Wordpress è ad oggi il cms open source più utilizzato nel web ma purtroppo negli anni è divenuto anche uno delle prede preferite di molti hackers.
In questo articicolo diamo alcuni consigli utili per aumentare la sicurezza del proprio sito.
1.Meno è meglio
Il primo consiglio che possiamo darvi è quello di non riempire il proprio sito di plugin, molto spesso sono le principali porte d'accesso per i vari hackers. Selezionate i plugin attentamente e se avete la possibilità prima esaminateli e testateli.
2.Aggiornamenti continui
Gli aggiornamenti in Wordpress sono molto frequenti, il consiglio è di effettuarli sempre. Inoltre consigliamo di tenere aggiornati anche plugin e temi, soprattutto se gli aggiornamenti riguardano la sicurezza.
3.Strong Password
Utilizzare password d'accesso al pannello di amministrazione complesse e cambiarla regolarmente almeno ogni 30/50 giorni.
4.Commenti?
Se non utilizzate nel vostro sito i commenti di wordpress consigliamo vivamente di disattivarli dalle impostazioni. Se invece gli utilizzate inserite dei buoni filtri antispam.
5.Cambiare Url di Accesso
Cercate di rendere la vita difficile a chi vuole violare il vostro sito. Tutti sanno che per loggarsi in Wordpress si utilizza il percorso 'nomesito/wp-admin', appunto perchè 'tutti lo sanno' è meglio modificare il percorso. Per fare ciò facciamo 3 semplici passaggi:
1. Apriamo il file wp-config e inseriamo:
define('WP_ADMIN_DIR', 'secret-folder');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);
Dove abbiamo scritto 'secret-folder' inseriamo il nome dell'url che vogliamo utilizzare come login.
2. Aggiungiamo al file functions.php del tema in uso:
add_filter('site_url', 'wpadmin_filter', 10, 3);
function wpadmin_filter( $url, $path, $orig_scheme ) {
$old = array( "/(wp-admin)/");
$admin_dir = WP_ADMIN_DIR;
$new = array($admin_dir);
return preg_replace( $old, $new, $url, 1);
}
3. Infine aggiungiamo al file .htaccess:
RewriteRule ^secret-folder/(.*) wp-admin/$1?%{QUERY_STRING} [L]
6.Monitorate il vostro sito
Ci sono degli ottimi plugin che possono monitorare il vostro sito e vi avvisano se rilevano eventuali falle o problemi di sicurezza, ci sentiamo di consigliarvi:
7.Scegliete un buon hosting
Scegliete un buon servizio di hosting, sappiate che state dando il vostro sito nelle loro mani. Considerate i pacchetti di sicurezza che vi offrono(solitamente opzionali).
8.Permessi delle cartelle
Wordrpess consiglia di utilizzare i permessi 755 per le cartelle e 644 per i file, noi vi consigliamo anche di impostare a 600 il file wp-config.php
9.Monitorate i log
Monitorate i file log degli accessi, potete vedere se ci sono alcune stranezze e qualche accesso inconsueto.
10. Disabilitare le REST API
Le REST API di Wordpress sono state inserite nella versione 4.4 e se da un lato sono una funzionalità utilissima, sono anche un rischio elevato in ambito sicurezza. Per chi non lo sapesse le rest Api servono allo scambio di dati tra diverse applicazioni (ad esempio tra il nostro sito wordpress e un'applicazione mobile).
Se però il nostro sito Wordpress non deve dialogare con applicazioni esterne è molto consigliabile disattivare questa funzionalità.
Ci sono più modi per effettuare questa operazione, noi vi proponiamo il plugin Disable Rest api.
Queste sono solo alcune delle tante cose che si possono fare per mettere in sicurezza il prorpio sito, vi consigliamo di prenderle in considerzazione perchè mai come in questi casi il detto meglio prevenire che curare risulta veritiero.
Commenti
Ancora nessun commento per questo articolo