Archivi categoria: Wordpress

Alcuni plugin di sicurezza WordPress

Capita spesso che occorra proteggere la vostra installazione di WordPress, ecco quindi che vi introduciamo alcuni suggerimenti e plugin di sicurezza, che potrete utilizzare a vostra discrezione.

Plugin utili:

  • Plugin CHAP Secure Login: Si codifica password utilizzando il protocollo CHAP. Non ha bisogno di configurazione aggiuntiva, si installa e si attiva.
    URL: http://wordpress.org/extend/plugins/chap-secure-login/
  • Plugin Login Lockdown: Blocca gli IP dopo alcuni errori di autenticazione.
    URL: http://wordpress.org/extend/plugins/login-lockdown/
  • Plugin WP-DB-Backup: consente di eseguire facilmente il backup delle tabelle del database di WordPress. Si può anche effettuare il backup di altre tabelle nello stesso database.
    URL: http://wordpress.org/extend/plugins/wp-db-backup/
  • Plugin WP-Security-Scan:. Controlla il vostro sito WordPress alla ricerca di vulnerabilità di sicurezza.
    URL: http://wordpress.org/extend/plugins/wp-security-scan/

Consigli utili:

  • Proteggere il vostro file wp-config.php aggiungendo la seguente riga al vostro htaccess.:
    < FilesMatch ^wp-config.php$ > Deny from all
  • Modificare la password del wp-admin e del DB ogni certo numero di giorni.
  • Eliminare le informazioni della vostra versione di WP. Provate a dare un’occhiata al file header.php o quello del vostro tema, e commentate la linea (senza eliminarlo).
  • Nascondere la directory wp-content: Potete farlo creando un file index.html vuoto in questa directory o creando un htaccess nella stessa cartella e aggiungere la seguente riga.: Options All -Indexes
  • Bloccare le directory di WP ai motori di ricerca attraverso il file robots.txt scrivendo la seguente riga nel file:
    Disallow: / wp-*

  • Mantenere aggiornato il vostro WordPress, sempre all’ultima versione.
  • Controllare i plugin, assicurandosi che le siano ufficiali o ben recensiti. Di solito le persone offrono plugin per la comunità, la gente scarica e non si rende conto che il plugin contiene vari strumenti di hacking o di spamming.
  • Utilizzare SFTP: Sostituire la connessione FTP con SFTP, che invia le informazioni caricate al nostro server in modo sicuro. (Nota: È necessario cambiare la porta a 22, e abilitare l’accesso Bash)

Informazioni supplementari

  • Guida ufficiale sulla sicurezza di WordPress: http://codex.wordpress.org/Hardening_WordPress
  • Plugin WordPress Firewall: http://wordpress.org/extend/plugins/wordpress-firewall-2/
    Questo plugin WordPress simula le richieste web con semplici euristiche specifiche per WordPress per identificare e fermare gli attacchi più evidenti.
  • Plugin Postlogger For WordPress: http://www.village-idiot.org/archives/2008/04/16/postlogger-for-wordpress/
    Questo plugin vi sembrerà inutile fino a quando il vostro WordPress viene hackerato. Se vi capita di utilizzare questo plugin, registrando attivamente tutte le variabili $POST, e la vostra installazione di WordPress viene compromessa, sarete in grado di tornare indietro e vedere effettivamente dove e come l’exploit si è verificato. Armati di queste informazioni, è possibile fornire i dati agli sviluppatori di WordPress.
  • Plugin BulletProof Security: http://wordpress.org/extend/plugins/bulletproof-security/
    Protegge il vostro sito WordPress contro attacchi XSS, RFI, CRLF, CSRF, Base64, injection del codice e tentativi di SQL injection.

Ci auguriamo che questi spunti vi aiutino ad aumentare la sicurezza del vostro sito WordPress

Come proteggere WordPress dagli attacchi a forza bruta distribuiti

Un attacco a forza bruta su WordPress si ha quando un potenziale hacker cerca di ottenere l’accesso al vostro pannello di amministrazione effettuando una serie di tentativi di login provando tutte le combinazioni user/password a disposizione. Naturalmente dopo aver tentato le più scontate (admin/admin, admin/pass, admin/123456…) utilizzerà un software generatore di password che, state sicuri, saturerà ben presto le risorse che il vostro piano hosting vi mette a disposizione.

