Rendere sicuro un blog basato su WordPress

13 giugno 2008

La sicurezza di un blog dipende da molti fattori, perchè molte sono le variabili in gioco, prime tra tutte quelle messe in campo dal fatto che il blog risiede su un server Web ed ha bisogno di un database.

Fare in modo che questi due software siano in sicurezza è una questione che va oltre lo scopo di questo articolo, che presuppone che il vostro blog giri su un hosting condiviso. In questo caso infatti molte delle misure di sicurezza principali vengono messe in atto dal gestore dell’hosting.

In questo articolo possiamo invece esaminare alcuni strumenti, comportamenti e impostazioni da utilizzare per rendere più sicuri i nostri blog, anche con hosting condiviso.

Installazione

L’installazione WordPress prevede la possibilità di scegliere un prefisso per le tabelle del database.

Generalmente questa scelta viene fornita per poter installare più copie di WordPress sullo stesso database, ma è importante cambiare il nome delle tabelle anche per migliorare il livello di sicurezza: molti exploit che vengono utilizzati dai cracker infatti prevedono che le tabelle su cui si appoggia WordPress abbiano il nome di default.

È possibile cambiare i nomi delle tabelle anche dopo l’installazione, ma la procedura è abbastanza lunga e conviene usare un plugin come WP Prefix Table Changer. In questo caso è utile ricordare che prima di ogni modifica al blog è opportuno eseguire il backup completo di database e files.

Post-installazione

La procedura di setup di un blog prevede l’inserimento di informazioni che vengono poi inserite in un file, chiamato wp-config.php, che risiede nella home del blog. Al suo interno troviamo questo spezzone di codice con alcune definizioni:

define('DB_NAME', 'wp'); // Il nome del database
define('DB_USER', 'wpuser'); // il nome utente MySQL
define('DB_PASSWORD', 'strongpassword'); // ...la password
define('DB_HOST', 'localhost'); // il 99% delle volte non dovrete

// -- Attenzione alla righe che seguono -- //

define('DB_CHARSET', 'utf8');
define('DB_COLLATE', '');
define('SECREY_KEY','A49D0EA936EFFFE30BAD7BACBA466CC897636F74BAB91128A96C9EF8C25F0249');

Si tratta delle definizione legate alla configurazione del database, ci soffermiamo su queste perchè occorre eseguire un’operazione importante, ovvero la modifica del valore SECRET_KEY.

Questo valore permette di impostare un nuovo livello di casualità per la creazione dei cookie. È importante inserire, al posto della stringa di default, un valore casuale, generato a mano oppure usando l’apposito tool fornito su WordPress.org.

Se vuoi aggiornamenti su Rendere sicuro un blog basato su WordPress inserisci la tua e-mail nel box qui sotto:
 
X
Se vuoi aggiornamenti su Rendere sicuro un blog basato su WordPress

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy