Sicurezza WordPress

19 Marzo 2019 di

Semplici consigli su come rendere sicuro il proprio sito in WordPress.

Aggiornamento

Aggiornare costantemente i propri temi e plugin è la base su come mettere in sicurezza il proprio sito internet.Potrebbe risultare faticoso anche per mancanza di tempo aggiornarlo manualmente,specie se si hanno installati parecchi plugin (cosa che sconsiglio sempre e comunque).

In questo caso, potremo scrivere queste poche righe di codice all’interno del nostro wp-config.php

add_filter( ‘auto_update_plugin’, ‘__return_true’ );

Ci permetteranno di far partire aggiornamenti automatici ogni qual volta c’è ne sarà bisogno.

Secret key (o chiavi univoche)

Ad ogni upgrade di WordPress verranno rilasciate delle chiavi univoche all’interno del nostro wp-config.php

Il problema che in questo caso si pone, è che queste chiavi ‘segrete’ non potranno esserlo più di tanto dal momento in cui rimarranno di default per ogni installazione scaricata fino all’ upgrade successivo, aumentando il rischio di vulnerabilità causato da possibili attacchi hacker.

Consiglio vivamente o di sostituire le righe con chiavi scritte interamente da noi, o meglio ancora andare a questo indirizzo per poterne generare di automatiche risparmiando tempo

Login

Va bene la password lunga, va bene un nickname non scontato, però il problema di WordPress è che avrà sempre e comunque un punto di accesso comune a tutti http://www.nomesito.it/wp-admin/

I form di accesso sono porte molto appetitose per i malintenzionati, quindi preveniamo possibili attacchi andando a modificare wp-admin con un nome a nostro piacimento.

Per farlo potremmo utilizzare un plugin molto semplice da utilizzare, Wps Hide Login

Versione

Esistono purtroppo alcuni software che sono in grado di scansionare l’intero sito, ma si sa, prevenire è meglio che curare, nascondere la versione del nostro Wordpress potrebbe essere utile per evitare di suggerire al malintenzionato che la nostra versione potrebbe contenere dei bug.

Per far questo all’interno del nostro function.php conviene incollare questo codice

function fb_remove_wp_version_strings( $src ) {

global $wp_version;

parse_str(parse_url($src, PHP_URL_QUERY), $query);

if ( !empty($query[‘ver’]) && $query[‘ver’] === $wp_version ) {

$src = remove_query_arg(‘ver’, $src);

}

return $src;

}

add_filter( ‘script_loader_src’, ‘fb_remove_wp_version_strings’ );

add_filter( ‘style_loader_src’, ‘fb_remove_wp_version_strings’ );

/* Hide WP version strings from generator meta tag */

function fb_remove_version() {

return ”;

}

add_filter(‘the_generator’, ‘fb_remove_version’);

Database

Cambiare il prefisso delle tabelle è buona pratica, anziché adottare il buon vecchio wp_ cerchiamo di cambiarlo con uno a nostro piacimento.

Per far questo si può entrare all’interno del nostro phpmyadmin e eseguire una procedura piuttosto complessa e laboriosa.

Meglio farlo durante l’installazione guidata, vi verrà chiesto semplicemente di inserire a scelta un prefisso, nulla di più semplice

Temi e Plugin

Ultimo consiglio che posso dare è quello di installare temi e plugin soltanto da fonti sicure.

Andando sul sito ufficiale wordpress.org ad esempio nella sezione dedicata ai plugin, possiamo vedere ogni quanto viene aggiornato, leggerne le valutazioni e accertarsi di quante siano le installazioni attive.

Concludo dicendo che vale la pena perdere un po’ di tempo e studiare almeno le basi del php, per notare quante volte poche righe di codice possano sostituire tranquillamente un intero plugin.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Ti piacciono i miei articoli?

Iscriviti alla mia newsletter.

Riceverai tutorial e consigli su come gestire un sito wordpress in totale autonomia!

* indicates required
Se sei un privato o un’azienda, hai un progetto in mente e vorresti collaborare con me, non esitare a contattarmi al form accanto oppure a questo indirizzo! info@fabriziomercurio.it