• Homepage
  • Articoli
  • Generale
  • Best practice per la sicurezza di WordPress – TODO list – Come proteggere il tuo blog WordPress?

Best practice per la sicurezza di WordPress – TODO list – Come proteggere il tuo blog WordPress?

Pubblicato: 2015-05-25

Prendi sul serio la sicurezza di WordPress

WordPress è una delle piattaforme più popolari per blog e siti Web self-hosted. Mentre WordPress è abbastanza sicuro fuori dagli schemi, ci saranno sempre persone che vorranno creare problemi trovando un modo per violare account o siti per causare danni o iniettare link di spam nascosti. Ecco perché è importante assicurarsi che l'installazione di WordPress sia il più sicura possibile. Suggerimenti per la sicurezza di WordPress.

TechCrunch, il blog più grande del mondo, è stato violato due volte in un breve lasso di tempo di otto ore (nel 2012). Secondo il programmatore principale di WordPress, Mark Jaquith, l'hack è stato probabilmente dovuto a un plug-in WordPress insicuro che ha consentito all'hacker di utilizzare il metodo dell'iniezione di php per hackerare il crunch tecnologico. Non era un hacking lato server. Spero che tutte queste informazioni dettagliate ti aiutino a proteggere il tuo blog WordPress.

Hai una domanda di seguito sulle domande seguenti?

  • recensioni dei plugin di sicurezza wordpress
  • vulnerabilità di sicurezza di wordpress
  • best practice per la sicurezza di wordpress
  • problemi di sicurezza wordpress
  • Suggerimenti per la sicurezza di wordpress
  • miglior plugin di sicurezza wordpress
  • scansione di sicurezza wordpress
  • controllo di sicurezza wordpress

Allora sei nel posto giusto. Recensioni dei plugin di sicurezza di Crunchify.

Ecco alcuni suggerimenti per mantenere il tuo sito Web o blog WordPress più sicuro e meno suscettibile ad attacchi dannosi. Questi passaggi ci aiutano a proteggere il nostro blog tenendo fuori i cattivi.

1) Esegui l'aggiornamento all'ultima versione di WordPress

Nessun sistema software è immune da bug e vulnerabilità. Verranno scoperte falle di sicurezza e i cattivi faranno del loro meglio per sfruttarle. Mantenere aggiornato il software è un buon modo per evitare gli attacchi, perché fornitori di software affidabili ripareranno i loro prodotti una volta individuate falle di sicurezza.

Fortunatamente, mantenere aggiornato il tuo sito WordPress è una delle cose più semplici che puoi fare. Per le ultime versioni, WordPress ha incluso la possibilità di installare aggiornamenti automatici. Non solo, ma i siti vengono avvisati ogni volta che diventa disponibile un nuovo aggiornamento.

Se non stai utilizzando l'ultima versione di WordPress, aggiorna ora. Lasciare il tuo sito su una vecchia versione è come tenere la porta aperta quando parti per le vacanze.

Aggiornamento WordPress

2) Metti il ​​file index.php vuoto

Se pensavi che impostare i permessi della directory sia più che sufficiente, direi che non è così semplice amico! Suggerirei di rilasciare un file html o php vuoto ( ensure that the name should be index.php ) nella cartella wp-content/themes/ & wp-content/plugins/ . In questo modo ogni volta che qualcuno proverà a vedere il contenuto di quelle cartelle, gli verrà presentata una pagina vuota e nient'altro. Non è una mossa intelligente?

Contenuto del file:

index.php
1
2
3
<?php
// Silence is golden.
?>

Metti il ​​file index.php vuoto in ogni cartella

3) Usa le chiavi segrete nel tuo file di configurazione WP

In WordPress, il file wp-config.php è il file che memorizza le informazioni del database di cui WordPress ha bisogno per connettere il suo circuito, per così dire. Questo file contiene il nome, l'indirizzo e la password del database MySQL che memorizza tutte le informazioni sull'utente, i post del blog e altri contenuti importanti.

Utilizzando una chiave segreta, puoi rendere ancora più difficile per qualcuno accedere al tuo account.

Vai su https://api.wordpress.org/secret-key/1.1/ e copy the results into this section of your wp-config.php se non hai già impostato una chiave segreta.

4) Tieni sotto controllo il tuo file .htaccess

Utilizzando un file .htaccess , puoi impostare limiti di accesso a determinate directory. Puoi vincolare questi limiti a un indirizzo IP specifico, il che significa che solo le persone da quella posizione possono accedere alle tue informazioni.

È sempre consigliabile che mentre scegli il tuo host web, dovresti confermare da loro quale versione di MySQL, Apache e PHP stanno usando."

Campione:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) Usa password forti per l'account WordPress

Oltre ad aggiungere una chiave segreta al tuo file wp-config.php , considera anche di cambiare la tua password utente in qualcosa che sia forte e unico. WordPress ti dirà la forza della tua password, ma un buon consiglio è evitare frasi comuni, usare lettere maiuscole e minuscole e includere numeri. È anche una buona idea cambiare la password regolarmente, diciamo una volta ogni due mesi.

6) Aggiorna l'ambiente del server e i plugin

L'aggiornamento di plugin e temi non appena viene rilasciato è una tua responsabilità. Suggerirei di aggiornare regolarmente il tuo plugin. Dai un'occhiata all'articolo CSRF che ho pubblicato tempo fa.

Per quanto riguarda l'ambiente del server, non è nelle tue mani, ma nelle mani dell'host web. È sempre consigliabile che mentre scegli il tuo host web, dovresti confermare da loro quale versione di MySQL, Apache e PHP stanno usando. Abbinalo all'ultima versione menzionata sui rispettivi siti Web e se sono obsoleti, dovresti chiedere loro di aggiornarli (molto improbabile) o cambiare l'host web il prima possibile.

7) Non utilizzare mai "admin" come nome utente

Dopo aver installato WordPress, dovresti cambiare il nome utente dell'amministratore.

8) Modificare il WP prefix delle tabelle del database

Ti salverà dall'hacking di sql injection.

9) Non installare WordPress nella directory principale

Installalo in una cartella con un nome strano che non è facile da conoscere. Qualcosa come 442testXYZ . Ciò salverà la tua installazione di WordPress da bot e hacker.

10) Blocca i robot dannosi

Non si sa mai quando il tuo sito viene scansionato da bot dannosi. La soluzione è semplice. Prova a inserire di seguito nel tuo file .htaccess per bloccare i robot dannosi.

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

Sommario

Siamo tutti d'accordo sul fatto che avere un blog WordPress sicuro dovrebbe essere la nostra prima priorità quando si mantiene un blog di successo. WordPress è un fantastico software di pubblicazione e Automattic (l'azienda dietro WordPress) si sforza sempre di proteggerlo in modo che milioni di blog possano essere al sicuro dalle minacce degli hacker.

Ci sono tanti modi in cui potremmo migliorare la sicurezza di WordPress. Questi cambiamenti sono piccoli e molti di questi consigli possono essere implementati in pochi minuti. Potresti stare tranquillo sapendo che il tuo sito WordPress è un po' più sicuro da intrusi e hacker.