Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the ad-inserter domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /var/www/vhosts/blog.webeats.it/httpdocs/wp-includes/functions.php on line 6114

Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the cookie-law-info domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /var/www/vhosts/blog.webeats.it/httpdocs/wp-includes/functions.php on line 6114
Sicurezza WordPress: come rendere sicuro il nostro blog - Blog WebEats

Plugin e accorgimenti da fare sull’installazione di WordPress per tenere il nostro sito o blog sicuro.

Il tema sicurezza WordPress è un tema molto delicato e molto trattato sul web, infatti WordPress è uno dei CMS opensource più diffuso non solo tra chi i siti li fa, ma anche tra chi li compromette. Infatti, essendo un progetto gratuito ed opensource, è possibile scoprirne facilmente le falle sfruttate poi da malintenzionati per fare inject di codice malevolo o fare danni più gravi.

wordpress-com

Oggi parliamo di Sicurezza WordPress. In questa breve guida voglio segnalare un paio di plugin e qualche accorgimento, che potrebbero tornarci utili proprio per proteggere la nostra installazione di WordPress.

Ricordate che più plugin installate di dubbia provenienza e più sono alti i rischi di trovare qualche “sorpresa”, quindi sconsiglio vivamente di fare test di plugin su siti o blog che sono in produzione. Ovviamente anche i cosiddetti plugin nulled (o più volgarmente plugin crackati) che si trovano su molti siti contengono molte volte del codice malevolo che infetterà il vostro sito e potrebbe creare danni, talvolta abbastanza fastidiosi.

Ecco una lista di plugin che ci torneranno utili per aumentare la nostra sicurezza di WordPress:

SPS Security (Free/Pro) Link al plugin
Ottimo plugin per controllare i permessi dei nostri file, compreso l’editing del file .htaccess. Gestione degli accessi all’amministrazione con eventuale blocco dei malintenzionati.

Wordfence (Free/Premium) Link al plugin
Ottimo plugin per controllare tutti i file della nostra installazione diWordPress ed eventuali accessi sospetti. La versione premium permette di bloccare anche l’accesso al blog da parte di alcune nazioni.

Oltre i plugin è possibile effettuare una serie di operazioni per rendere un po’ più sicuro la nostra amministrazione, vediamo come:

Aggiungere delle righe nel nostro .htaccess per bloccare l’accesso ad eventuali sconosciuti all’area amministrativa

order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx

Dove xx.xxx.xxx.xxx è il nostro IP

Non usare admin come username

(Pensate sia scontato? le statistiche dicono che non è proprio così 🙂 )

Teniamo aggiornato il nostro WordPress.

Possiamo dire a WordPress di aggiornare in autonomia il core modificando il file wp-config.php e aggiungendo o portando a true la costante WP_AUTO_UPDATE_CORE
define( 'WP_AUTO_UPDATE_CORE', true );

Assicuriamoci che i permessi dei nostri file siano corretti.

E’ necessario che le cartelle abbiano 0755 mentre i file 0644. Se abbiamo accesso ad SSH nel nostro hosting, possiamo controllare i permessi con questi semplici comandi
find /path/installazione/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/installazione/wordpress/install/ -type f -exec chmod 644 {} \;

Per impostare in modo ricorsivo invece user e group possiamo usare il comando
chown -R username:group /path/installazione/wordpress/install

Disabilitiamo le modifiche dei file.

Possiamo dire a WordPress di disabilitare l’editor di temi e di plugin di WordPress modificando il file wp-config.php e aggiungendo o portando a true la costante DISALLOW_FILE_EDIT
define( 'DISALLOW_FILE_EDIT', true );