Plugin e accorgimenti da fare sull’installazione di WordPress per tenere il nostro sito o blog sicuro.

Il tema sicurezza WordPress è un tema molto delicato e molto trattato sul web, infatti WordPress è uno dei CMS opensource più diffuso non solo tra chi i siti li fa, ma anche tra chi li compromette. Infatti, essendo un progetto gratuito ed opensource, è possibile scoprirne facilmente le falle sfruttate poi da malintenzionati per fare inject di codice malevolo o fare danni più gravi.

wordpress-com

Oggi parliamo di Sicurezza WordPress. In questa breve guida voglio segnalare un paio di plugin e qualche accorgimento, che potrebbero tornarci utili proprio per proteggere la nostra installazione di WordPress.

Ricordate che più plugin installate di dubbia provenienza e più sono alti i rischi di trovare qualche “sorpresa”, quindi sconsiglio vivamente di fare test di plugin su siti o blog che sono in produzione. Ovviamente anche i cosiddetti plugin nulled (o più volgarmente plugin crackati) che si trovano su molti siti contengono molte volte del codice malevolo che infetterà il vostro sito e potrebbe creare danni, talvolta abbastanza fastidiosi.

Ecco una lista di plugin che ci torneranno utili per aumentare la nostra sicurezza di WordPress:

SPS Security (Free/Pro) Link al plugin
Ottimo plugin per controllare i permessi dei nostri file, compreso l’editing del file .htaccess. Gestione degli accessi all’amministrazione con eventuale blocco dei malintenzionati.

Wordfence (Free/Premium) Link al plugin
Ottimo plugin per controllare tutti i file della nostra installazione diWordPress ed eventuali accessi sospetti. La versione premium permette di bloccare anche l’accesso al blog da parte di alcune nazioni.

Oltre i plugin è possibile effettuare una serie di operazioni per rendere un po’ più sicuro la nostra amministrazione, vediamo come:

Aggiungere delle righe nel nostro .htaccess per bloccare l’accesso ad eventuali sconosciuti all’area amministrativa

order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx

Dove xx.xxx.xxx.xxx è il nostro IP

Non usare admin come username

(Pensate sia scontato? le statistiche dicono che non è proprio così 🙂 )

Teniamo aggiornato il nostro WordPress.

Possiamo dire a WordPress di aggiornare in autonomia il core modificando il file wp-config.php e aggiungendo o portando a true la costante WP_AUTO_UPDATE_CORE
define( 'WP_AUTO_UPDATE_CORE', true );

Assicuriamoci che i permessi dei nostri file siano corretti.

E’ necessario che le cartelle abbiano 0755 mentre i file 0644. Se abbiamo accesso ad SSH nel nostro hosting, possiamo controllare i permessi con questi semplici comandi
find /path/installazione/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/installazione/wordpress/install/ -type f -exec chmod 644 {} \;

Per impostare in modo ricorsivo invece user e group possiamo usare il comando
chown -R username:group /path/installazione/wordpress/install

Disabilitiamo le modifiche dei file.

Possiamo dire a WordPress di disabilitare l’editor di temi e di plugin di WordPress modificando il file wp-config.php e aggiungendo o portando a true la costante DISALLOW_FILE_EDIT
define( 'DISALLOW_FILE_EDIT', true );