Capita spesso che occorra proteggere la vostra installazione di WordPress, ecco quindi che vi introduciamo alcuni suggerimenti e plugin di sicurezza, che potrete utilizzare a vostra discrezione.
Plugin utili:
- Plugin CHAP Secure Login: Si codifica password utilizzando il protocollo CHAP. Non ha bisogno di configurazione aggiuntiva, si installa e si attiva.
URL: http://wordpress.org/extend/plugins/chap-secure-login/ - Plugin Login Lockdown: Blocca gli IP dopo alcuni errori di autenticazione.
URL: http://wordpress.org/extend/plugins/login-lockdown/ - Plugin WP-DB-Backup: consente di eseguire facilmente il backup delle tabelle del database di WordPress. Si può anche effettuare il backup di altre tabelle nello stesso database.
URL: http://wordpress.org/extend/plugins/wp-db-backup/ - Plugin WP-Security-Scan:. Controlla il vostro sito WordPress alla ricerca di vulnerabilità di sicurezza.
URL: http://wordpress.org/extend/plugins/wp-security-scan/
Consigli utili:
- Proteggere il vostro file wp-config.php aggiungendo la seguente riga al vostro htaccess.:
< FilesMatch ^wp-config.php$ > Deny from all FilesMatch > - Modificare la password del wp-admin e del DB ogni certo numero di giorni.
- Eliminare le informazioni della vostra versione di WP. Provate a dare un’occhiata al file header.php o quello del vostro tema, e commentate la linea (senza eliminarlo).
- Nascondere la directory wp-content: Potete farlo creando un file index.html vuoto in questa directory o creando un htaccess nella stessa cartella e aggiungere la seguente riga.: Options All -Indexes
- Bloccare le directory di WP ai motori di ricerca attraverso il file robots.txt scrivendo la seguente riga nel file:
Disallow: / wp-* - Mantenere aggiornato il vostro WordPress, sempre all’ultima versione.
- Controllare i plugin, assicurandosi che le siano ufficiali o ben recensiti. Di solito le persone offrono plugin per la comunità, la gente scarica e non si rende conto che il plugin contiene vari strumenti di hacking o di spamming.
- Utilizzare SFTP: Sostituire la connessione FTP con SFTP, che invia le informazioni caricate al nostro server in modo sicuro. (Nota: È necessario cambiare la porta a 22, e abilitare l’accesso Bash)
Informazioni supplementari
- Guida ufficiale sulla sicurezza di WordPress: http://codex.wordpress.org/Hardening_WordPress
- Plugin WordPress Firewall: http://wordpress.org/extend/plugins/wordpress-firewall-2/
Questo plugin WordPress simula le richieste web con semplici euristiche specifiche per WordPress per identificare e fermare gli attacchi più evidenti. - Plugin Postlogger For WordPress: http://www.village-idiot.org/archives/2008/04/16/postlogger-for-wordpress/
Questo plugin vi sembrerà inutile fino a quando il vostro WordPress viene hackerato. Se vi capita di utilizzare questo plugin, registrando attivamente tutte le variabili $POST, e la vostra installazione di WordPress viene compromessa, sarete in grado di tornare indietro e vedere effettivamente dove e come l’exploit si è verificato. Armati di queste informazioni, è possibile fornire i dati agli sviluppatori di WordPress. - Plugin BulletProof Security: http://wordpress.org/extend/plugins/bulletproof-security/
Protegge il vostro sito WordPress contro attacchi XSS, RFI, CRLF, CSRF, Base64, injection del codice e tentativi di SQL injection.
Ci auguriamo che questi spunti vi aiutino ad aumentare la sicurezza del vostro sito WordPress