La sicurezza è una delle mie manie, per questo motivo oggi mi son messo a controllare un po’ cosa si può fare per rendere un leggermente più sicuro WordPress.
Non seguire questi passi e non seguirli tutti, non significa che verrete defacciati nei prossimi giorni, sia chiaro, sono cose che andrebbero fatte, usando un poco di buon senso.
1 – Cancellare i file d’installazione/aggiornamento
Una volta che avrete installato o aggiornato il vostro wordpress è buona regola rimuovere i files d’installazione, perchè sono inutili e se i programmatori si son lasciati sfuggire un piccolo bug, sono fallabili.
Perciò, in questo caso, cancelliamo i file /wp-admin/install.php e/wp-admin/upgrade.php
2 – Cambiamo i permessi d’accesso al file wp-config.php
Una votla configurato il file wp-config.php sono rarissime le volte in cui dovrete andarlo a cambiare e comunque è un’operazione manuale.
Ove possibile mettiamo i permessi a questo file in questo modo: 600
chmod 600 /home/iltuoutente/ilsito/wp-config.php
3 – Rendiamo le cartelle non browsable
Dobbiamo innanzitutto cercare tutte le catelle che non hanno un index.htm e mettergli un bel file index.htm vuoto, questo file verrà automaticamente eseguito ad ogni tentativo d’accesso, prevenendo così il browse della cartella.
4 – Cancelliamo il primo post
Subito dopo l’installazione del wordpress è meglio cancellare il primo post, perchè conosciuto, cioè tutti sanno che il primo post contiene quella frase e quel commento, è quindi facile da individuare attraverso i motori di ricerca e rivela la piattaforma installata.
Note a tergo:
Se proteggiamo il file wp-config.php con il livello di autorizzazione impostato a 600, ed il nostro wordpress non va più possiamo rimettere l’autorizzazione al livello precedente ed impostare nel file .htaccess questa impostazione:
<files “wp-config.php”>
Order Deny,Allow Â
Deny from all
</files>
Spero di aver fatto cosa gradita.
Ottimi consigli, ne terrò conto
;)
è sempre un piacere
Per curiosità perchè dici di cancellare il primo post per non mostrare la piattaforma installata?
Il primo motivo è che è proprio rivelatore della piattaforma, il secondo motivo è che per gli spambot significa “forza ragazzi sono qui, venite a bombardarmi”
;)
grande!
grazie mille!