Come proteggere WordPress dagli attacchi hacker

Ho trovato questo post sul Blog di Matt Cutts, e visto che l'argomento è la sicurezza in wordpress, ho ritenuto oportuno tradurlo e postare una spiegazione su come proteggere il proprio blog in wp da attacchi di hacker. In realtà la cartella da proteggege è wp-admin, il cuore del CMS wp, abilitando o disabilitando l'accesso a tutti tramite il file .htaccess presente nella root del vostro server.

  1. Aprite il vostro file .htaccess e incollate queste istruzioni relative al controllo di accesso sul server abilitando l'accesso al wp.admin solo alcuni IP:

    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “Access Control”
    AuthType Basic
    <LIMIT GET>
    order deny,allow
    deny from all
    # whitelist home IP address
    allow from 64.233.169.99
    # whitelist work IP address
    allow from 69.147.114.210
    allow from 199.239.136.200
    # IP while in Kentucky; delete when back
    allow from 128.163.2.27
    </LIMIT>

    Naturalmente l'indirizzo o gli indirizzi ip che dovrete mettere su (allow) dovranno essere i vostri o quelli assegnati dinamicamente nella location in cui vi trovate. Questo vuol dire bloccare l'accesso a tutti gli ip al wp-admin, limitandolo anche di voltain volta al vostro ip.

  2. ALtra buona regola per mantenere sicuro il vostro sito/blog è piazzare un file vuoto index.html nella directory dei plugins in modo da impedire a eventuali "malintenzionati" di scoprire eventuali versioni scadute di plugin e sfruttarne le vulnerabilità e gli exploit.
  3. Iscrivetevi a WordPress Development blog http://wordpress.org/development/feed/ . Ad ogni patch rilasciata o versione nuova di wp, dovete assolutamente aggiornare e tenere sempre aggiornato il vostro blog con le ultime release.

ULtima sciocchezza, sul file del tema header.php trovate questa riga
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

Serve a nascondere la versione di WordPress che state utilizzando, nel caso in cui sia datata e non aggiornata potrebbe essere "bacata" e quindi ricconoscibile dagli hacker.

Mantenete il vostro blog "sicuro" con questi piccoli consigli, spero siano stati utili.

4 Commenti a “Come proteggere WordPress dagli attacchi hacker”

  1. Proteggere la sicurezza di Wordpress scrive:
    23 febbraio 2008 alle 7:28 am

    [...] Un interessantissimo post di Giuseppe Surace mostra alcuni trucchi per mettere in sicurezza i blog basati su WordPress. [...]

  2. ilvendicatore scrive:
    11 aprile 2008 alle 2:06 pm

    Si chiamano cracker, non Hacker. Fatti una cultura, ragzzo..

  3. Paoloo scrive:
    24 giugno 2008 alle 12:30 pm

    Interessante l’articolo, grazie della traduzione non lo avevo proprio visto sul blog di Matt.

  4. Michele scrive:
    23 ottobre 2009 alle 4:14 am

    Ma a quanto capisco bloccare l’accesso solo ad uno o più inidirizzi ip costringe chi non ha una connessione con ip fisso a modificare il file htaccess ogni volta.
    E se il sito è stato fatto per terzi?
    Mi pare un sistema poco pratico, o forse non ho capito nulla ( vista l’ora è probabile la seconda opzione )

Scrivi un commento