giorno nella nostra “to do list”.

Oltre agli accorgimenti classici, possiamo adottare misure di sicurezza supplementari grazie a semplici ma efficaci righe di codice. Vediamo i passi da seguire.

Proteggere il file wp-config.php

Il file wp-config.php rappresenta uno dei pilastri del nostro CMS: grazie a lui possiamo effettuare modifiche e migliorie tecniche al nostro sistema di gestione contenuti.

Il file wp-config.php è molto importante dal punto di vista della sicurezza: è lui che contiene le informazioni dettagliate del database del nostro blog o sito, dettagli che un malintenzionato potrebbe intercettare e usare per scopi poco nobili.

Per proteggerlo proseguiamo in questo modo: apriamo il file .htaccess (di norma sempre disponibile ed accessibile) ed incolliamo questo codice:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

In questo modo imposteremo un controllo sugli accessi semplice e facile da gestire.

Bloccare l’accesso alle cartelle WP

Le cartelle WordPress di sistema (quelle con prefisso wp-nomecartella) contengono varie informazioni sul nostro sito o blog: per accrescere la sicurezza possiamo interdire l’indicizzazione dai motori di ricerca.

Per fare questo dobbiamo aprire il file robots.txt (disponibile nella root del sito) ed implementare questo codice:

Disallow: /wp-

In questo modo tutti i file, le cartelle  e sottocartelle inizianti con “wp-” non verranno indicizzati dai crawler dei motori di ricerca.

Una piccola nota tecnica: per evitare di deindicizzare anche le immagini (utili per la SEO) possiamo permettere l’accesso solo alla cartella wp-content/uploads/ tramite questo semplice comando:

Allow: /wp-content/uploads/

Rimuovere le informazioni sulla versione in uso

Non tutti sanno che potrebbero esserci problemi di sicurezza a mantenere attive le informazioni sulla versione in uso (visualizzabili ad esempio nel codice sorgente): un malintenzionato potrebbe usare tali dati per sfruttare le vulnerabilità presenti sulle varie release.

Non dimentichiamo che la versione in uso potrebbe essere ricavata anche tramite Feed RSS.

Per evitare questo, bisogna aprire il file functions.php ed inserire queste stringhe di codice:

function no_generator() { return ''; }
add_filter( 'the_generator', 'no_generator' );

Anche il file readme.html (di solito presente nella root del sito) contiene informazioni sulla versione in uso: va pertanto eliminato.

Accesso solo dal proprio indirizzo IP statico

Questa è una misura di prevenzione molto interessante: prevedere l’accesso al proprio blog solo da un determinato indirizzo IP statico.

Per fare questo bisogna creare un file .htaccess ad hoc e posizionarlo nella cartella wp-admin (non modificare il file .htaccess presente nella root del sito).

Incollare all’interno del file questo codice:

# my ip address only
order deny,allow
allow from MIO INDIRIZZO IP (mettere il proprio indirizzo IP)
deny from all

Nota bene: in caso di IP dinamico potrebbero esserci dei fastidi per la modifica continua via FTP delle impostazioni inerenti all’indirizzo.

Disabilitare il directory browsing

Disabilitare Il directory browsing (navigazione all’interno di una directory) è un’operazione di sicurezza basilare e primaria: permette di interdire l’accesso alle cartelle ed ai file in remoto che compongono la struttura di un sito o di un blog.

Lo svolgimento è molto semplice, basta aprire il file .htaccess ed implementare 2 righe di codice:

# disable directory browsing
Options All Indexes

Norme da non dimenticare mai

Per aumentare ulteriormente il livello di protezione di WordPress non dobbiamo dimenticare alcune regole standard.

ID per il login

L’ID per il login alla piattaforma deve essere modificato dopo il primo accesso: il classico nickname “admin” non va bene, in quanto è facilmente intuibile.

Aggiornamento del CMS

Bisogna ricordarsi di aggiornare sempre all’ultima versione disponibile  il proprio CMS: un’operazione di breve durata che vi ripara da futuri grattacapi.

Cancellare il file di installazione

Il file install.php (wp-admin/install.php) può essere tranquillamente cancellato dopo l’installazione di WordPress: potrebbe rendere il vostro blog vulnerabile agli attacchi.

Usare una password forte

Scegliete una password d’accesso forte: evitate date di nascita o altre informazioni facilmente riconducibili a voi. Preferite password con lettere maiuscole e minuscole, numeri e segni d’interpunzione (-_ @).

Lascia un commento

Tutti i campi sono obbligatori.
L'indirizzo email non verrà pubblicato

 

Commenti

  1. avatarFede

    Articolo molto interessante!

    Mi stavo chiedendo però..come è possible mantenere un buon livello di sicurezza e allo stesso tempo usare i file robots e la sitemap per essere ben indicizzati sui motori di ricerca?

    Ad esempio, vorrei disabilitare il directory browsing in modo che altri non vedano la struttura del mio sito d eventuali plugin/temi utilizzati…ma così facendo impedisco l’accesso anche agli spider dei motori?

  2. avatarPaolo

    Ciao Fede, i contenuti che tu pubblichi sono la vetrina del tuo sito, ovvero gli elementi che i motori di ricerca indicizzano, e che poi, se ben prodotti, saranno la base per il posizionamento.

    Tu in questo caso blocchi l’accesso alle cartelle e alla parte “tecnica”, ma non alle informazioni per gli utenti (pagine, articoli e simili). ;)

    Ciao e grazie del tuo commento. Buon Natale e sereno anno nuovo, Paolo.

  3. Pingback: Amministrare un database WordPress con phpMyAdmin - blog.artera.net

  4. Pingback: Artera Rewind: I nostri tutorial Wordpress - blog.artera.net