Come migliorare la sicurezza del tuo blog WordPress

WordPress è il sistema di gestione dei contenuti self-hosted (CMS) più diffuso su Internet e quindi, come Microsoft Windows, è anche il bersaglio più diffuso degli attacchi. Il software è open source, ospitato su Github, e gli hacker sono sempre alla ricerca di bug e vulnerabilità che possono essere sfruttati per accedere ad altri siti WordPress.

Il minimo che puoi fare per mantenere sicura l'installazione di WordPress è assicurarti che sia sempre in esecuzione l'ultima versione del software WordPress.org e che anche i vari temi e plugin siano aggiornati. Ecco alcune altre cose che puoi fare per migliorare la sicurezza dei tuoi blog WordPress:

# 1. Accedi con il tuo account WordPress

Quando installi un blog WordPress, il primo utente viene chiamato "admin" per impostazione predefinita. Dovresti creare un utente diverso per gestire il tuo blog WordPress e rimuovere l'utente "amministratore" o cambiare il ruolo da "amministratore" a "abbonato".

Puoi creare un nome utente completamente casuale (difficile da indovinare) o un'alternativa migliore sarebbe abilitare il single sign-on con Jetpack e utilizzare il tuo account WordPress.com per accedere al tuo blog WordPress self-hosted.

#2. Non pubblicizzare la tua versione di WordPress al mondo

I siti WordPress pubblicano sempre il numero di versione, rendendo così più facile per le persone determinare se stai eseguendo una versione obsoleta senza patch di WordPress.

È facile rimuovere la versione di WordPress dalla pagina ma è necessario apportare un'altra modifica. Elimina il file readme.html dalla directory di installazione di WordPress poiché pubblicizza anche la tua versione di WordPress nel mondo.

#3. Non lasciare che altri "scrivano" nella tua directory di WordPress

Accedi alla tua shell Linux di WordPress ed esegui il comando seguente per ottenere un elenco di tutte le directory "aperte" in cui qualsiasi altro utente può scrivere file.

trovare . -tipo d -permanente -o=w

Potresti anche voler eseguire i seguenti due comandi nella tua shell per impostare le autorizzazioni giuste per tutti i tuoi file e cartelle di WordPress (riferimento).

trova /tuo/wordpress/cartella/ -type d -exec chmod 755 {} \; trova /tuo/wordpress/cartella/ -type f -exec chmod 644 {} \;

Per le directory, 755 (rwxr-xr-x) significa che solo il proprietario ha i permessi di scrittura mentre altri hanno i permessi di lettura ed esecuzione. Per i file, 644 (rw-r—r—) significa che i proprietari dei file hanno i permessi di lettura e scrittura mentre gli altri possono solo leggere i file.

#4. Rinomina il prefisso delle tabelle di WordPress

Se hai installato WordPress utilizzando le opzioni predefinite, le tue tabelle WordPress hanno nomi come wp posts o wp_users. È quindi una buona idea cambiare il prefisso delle tabelle (wp ) con un valore casuale. Il plug-in Modifica prefisso DB ti consente di rinominare il prefisso della tabella in qualsiasi altra stringa con un clic.

#5. Impedisci agli utenti di navigare nelle tue directory di WordPress

Questo è importante. Apri il file .htaccess nella directory principale di WordPress e aggiungi la seguente riga in alto.

Opzioni -Indici

Eviterà al mondo esterno di vedere un elenco di file disponibili nelle tue directory nel caso in cui i file index.html o index.php predefiniti siano assenti da quelle directory.

#6. Aggiorna le chiavi di sicurezza di WordPress

Vai qui per generare sei chiavi di sicurezza per il tuo blog WordPress. Apri il file wp-config.php all'interno della directory di WordPress e sovrascrivi le chiavi predefinite con quelle nuove.

Questi salt casuali rendono più sicure le tue password WordPress memorizzate e l'altro vantaggio è che se qualcuno ha effettuato l'accesso a WordPress a tua insaputa, verrà disconnesso immediatamente poiché i suoi cookie diventeranno non validi ora.

#7. Tieni un registro degli errori PHP e database di WordPress

I registri degli errori a volte possono offrire forti suggerimenti sul tipo di query di database e richieste di file non valide che colpiscono l'installazione di WordPress. Preferisco Error Log Monitor in quanto invia periodicamente i registri degli errori via e-mail e li visualizza anche come widget all'interno della dashboard di WordPress.

