Come proteggere WordPress dagli attacchi hacker

Ho trovato questo post sul Blog di Matt Cutts, e visto che l’argomento è la sicurezza in wordpress, ho ritenuto oportuno tradurlo e postare una spiegazione su come proteggere il proprio blog in wp da attacchi di hacker. In realtà la cartella da proteggege è wp-admin, il cuore del CMS wp, abilitando o disabilitando l’accesso a tutti tramite il file .htaccess presente nella root del vostro server.

  1. Aprite il vostro file .htaccess e incollate queste istruzioni relative al controllo di accesso sul server abilitando l’accesso al wp.admin solo alcuni IP:

    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “Access Control”
    AuthType Basic
    <LIMIT GET>
    order deny,allow
    deny from all
    # whitelist home IP address
    allow from 64.233.169.99
    # whitelist work IP address
    allow from 69.147.114.210
    allow from 199.239.136.200
    # IP while in Kentucky; delete when back
    allow from 128.163.2.27
    </LIMIT>

    Naturalmente l’indirizzo o gli indirizzi ip che dovrete mettere su (allow) dovranno essere i vostri o quelli assegnati dinamicamente nella location in cui vi trovate. Questo vuol dire bloccare l’accesso a tutti gli ip al wp-admin, limitandolo anche di voltain volta al vostro ip.

  2. ALtra buona regola per mantenere sicuro il vostro sito/blog è piazzare un file vuoto index.html nella directory dei plugins in modo da impedire a eventuali “malintenzionati” di scoprire eventuali versioni scadute di plugin e sfruttarne le vulnerabilità e gli exploit.
  3. Iscrivetevi a WordPress Development blog http://wordpress.org/development/feed/ . Ad ogni patch rilasciata o versione nuova di wp, dovete assolutamente aggiornare e tenere sempre aggiornato il vostro blog con le ultime release.

ULtima sciocchezza, sul file del tema header.php trovate questa riga
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

Serve a nascondere la versione di WordPress che state utilizzando, nel caso in cui sia datata e non aggiornata potrebbe essere “bacata” e quindi ricconoscibile dagli hacker.

Mantenete il vostro blog “sicuro” con questi piccoli consigli, spero siano stati utili.

4 thoughts on “Come proteggere WordPress dagli attacchi hacker

  • Ma a quanto capisco bloccare l’accesso solo ad uno o più inidirizzi ip costringe chi non ha una connessione con ip fisso a modificare il file htaccess ogni volta.
    E se il sito è stato fatto per terzi?
    Mi pare un sistema poco pratico, o forse non ho capito nulla ( vista l’ora è probabile la seconda opzione )

Leave a Reply

Your email address will not be published. Required fields are marked *