WordPress è ora di proteggerlo con .htaccess!

Abbiamo già parlato in altri articoli di .htaccess, di come si usa e quali sono i campi d’azione. Quello di cui invece volevo parlare oggi, è la sicurezza del nostro amato WordPress. Qualcuno potrebbe chiedere, perchè WordPress non è sicuro? Premesso che nessun sistema informatico può definirsi sicuro, WordPress potrebbe diventare instabile non per il suo codice sorgente, ma per i tantissimi plugin e temi disponibili.

Ci sono numerosi plug-in per mantenere le difese a WordPress come LockDown che registra gli indirizzi IP e li blocca dopo un determinato numero di tentativi di accesso non autorizzato, questo aiuta a risolvere gli attacchi del tipo “brute force”. Un altro plugin utile è WP Security Scan che controlla la tua installazione, e verifica le vulnerabilità suggerendo possibili metodi per correggere ogni anomalia che potrebbe trovare. Uno dei metodi più ignorato, è aggiornare il codice sorgente frequentemente, non appena viene rilasciata una nuova versione. Un suggerimento è anche eliminare i file “readme.html” e “license.txt” dalla directory principale, questo evita di poter leggere la versione installata.

Configurazione del file .htaccess

La configurazione tipica del file .htacces potrebbe essere la seguente:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Anche in questo caso, il suggerimento è di aggiungere ulteriori comandi dopo la linea # END WordPress, questo serve a scongiurare l’ipotesi di danneggiare alcuni comandi di base con l’aggiunta di ulteriori linee. Inoltre è assolutamente indispensabile che conserviate in luogo sicuro questo file, eseguendo periodicamente backup.

Proteggere il wp-config.php

wp-config.php è il file posizionato nella directory principale in cui sono memorizzate informazioni sul tuo sito e i dettagli del database, questo file, in particolare, non dovrebbe mai cadere nelle mani sbagliate. Nel tuo file .htaccess aggiung quanto segue per evitare qualunque tipo accesso al file wp-config.php:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Accesso in amministrazione solo al tuo IP

Se il tuo IP è statico, potresti aggiungere i relativi comandi per inibire a tutti l’ingresso nella directory wp-admin. Devi essere assolutamente sicuro di non avere un indirizzo IP dinamico, altrimenti ti verrebbe negata la possibilità di entrare nel tuo pannello di controllo non appena viene modificato il tuo indirizzo IP. Se sei sicuro di possedere un indirizzo IP statico, aggiungi le seguenti linee al tuo file .htaccess:

order deny,allow
allow from 202.090.21.1 (replace with your IP address)
deny from all

Evitare l’esplorazione delle directory

Tutti gli utilizzatori di WordPress conoscono la struttura della directory, occorre non consentire l’esplorazione per evitare la possibilità di entrare nella directory dove sono conservati tutti i plugin, per fare ciò aggiungete questo codice al vostro file .htaccess:

# directory browsing
Options All -Indexes

Allo stesso modo, per difendere la directory wp-content, aggiungete questo codice al vostro .htaccess:

Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>

Proteggere .htaccess

Molto spesso dimentichiamo che il nostro file .htaccess è alla portata di tutti, con l’aggiunta di queste righe inibiamo la possibilità di aprire il nostro .htaccess:

<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Questa guida pratica è una parziale traduzione di NetMagazine.com.

Le migliori offerte di Informatica, con spedizione GRATUITA.
tablet ebay x

Informazioni su Luciano Del Fico 20718 Articoli
Appassionato di Informatica, Blogger, Webmaster, Scrittore, Contabile, seguimi su questo Blog troverai le migliori offerte di tecnologia e tutto quello che avresti voluto sapere su WordPress, CMS, PHP, Webdesign e Programmazione.

Commenta per primo

Rispondi