Oggi vediamo come aumentare e migliorare la sicurezza di WordPress. La sicurezza è uno degli aspetti fondamentali del nostro CMS: non si può tralasciare e deve essere all’ordine del giorno nella nostra “to do list”.
Oltre agli accorgimenti classici, possiamo adottare misure di sicurezza supplementari grazie a semplici ma efficaci righe di codice. Vediamo i passi da seguire.
Proteggere il file wp-config.php
Il file wp-config.php rappresenta uno dei pilastri del nostro CMS: grazie a lui possiamo effettuare modifiche e migliorie tecniche al nostro sistema di gestione contenuti.
Il file wp-config.php è molto importante dal punto di vista della sicurezza: è lui che contiene le informazioni dettagliate del database del nostro blog o sito, dettagli che un malintenzionato potrebbe intercettare e usare per scopi poco nobili.
Per proteggerlo proseguiamo in questo modo: apriamo il file .htaccess (di norma sempre disponibile ed accessibile) ed incolliamo questo codice:
[html]<Files wp-config.php>
order allow,deny
deny from all
</Files>[/html]
In questo modo imposteremo un controllo sugli accessi semplice e facile da gestire.
Bloccare l’accesso alle cartelle WP
Le cartelle WordPress di sistema (quelle con prefisso wp-nomecartella) contengono varie informazioni sul nostro sito o blog: per accrescere la sicurezza possiamo interdire l’indicizzazione dai motori di ricerca.
Per fare questo dobbiamo aprire il file robots.txt (disponibile nella root del sito) ed implementare questo codice:
[html]Disallow: /wp-[/html]
In questo modo tutti i file, le cartelle e sottocartelle inizianti con “wp-” non verranno indicizzati dai crawler dei motori di ricerca.
Una piccola nota tecnica: per evitare di deindicizzare anche le immagini (utili per la SEO) possiamo permettere l’accesso solo alla cartella wp-content/uploads/ tramite questo semplice comando:
[html]Allow: /wp-content/uploads/[/html]
Rimuovere le informazioni sulla versione in uso
Non tutti sanno che potrebbero esserci problemi di sicurezza a mantenere attive le informazioni sulla versione in uso (visualizzabili ad esempio nel codice sorgente): un malintenzionato potrebbe usare tali dati per sfruttare le vulnerabilità presenti sulle varie release.
Non dimentichiamo che la versione in uso potrebbe essere ricavata anche tramite Feed RSS.
Per evitare questo, bisogna aprire il file functions.php ed inserire queste stringhe di codice:
[html]function no_generator() { return ”; }
add_filter( ‘the_generator’, ‘no_generator’ );[/html]
Anche il file readme.html (di solito presente nella root del sito) contiene informazioni sulla versione in uso: va pertanto eliminato.
Accesso solo dal proprio indirizzo IP statico
Questa è una misura di prevenzione molto interessante: prevedere l’accesso al proprio blog solo da un determinato indirizzo IP statico.
Per fare questo bisogna creare un file .htaccess ad hoc e posizionarlo nella cartella wp-admin (non modificare il file .htaccess presente nella root del sito).
Incollare all’interno del file questo codice:
[html]# my ip address only
order deny,allow
allow from MIO INDIRIZZO IP (mettere il proprio indirizzo IP)
deny from all[/html]
Nota bene: in caso di IP dinamico potrebbero esserci dei fastidi per la modifica continua via FTP delle impostazioni inerenti all’indirizzo.
Disabilitare il directory browsing
Disabilitare Il directory browsing (navigazione all’interno di una directory) è un’operazione di sicurezza basilare e primaria: permette di interdire l’accesso alle cartelle ed ai file in remoto che compongono la struttura di un sito o di un blog.
Lo svolgimento è molto semplice, basta aprire il file .htaccess ed implementare 2 righe di codice:
[html]# disable directory browsing
Options All –Indexes[/html]
Norme da non dimenticare mai
Per aumentare ulteriormente il livello di protezione di WordPress non dobbiamo dimenticare alcune regole standard.
ID per il login
L’ID per il login alla piattaforma deve essere modificato dopo il primo accesso: il classico nickname “admin” non va bene, in quanto è facilmente intuibile.
Aggiornamento del CMS
Bisogna ricordarsi di aggiornare sempre all’ultima versione disponibile il proprio CMS: un’operazione di breve durata che vi ripara da futuri grattacapi.
Cancellare il file di installazione
Il file install.php (wp-admin/install.php) può essere tranquillamente cancellato dopo l’installazione di WordPress: potrebbe rendere il vostro blog vulnerabile agli attacchi.
Usare una password forte
Scegliete una password d’accesso forte: evitate date di nascita o altre informazioni facilmente riconducibili a voi. Preferite password con lettere maiuscole e minuscole, numeri e segni d’interpunzione (-_ @).