Categorie
Guida Wordpress

Sicurezza wordpress e file htaccess

Consigli per la sicurezza del vostro sito wordpress.

In pochi semplici passaggi potrete raggiungere un'ottima sicurezza del vostro wordpress.

1) Per iniziare si raccomanda subito dopo aver installato il vostro sito wordpress di concellare il file install.php che trovate nella cartella wp-admin poichè non più utile all'uso del vostro sito, anzi potrebbe essere sfruttato da malintenzionati. Cancellate anche il file readme.html

 

2) Cambiate il vostro Username di amministratore, non lasciate quello di default che tutti conoscono che sarebbe admin, inoltre la password deve essere di almeno 10 caratteri, si consiglia di utilizzare password difficili da ricordare anche per voi, nel caso la dimenticate potrete sempre richiederla da vostrosito.etx/wp-login.php?action=lostpassword

3) non dimenticate di aggiornare il vostro wordpress e eventuali plugin o template poichè i bug scoperti potrebbero compromettere il vostro sito se non lo aggiornerate tempestivamente.

4) rimuovete il meta-tag generator wordpress <meta name="generator" content="WordPress X" /> che fa riconoscere il cms utilizzato ma sopratutto la versione utilizzata, anche questo potrebbe essere sfruttato da un malintenzionato.
Per fare questo basta aggiungere al file functions.php

function no_generator() { return ''; }
add_filter( 'the_generator', 'no_generator' );

5) Non utilizzate plugin e template trovati in rete magari a pagamento che potete scaricare gratis, poichè oltre a incorrere in denunce, molti hacker utilizzano questa marea di template e plugin vari per prendere possesso del vostro sito avvolte silenziosamente senza fartene accorgere.

 

Le altre funzioni che seguono potrebbero non funzionare su tutti i server, poichè ogni confgurazione è propria e personalizzata in base le proprie esigenze, comunque la maggior parte dei provider permettono tali funzioni, di conseguenza se effettuando queste modifiche il vostro sito dovrebbe avere dei problemi si consiglia di richiedere al proprio servizio di supporto, inoltre si raccomanda di effettuare il backup dei file che andrete a modificare.
 

6) proteggi i file che contengono dati sensibili come password e funzioni speciali come ad esempio il file di configurazione di wordpress wp-config.php e il file .htaccess

Per proteggere  wp-config.php che contiene username, password, etc.. del vostro database aggiungere nel vostro file.htaccess:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

che blocca l'accesso a tutti a quel file wp-config.php.

7) Alcuni server mostrano la navigazione delle cartelle a tutti e questo si può correggere sempre dal file .htaccess presente nella root del vostro wrdpress aggiungendo questa riga.

# disabilita la navigazione nelle cartelle
Options All –Indexes

Altra funzione potrebbe essere quella di bloccare l'accesso all'amministrazione del vostro sito a tutti tranne che a voi. Per fare questo potete aggiungere nel file .htaccess presente nella vostra root

# accesso admin solo per il mio indirizzo ip
order deny,allow
allow from 123.123.x.x                # (attenzione sostituire 123.123.x.x  con il vostro indirizzo IP)
deny from all

questa funzione la potete utilizzare solo nel caso avete un indirizzo IP statico e non dinamico.
Se non conosco il mio ip come posso fare? Clicca qui http://www.ip-adress.com per conoscerlo.

Attenzione!! non ci assumiamo la responsabilità e non possiamo essere ritenuti responsabili per eventuali perdite.
Si raccomanda di effettuare sempre un backup prima di effettuare qualsiasi modifica, in modo da poter eventualmente ripristinare i file modificati in caso di errore. Se volete evitare problemi del genere o modifiche simili, ricordatevi che sui nostri server non occorrono tali modifiche o inteventi manuali del genere poichè i server sono gia sicuri oltre che continuamente controllati da personale esperto.