Continua la lettura di Come proteggere WordPress dagli attacchi a forza bruta distribuiti

Un set di plugin WordPress essenziali

Ecco un insieme di plugin di cui un’installazione WordPress non può fare a meno. Contattateci se avete bisogno di assistenza all’installazione o alla configurazione, siamo al vostro servizio!

Akismet

Il plugin anti-spam per eccellenza, già installato di default con WordPress. Occorre registrarsi gratuitamente sul sito per ottenere una Akismet-key, un codice alfanumerico necessario per l’attivazione del plugin.

Google Analyticator

Aggiunge il codice necessario per abilitare Google Analytics, inserendo un tag all’interno di ogni pagina del sito. Dopo l’attivazione del plugin dovrete autenticarvi col vostro account Google, selezionare il dominio da monitorare e il gioco è fatto.

Google XML Sitemaps

Il plugin genera una sitemap in formato XML e comprensibile dagli spider dei motori di ricerca: aiuterà il vostro sito ad essere indicizzato su Google, Bing e Yahoo. E’ possibile configurare il plugin in modo da ricreare una sitemap ogni volta che viene aggiunto un nuovo articolo o una nuova pagina.

Limit Login Attempts

Un plugin di sicurezza, pone un limite massimo sui login errati al pannello di admin. Così facendo si eliminano gli attacchi a forza bruta provenienti da un unico ip. Di default ogni volta che 4 tentativi di login non vanno a buon fine, inibisce l’accesso all’area di amministrazione per 20 minuti.

Related Posts by Zemanta

Per abbassare la frequenza di rimbalzo è buona prassi cercare di mantenere il lettore sul sito il più possibile: per questo Zemanta crea una lista di articoli correlati con l’anteprima, in modo che l’utente possa visualizzare altre pagine anziché andarsene.

Tag Excess

Permette di evitare la penalizzazione di Google relativa al troppo uso di tag, tagliando quelli meno utilizzati in modo da restare nel rapporto 5:1 tra articoli e tag.

Shadowbox JS

Permette la visualizzazione delle gallerie in stile Lightbox (immagine in primo piano, centrata, a grandezza naturale, sfondo del sito oscurato e non cliccabile)

Contact Forms 7

Con Contact Forms 7 creare moduli di contatto sarà un gioco da ragazzi: sono ampiamente configurabili, sia negli elementi sia nel testo della mail, ma già la versione di default, inserita in una pagina di contatti, darà al vostro sito web un aspetto elegante e professionale.

WP Google Fonts

Per aggiungere al vostro sito la potenza dei Google Font senza dover toccare i file sorgenti: vi basterà selezionare il Google Font da usare e il tag HTML a cui applicarlo.

WP Super Cache

Se il vostro sito diviene molto visitato è buona norma installare questo plugin: farà sì che le richieste al server diminuiscano, producendo delle copie delle pagine su file HTML statici, e saranno questi che verranno mostrati all’utente, risparmiando risorse di sistema e rendendo il vostro sito più veloce e ottimizzato.

AddToAny

Un semplice plugin che permette di inserire, in cima agli articoli o alle pagine, un insieme di icone social (Facebook, Twitter, Google+, Pinterest e molti altri) in modo che il visitatore possa condividere il vostro articolo in men che non si dica.

WordPress Momentaneamente non disponibile per manutenzione. Riprovare fra un minuto.

Oggi durante i nostri interventi di supporto clienti ci siamo trovati davanti ad un problema nuovo, che ci pare carino condividere con tutti i lettori.  Il problema è il seguente: durante un aggiornamento di plugin wordpress non andato a buon fine, il sito web mostra la seguente dicitura:

WordPress Momentaneamente non disponibile per manutenzione. Riprovare fra un minuto.

Naturalmente è  inutile riprovare: l’errore persiste. Come fare dunque a risolverlo?

Continua la lettura di WordPress Momentaneamente non disponibile per manutenzione. Riprovare fra un minuto.