Dopo gli ultimi post scritti su oneCMS riguardanti la sicurezza di WordPress, ovvero Problemi di sicurezza per WordPress 2.5 di Claudio Garau e WP Security Scan, mettere al sicuro WordPress con un plugin di Matteo Campofiorito, cerchiamo di approfondire il discorso relativo al mettere in sicurezza completamente il nostro blog.
"Out of the box", ovvero fornito così com'è, WordPress non è un sistema sicuro al 100%, perché installando il sistema su un server Web ed esponendolo al mondo senza prendere alcune precauzioni potrebbe portare alla violazione del sistema, con tutte le conseguenze del caso.
Recentemente sono stati segnalati diversi casi di link injection, ovvero pagine che elencano in fondo alla pagina centinaia di link di dubbio gusto. Questo problema non è dovuto a WordPress in sé, bensì alle persone che non hanno curato a dovere la sua configurazione.
Sono molte le operazioni che è necessario eseguire perché WordPress sia messo in completa sicurezza, infatti:
- di default WordPress permette a chiunque di vedere quali plugin avete installato, semplicemente digitando nel browser l'URL "http://indirizzo-del-blog/wp-content/plugins". Questo perché non vi è nella directory un file index.html vuoto;
- evitiamo di dare a chiunque informazioni sulla versione di WordPress che stiamo usando: conoscere l'esatto numero di versione facilita molto la vita ad un cracker che potrebbe sfruttare un exploit conosciuto per violare WP;
- è necessario configurare un file .htaccess per bloccare l'accesso alle cartelle wp-admin, wp-content e wp-includes;
- conviene modificare il prefisso delle tabelle del database;
- è opportuno (e furbo) cambiare il nome dell'utente amministratore: lasciando l'utente di default admin si facilita il compito ai cracker, che devono solo individuare la password;
- è bene proteggere il file wp-config.php da occhi indiscreti, settando opportuni permessi (come minimo 644).
Per porre rimedio a queste pecche, consiglio di scaricare ed applicare tutti i consigli forniti dal documento intitolato WordPress Security Whitepaper messo a disposizione da BlogSecurity.net, frequentemente aggiornato per poter fornire consigli e rimedi alle ultime scoperte.
Il documento elenca anche alcuni plugin molto utili per mantenere alto il livello di guardia sul vostro blog. Oltre a questo, ricordo alcuni consigli che possono essere cruciali perché non succeda mai niente di spiacevole:
- cambiate frequentemente la password dell'utente amministratore, ricordando di usare password difficili contenti lettere e numeri senza senso;
- aggiornate sempre all'ultima versione del software disponibile;
- controllate spesso le directory sul server per controllare che non vi siano file sospetti.
/https://www.html.it/app/uploads/2024/03/WordPress.png)
/https://www.html.it/app/uploads/2024/03/domestika.jpg)
/https://www.html.it/app/uploads/2023/12/wordpress.png)
/https://www.html.it/app/uploads/2024/02/WP65.jpg)