Nella maggior parte dei casi in cui un sito su piattaforma WordPress viene “hackerato”, la responsabilità è da attribuire alla carenza di misure di sicurezza che si dovrebbero adottare durante lo sviluppo. E’ pur vero che nella sua configurazione base WP non offre grandi strumenti, ma si può ovviare  ciò con alcuni accorgimenti che contribuiranno a rendere sicura la vostra installazione WordPress

In questo articolo riassumiamo una serie di attività e di plugin per aumentare la sicurezza del vostro sito WordPress.

wp-config.php

  • Modifica con frequenza la chiave di sicurezza (https://api.wordpress.org/secret-key/1.1/salt/ ) In questo modo tutti i cookies degli utenti loggati verranno azzerati
  • Disabilitare la modifica dei file (editor.php) tramite wp-config.php aggiungendo il codice seguente: 
    define ( 'DISALLOW_FILE_EDIT', true );

LOGIN

WP-admin

  • Mantenere WordPress aggiornato all’ultima versione
  • Non creare un account con il nome utente admin. Se già esiste, creare un nuovo account amministratore e cancellare quello vecchio
  • Crea un account Editor e utilizzarlo esclusivamente per pubblicare contenuti
  • Implementare SSL per la sezione di amministrazione di WordPress
  • Installare plugins per verificare modifiche ai files (WP Security Scan, Wordfence or iThemes Security)
  • Eseguire la scansione del sito web alla ricerca di virus, malware e violazioni della sicurezza (https://wordpress.org/plugins/gotmls/ )

TEMI

  • Mantenere il tema aggiornato
  • Rimuovere temi non utilizzati
  • Scaricare e utilizzare temi solo da fonti attendibili

DISABILITARE REST API WORDPRESS

Se il vostro utilizzo di  WordPress è quello tipico di un classico sito HTTP  e non vi sono applicazioni associate che necessitano di comunicazioni di tipo REST () è consigliabile disattivare le funzione REST e  XMLRPC.

  • Disabilitare XML-RPC
  • Disabilitare REST: 
    add_filter('rest_authentication_errors','SOFT_disable_rest');

//versioni WP > 4.7:
function SOFT_disable_rest($access) {
    return new WP_Error(
        'rest_cannot_access','La REST API per WordPress è stata disabilitata',
         array('status' => rest_authorization_required_code())
    );
}
//versioni WP < 4.7:
function SOFT_disable_rest_json ()
{
    // Disable REST v1
    add_filter('json_enabled','__return_false');
    add_filter('json_jsonp_enabled','__return_false');

    // Disable REST v2
    add_filter('rest_enabled','__return_false');
    add_filter('rest_jsonp_enabled','__return_false');
}

add_action('after_setup_theme','SOFT_disable_rest_json');

PLUGIN

  • Tenere tutti i plugin aggiornati
  • Rimuovere completamente i plugin inutilizzati
  • Scaricare e utilizzare i plugin solo da fonti attendibili
  • Sostituire i plugin obsoleti con le più recenti alternative
  • Pensaci due volte prima di installare una tonnellata di plugin

DATABASE

  • Cambiare il prefisso tabella di default (tutorial)
  • Pianifica i backup settimanale del database (WP Backup, WP DB Backup etc.)
  • Utilizzare una password con maiuscole, minuscole, numeri e caratteri speciali per l’utente del database (generatore di password)

HOSTING

  • Utilizza fornitori di hosting affidabili
  • Effettua connessioni al server solo attraverso SFTP o SSH
  •  Impostare tutte le autorizzazioni delle directories a 755 e dei files a 644 (Codex)
  • Assicurarsi che il file wp-config.php non sia accessibile da altri
  • Rimuovere (o bloccare tramite .htaccess) i file LICENSE.TXT, wp-config-sample.php, e readme.html
  • add_filter('xmlrpc_enabled', '__return_false');
  • Impedire la visualizzazione dell’elenco dei files nelle directory tramite .htaccess aggiungendo il seguente codice: 
     Options All -Indexes