Per abilitare la registrazione degli errori in WordPress, aggiungi il seguente codice al tuo file wp-config.php e ricorda di sostituire /path/to/error.log con il percorso effettivo del tuo file di registro. Il file error.log deve essere collocato in una cartella non accessibile dal browser (riferimento).

define('WP_DEBUG', vero); if (WP_DEBUG) { define('WP_DEBUG_DISPLAY', false); @ini_set('log_errors', 'On'); @ini_set('display_errors', 'Off'); @ini_set('error_log', '/percorso/a/error.log'); }

#9. Proteggi con password il dashboard di amministrazione

È sempre una buona idea proteggere con password la cartella wp-admin del tuo WordPress poiché nessuno dei file in quest'area è destinato alle persone che stanno visitando il tuo sito Web WordPress pubblico. Una volta protetti, anche gli utenti autorizzati dovranno inserire due password per accedere alla loro dashboard di amministrazione di WordPress.

10. Tieni traccia dell'attività di accesso sul tuo server WordPress

Puoi utilizzare il comando "last -i" in Linux per ottenere un elenco di tutti gli utenti che hanno effettuato l'accesso al tuo server WordPress insieme ai loro indirizzi IP. Se trovi un indirizzo IP sconosciuto in questo elenco, è sicuramente il momento di cambiare la tua password.

Inoltre, il comando seguente mostrerà l'attività di accesso dell'utente per un periodo di tempo più lungo raggruppato per indirizzi IP (sostituire USERNAME con il nome utente della shell).

last -if /var/log/wtmp.1 | grep NOME UTENTE | awk '{stampa $3}' | ordina | uniq -c

Monitora il tuo WordPress con i plugin

Il repository di WordPress.org contiene alcuni buoni plug-in relativi alla sicurezza che monitoreranno continuamente il tuo sito WordPress per intrusioni e altre attività sospette. Ecco quelli essenziali che consiglierei.

1. Exploit Scanner - Analizzerà rapidamente tutti i tuoi file WordPress e i post del blog ed elencherà quelli che potrebbero contenere codice dannoso. I collegamenti di spam possono essere nascosti nei post del tuo blog WordPress utilizzando CSS o IFRAMES e anche il plug-in li rileverà.
2. WordFence Security - Questo è un plug-in di sicurezza estremamente potente che dovresti avere. Confronterà i tuoi file core di WordPress con i file originali nel repository in modo che eventuali modifiche vengano rilevate immediatamente. Inoltre, il plug-in bloccherà gli utenti dopo un numero 'n' di tentativi di accesso non riusciti.
3. WP Notifier - Se non accedi troppo spesso alla dashboard di amministrazione di WordPress, questo plugin fa per te. Ti invierà avvisi e-mail ogni volta che sono disponibili nuovi aggiornamenti per i temi installati, i plug-in e il core WordPress.
4. Scanner VIP - Il plug-in di sicurezza "ufficiale" eseguirà la scansione dei tuoi temi WordPress per eventuali problemi. Rileverà anche qualsiasi codice pubblicitario che potrebbe essere stato inserito nei tuoi modelli WordPress.
5. Sucuri Security - Monitora il tuo WordPress per eventuali modifiche ai file core, invia notifiche e-mail quando qualsiasi file o post viene aggiornato e mantiene anche un registro delle attività di accesso degli utenti inclusi gli accessi non riusciti.

Suggerimento: puoi anche utilizzare il seguente comando Linux per ottenere un elenco di tutti i file che sono stati modificati negli ultimi 3 giorni. Cambia mtime in mmin per vedere i file modificati "n" minuti fa.

trovare . -tipo f -mtime -3 | grep -v “/Maildir/” | grep -v “/logs/”

Proteggi la tua pagina di accesso a WordPress

La tua pagina di accesso a WordPress è accessibile al mondo intero, ma se desideri impedire agli utenti non autorizzati di accedere a WordPress, hai tre scelte.

1. Password Protect con .htaccess - Ciò comporta la protezione della cartella wp-admin del tuo WordPress con un nome utente e una password oltre alle normali credenziali di WordPress.
2. Google Authenticator - Questo eccellente plug-in aggiunge la verifica in due passaggi al tuo blog WordPress in modo simile al tuo account Google. Dovrai inserire la password e anche il codice dipendente dal tempo generato sul tuo cellulare.
3. Accesso senza password: utilizza il plug-in Clef per accedere al tuo sito Web WordPress scansionando un codice QR e puoi terminare la sessione in remoto con il tuo telefono cellulare stesso.

Vedi anche: Plugin WordPress indispensabili