Home » Sicurezza & Hackeraggi » 5 assi per la sicurezza di WordPress

5 assi per la sicurezza di WordPress

Visto quello che mi è succeso proprio l’altro giorno – hackeraggio del mio sito, aggiunta di codice maligno, classificazione da parte di Google come sito maligno e successivo drastico calo di visite – ho cercato di preventivare un po’ di più queste cose.
A parte l’aggiornamento totale di tutto (WordPress, plugin, ecc.) ecco qui di seguito gli assi della sicurezza (4 e oltre) che dovrebbero essere nella manica di ogni amministratore di un blog.

Limit Login Attempts

Limit Login Attempts è un plugin totalmente configurabile che, di default, non consente più di 4 tentavivi consecutivi di login. Dopo il quarto tentativo bisogna aspettare 20 minuti per riprovare l’accesso; questo è ottimo contro gli attacchi di tipo brute force.

Sabre

Sabre è utile solo quando avete un sito aperto all’iscrizione degli utenti; infatti blocca le registrazioni fasulle da parte degli spambots.

Semisecure Login Reimagined

Semisecure Login Reimagined aumenta la sicurezza nella procedura di accesso utilizzando una chiave RSA pubblica per crittografare la password sul lato client quando si esegue l’accesso; il serve quindi la decodifica con la chiave privata. Richiede Javascript e PHP, comunque non necessita di particolari configurazioni.

Bad Behavior

Bad Behavior è uno fra i tanti plugin che funziona da anti-spam: questo verifica l’indirizzo IP del visitatore nel database del Progetto Honey Pot per vedere se è di uno spammer.

Secure WordPress

Secure WordPress cerca di nascondere agli utenti che non sono amministratori tutti i riferimenti pubblici su quale versione di WordPress stiamo usando; inoltre protegge le directory dalle visite non desiderate iserendo un file INDEX vuoto.

Better WP Security

Better WP Security è sicuramente la carta jolly per questa categoria di plugin, perchè consente di mettere le mani su un sacco di opzioni di sicurezza!

Opzioni di cammuffamento contro utenti che voglioni sfruttare falle di WP o di temi e plugin:

Rimuove il tag “Generator” dal codice
cambia gli url per la bacheca, il login, l’admin, ed altro ancora; questo consente anche di creare degli url più amichevoli per utenti meno scaltri
può disattivare il login per determinati intervalli di tempo (per esempio di notte)
rimuove gli avvisi di aggiornamenti per temi, core e plugin agli utenti che non hanno il permesso di aggiornare
rimuove l’utente “admin”
cambia l’ID all’utente con ID=1
cambia i prefissi delle tabelle nel database
cambia il percorso della cartella “wp-content”
rimuove i messaggi di errore al login
mostra un numero di versione di WP casuale

Opzioni di protezione effettive:

scansiona il sito per trovare punti vulnerabili e sistemarli
bandisce bots e altri hosts o user-agents problematici
previene attacchi tramite “forza bruta” limitando i tentativi di login
aumenta la sicurezza del server
se il server lo supporta, richiede SSL
disattiva l’editing di file tramite l’amministrazione
blocca attacchi a database e filesystem
rileva tentativi di ricerca verso punti deboli
monitora il filesystem per modifiche non autorizzate

Opzioni di ripristino:

Consente di programmare il backup del database e di inviarlo via email ad intervalli regolari.
Inoltre può anche scovare errori 404 nascosti che potrebbero ripercuotersi sull’ottimizzazione SEO

Per ulteriori tutorial riguradanti Worepress non ti resta altro che andare QUI.
Nel nostro sito potrai trovare molti tutorial tutti riguardanti WordPress adatti a tutti partendo dai principianti fino ad arrivare agli esperti che però potrebbero avere dimenticato un passaggio.
Sulla destra dell’homepage troverai sia gli articoli pubblicati recentemente sia tutte le macrocategorie che trattiamo nel sito. In alternativa puoi scrivere la parola o le parole chiave in alto a destra nella ricerca del sito e troverai tutto ciò che riguarda quello che hai cercato. BUONA VISIONE!

Lascia un Commento