Plugin e accorgimenti da fare sull’installazione di WordPress per tenere il nostro sito o blog sicuro.
Il tema sicurezza WordPress è un tema molto delicato e molto trattato sul web, infatti WordPress è uno dei CMS opensource più diffuso non solo tra chi i siti li fa, ma anche tra chi li compromette. Infatti, essendo un progetto gratuito ed opensource, è possibile scoprirne facilmente le falle sfruttate poi da malintenzionati per fare inject di codice malevolo o fare danni più gravi.
Oggi parliamo di Sicurezza WordPress. In questa breve guida voglio segnalare un paio di plugin e qualche accorgimento, che potrebbero tornarci utili proprio per proteggere la nostra installazione di WordPress.
Ricordate che più plugin installate di dubbia provenienza e più sono alti i rischi di trovare qualche “sorpresa”, quindi sconsiglio vivamente di fare test di plugin su siti o blog che sono in produzione. Ovviamente anche i cosiddetti plugin nulled (o più volgarmente plugin crackati) che si trovano su molti siti contengono molte volte del codice malevolo che infetterà il vostro sito e potrebbe creare danni, talvolta abbastanza fastidiosi.
Ecco una lista di plugin che ci torneranno utili per aumentare la nostra sicurezza di WordPress:
SPS Security (Free/Pro) Link al plugin
Ottimo plugin per controllare i permessi dei nostri file, compreso l’editing del file .htaccess. Gestione degli accessi all’amministrazione con eventuale blocco dei malintenzionati.
Wordfence (Free/Premium) Link al plugin
Ottimo plugin per controllare tutti i file della nostra installazione diWordPress ed eventuali accessi sospetti. La versione premium permette di bloccare anche l’accesso al blog da parte di alcune nazioni.
Oltre i plugin è possibile effettuare una serie di operazioni per rendere un po’ più sicuro la nostra amministrazione, vediamo come:
Aggiungere delle righe nel nostro .htaccess per bloccare l’accesso ad eventuali sconosciuti all’area amministrativa
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
Dove xx.xxx.xxx.xxx è il nostro IP
Non usare admin come username
(Pensate sia scontato? le statistiche dicono che non è proprio così 🙂 )
Teniamo aggiornato il nostro WordPress.
Possiamo dire a WordPress di aggiornare in autonomia il core modificando il file wp-config.php e aggiungendo o portando a true la costante WP_AUTO_UPDATE_CORE
define( 'WP_AUTO_UPDATE_CORE', true );
Assicuriamoci che i permessi dei nostri file siano corretti.
E’ necessario che le cartelle abbiano 0755 mentre i file 0644. Se abbiamo accesso ad SSH nel nostro hosting, possiamo controllare i permessi con questi semplici comandi
find /path/installazione/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/installazione/wordpress/install/ -type f -exec chmod 644 {} \;
Per impostare in modo ricorsivo invece user e group possiamo usare il comando
chown -R username:group /path/installazione/wordpress/install
Disabilitiamo le modifiche dei file.
Possiamo dire a WordPress di disabilitare l’editor di temi e di plugin di WordPress modificando il file wp-config.php e aggiungendo o portando a true la costante DISALLOW_FILE_EDIT
define( 'DISALLOW_FILE_EDIT', true );