Migliorare la sicurezza di WordPress: TODO list e Plugins

Nella maggior parte dei casi in cui un sito su piattaforma WordPress viene “hackerato”, la responsabilità è da attribuire alla carenza di misure di sicurezza che si dovrebbero adottare durante lo sviluppo. E’ pur vero che nella sua configurazione base WP non offre grandi strumenti, ma si può ovviare  ciò con alcuni accorgimenti che contribuiranno a rendere sicura la vostra installazione WordPress

In questo articolo riassumiamo una serie di attività e di plugin per aumentare la sicurezza del vostro sito WordPress.

wp-config.php

• Modifica con frequenza la chiave di sicurezza (https://api.wordpress.org/secret-key/1.1/salt/ ) In questo modo tutti i cookies degli utenti loggati verranno azzerati
• Disabilitare la modifica dei file (editor.php) tramite wp-config.php aggiungendo il codice seguente:
  
  PHP

  define ( 'DISALLOW_FILE_EDIT', true );

  1	define ( 'DISALLOW_FILE_EDIT', true );

LOGIN

• Blindare la pagina di login dopo una ripetuta serie di tentativi falliti (Login Lockdown o iThemes Security )
• Attivazione dell’autenticazione a 2 fattori (Google Authenticator for WordPress)
• Forza l’uso della email al login invece dello username (Force Email Login)
• Rinominare l’ URL della pagina di login (iThemes Security , Rename wp-login o direttamente con .htaccess)
• Rimuovere i link diretti all’area admin
• Utilizzare una password sicura con maiuscole, minuscole, numeri e caratteri speciali su tutti gli account (generatore di password)
• Cambiare le password regolarmente

WP-admin

• Mantenere WordPress aggiornato all’ultima versione
• Non creare un account con il nome utente admin. Se già esiste, creare un nuovo account amministratore e cancellare quello vecchio
• Crea un account Editor e utilizzarlo esclusivamente per pubblicare contenuti
• Implementare SSL per la sezione di amministrazione di WordPress
• Installare plugins per verificare modifiche ai files (WP Security Scan, Wordfence or iThemes Security)
• Eseguire la scansione del sito web alla ricerca di virus, malware e violazioni della sicurezza (https://wordpress.org/plugins/gotmls/ )

TEMI

• Mantenere il tema aggiornato
• Rimuovere temi non utilizzati
• Scaricare e utilizzare temi solo da fonti attendibili

DISABILITARE REST API WORDPRESS

Se il vostro utilizzo di  WordPress è quello tipico di un classico sito HTTP  e non vi sono applicazioni associate che necessitano di comunicazioni di tipo REST () è consigliabile disattivare le funzione REST e  XMLRPC.

• Disabilitare XML-RPC
• Disabilitare REST:
  
  PHP

  add_filter('rest_authentication_errors','SOFT_disable_rest'); //versioni WP > 4.7: function SOFT_disable_rest($access) { return new WP_Error( 'rest_cannot_access','La REST API per WordPress &egrave; stata disabilitata', array('status' => rest_authorization_required_code()) ); } //versioni WP < 4.7: function SOFT_disable_rest_json () { // Disable REST v1 add_filter('json_enabled','__return_false'); add_filter('json_jsonp_enabled','__return_false'); // Disable REST v2 add_filter('rest_enabled','__return_false'); add_filter('rest_jsonp_enabled','__return_false'); } add_action('after_setup_theme','SOFT_disable_rest_json');

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

  add_filter('rest_authentication_errors','SOFT_disable_rest');   //versioni WP > 4.7: function SOFT_disable_rest($access) {     return new WP_Error(         'rest_cannot_access','La REST API per WordPress &egrave; stata disabilitata',          array('status' => rest_authorization_required_code())     ); } //versioni WP < 4.7: function SOFT_disable_rest_json () {     // Disable REST v1     add_filter('json_enabled','__return_false');     add_filter('json_jsonp_enabled','__return_false');       // Disable REST v2     add_filter('rest_enabled','__return_false');     add_filter('rest_jsonp_enabled','__return_false'); }   add_action('after_setup_theme','SOFT_disable_rest_json');

PLUGIN

• Tenere tutti i plugin aggiornati
• Rimuovere completamente i plugin inutilizzati
• Scaricare e utilizzare i plugin solo da fonti attendibili
• Sostituire i plugin obsoleti con le più recenti alternative
• Pensaci due volte prima di installare una tonnellata di plugin

DATABASE

• Cambiare il prefisso tabella di default (tutorial)
• Pianifica i backup settimanale del database (WP Backup, WP DB Backup etc.)
• Utilizzare una password con maiuscole, minuscole, numeri e caratteri speciali per l’utente del database (generatore di password)

HOSTING

• Utilizza fornitori di hosting affidabili
• Effettua connessioni al server solo attraverso SFTP o SSH
•  Impostare tutte le autorizzazioni delle directories a 755 e dei files a 644 (Codex)
• Assicurarsi che il file wp-config.php non sia accessibile da altri
• Rimuovere (o bloccare tramite .htaccess) i file LICENSE.TXT, wp-config-sample.php, e readme.html
• PHP

  add_filter('xmlrpc_enabled', '__return_false');

  1	add_filter('xmlrpc_enabled', '__return_false');

• Impedire la visualizzazione dell’elenco dei files nelle directory tramite .htaccess aggiungendo il seguente codice:
  
  Perl

   Options All -Indexes

  1	Options All -Indexes