Realizzazione Siti e Portali Web – Wordpress CODING – Mobile APP – Consulenze SEO – Web design – Ecommerce     Login / Register

Migliorare la sicurezza di WordPress: TODO list e Plugins

Nella maggior parte dei casi in cui un sito su piattaforma WordPress viene “hackerato”, la responsabilità è da attribuire alla carenza di misure di sicurezza che si dovrebbero adottare durante lo sviluppo. E’ pur vero che nella sua configurazione base WP non offre grandi strumenti, ma si può ovviare  ciò con alcuni accorgimenti che contribuiranno a rendere sicura la vostra installazione WordPress

In questo articolo riassumiamo una serie di attività e di plugin per aumentare la sicurezza del vostro sito WordPress.

wp-config.php

  • Modifica con frequenza la chiave di sicurezza (https://api.wordpress.org/secret-key/1.1/salt/ ) In questo modo tutti i cookies degli utenti loggati verranno azzerati
  • Disabilitare la modifica dei file (editor.php) tramite wp-config.php aggiungendo il codice seguente:

LOGIN

WP-admin

  • Mantenere WordPress aggiornato all’ultima versione
  • Non creare un account con il nome utente admin. Se già esiste, creare un nuovo account amministratore e cancellare quello vecchio
  • Crea un account Editor e utilizzarlo esclusivamente per pubblicare contenuti
  • Implementare SSL per la sezione di amministrazione di WordPress
  • Installare plugins per verificare modifiche ai files (WP Security Scan, Wordfence or iThemes Security)
  • Eseguire la scansione del sito web alla ricerca di virus, malware e violazioni della sicurezza (https://wordpress.org/plugins/gotmls/ )

TEMI

  • Mantenere il tema aggiornato
  • Rimuovere temi non utilizzati
  • Scaricare e utilizzare temi solo da fonti attendibili

DISABILITARE REST API WORDPRESS

Se il vostro utilizzo di  WordPress è quello tipico di un classico sito HTTP  e non vi sono applicazioni associate che necessitano di comunicazioni di tipo REST () è consigliabile disattivare le funzione REST e  XMLRPC.

  • Disabilitare XML-RPC
  • Disabilitare REST:

PLUGIN

  • Tenere tutti i plugin aggiornati
  • Rimuovere completamente i plugin inutilizzati
  • Scaricare e utilizzare i plugin solo da fonti attendibili
  • Sostituire i plugin obsoleti con le più recenti alternative
  • Pensaci due volte prima di installare una tonnellata di plugin

DATABASE

  • Cambiare il prefisso tabella di default (tutorial)
  • Pianifica i backup settimanale del database (WP Backup, WP DB Backup etc.)
  • Utilizzare una password con maiuscole, minuscole, numeri e caratteri speciali per l’utente del database (generatore di password)

HOSTING

  • Utilizza fornitori di hosting affidabili
  • Effettua connessioni al server solo attraverso SFTP o SSH
  •  Impostare tutte le autorizzazioni delle directories a 755 e dei files a 644 (Codex)
  • Assicurarsi che il file wp-config.php non sia accessibile da altri
  • Rimuovere (o bloccare tramite .htaccess) i file LICENSE.TXT, wp-config-sample.php, e readme.html
  • Impedire la visualizzazione dell’elenco dei files nelle directory tramite .htaccess aggiungendo il seguente codice:

Related posts

Leave a Comment

Lascia un commento

Your email address will not be published.




Top