Sul sito di David Terni (sismi.info) ho trovato questo articolo molto utile per rendere wordpress più sicuro.

Potrebbe risultare interessante anche per voi blogger che mi leggete che utilizzate questo cms, vi lascio al suo articolo:

Scrivo questo post non a caso. Qualche giorno fa è stata scoperta una vulnerabilità relativamente grave sui CMS Wordpress, ma applicata in maniera molto banale. Avere un sistema sicuro e non affetto da bug è impossibile. Non potendo metter mano al codice potremmo invece concentrarci nel limitare al minimo i danni nel limite delle nostre potenzialità.

Un primissimo consiglio che non riguarda propriamente la sicurezza, ma più che altro la possibilità di correre ai ripari, è quello di effettuate un backup settimanale di tutto il vostro database. In caso di problemi o intrusioni che potrebbero portare alla distruzione degli articoli e commenti sarete in grado di ripristinare una versione relativamente recente del vostro blog. Personalmente consiglio questo plugin.

La sicurezza la si applica in vari modi e con diversi gradi si “disponibilità” dei vostri server.

  1. Avere la versione di Wordpress più aggiornata: Questo è un punto un po spinoso. Potete esser certi che appena viene scovata una vulnerabilità c’è chi si occupa di farvi trovare tutti i file pronti per essere sostituiti con le versioni più sicure e stabili presenti sul vostro sito. Tutta via l’ultima versione potrebbe esser incompatibile con alcuni dei vostri plugin, quindi questa operazione potrebbe non essere esente da conseguenze. Personalmente non ho l’ultima versione di wordpress e quando viene scoperta qualche vulnerabilità sono io che devo metter mano al codice e risolvermi il bug da solo o trovare hack poco puliti. A voi decidere quale delle due strade scegliere se: sicurezza o disattivazione plugin con annessi disservizi.
  2. Aumentare robustezza password: Non limitatevi a sole 6 lettere per accedere all’area Admin. Considerate anche di immettere caratteri maiuscoli, numeri e il tutto che non faccia riferimento a informazioni personali per un minimo di 8 caratteri.
  3. Connessioni SSH per l’accesso FTP: i server a basso costo non offrono questo tipo di implementazione, ma se avete la possibilità consiglio caldamente di usarla per mandare le informazioni criptate sul server senza che nessuno abbia modo di modificare o intercettare il contenuto della trasmissione ottenendo file riservati e password d’accesso al vostro web-serer. Implementare questo tipo di sicurezza potrebbe portare ad un rallentamento della trasmissione ftp. Ecco quindi che per windows viene in aiuto WinSCP che supporta sia SSH1 che SSH2. Questo è un programma veramente molto potente che non si limita al solo sFTP. Da studiare anche per altri ambiti.
  4. Connessione SSL per il Login: Anche qui, proprio come per l’SSH, saranno in pochissimi a permettersi questo tipo di privilegio in quanto la stragrande maggioranza di voi avrà il proprio sito su un server condiviso e non potrete avere la vostra pagina di login in HTTPS. Se non potete attivarlo vi consiglio una valida alternativa che si chiama LoginLock. Si installa come un normale plugin per Wordpress e ha un suo pannello di configurazione se volete modificare le impostazioni di default. Non permette di effettuare connessioni “sicure”, ma inibisce e limita l’accesso nei modi e nei tempi da voi desiderati.

  5. Proteggere la cartella Plugin: non molti sanno che la cartella che sta sotto wp-content/plugin è completamente accessibile. Andiamo in tale cartella e creiamo un file vuoto dal nome index.html e quando qualcuno avrà la buona idea di andare a vedere che plugin abbiamo installato visualizzerà solo una pagina bianca. Consiglio anche di andare a mettere nell’htaccess la seguente linea Continua a leggere questo articolo »

    Condividi