• User

    Sicurezza Wordpress Plugin & C.

    Ciao a tutti, nei mesi scorsi ha avuto diversi siti infettati da malaware ecc.
    Ho installato dei plugin per rendere piu sicuro wp e inoltre ho adottato delle best practice per le installazioni nuove e quelle attuali.
    I plugin che uso per il momento sono :
    Bulletproof security
    worpdress file monitor
    akismet
    bed behavior
    Mute screamer

    Permessi per le directory settate a 755 e dove posso 750, permessi 400 su htacess e wp-config, tabelle del db con suffiso non wp_ pwd di almeno 8 caratteri, username admin inesistente, (devo controllare gli ID del db) .

    Ora ho trovato un'altro plugin che è Better WP security, vorrei provarlo ma non voglio che sia una replica di Mute screamer Qualcuno l'ha provato? ci sono plugin migliori in fatto di sicurezza e performance di quelli che ho elencato? Avete altri cosigli?

    Grazie ciao
    Massimo


  • User Attivo

    Ciao, personalmente sconsiglio sempre di usare plugin inquanto sono sempre un qualcosa di vulnerabile. Si può fare tutto da codice, si tratta di capire la tua esperienza in materia di codice.


  • User

    Guarda anche io sono sempre poco incline a usare plugin dove posso, pero in questo caso a parte bulletprof, che potrei fare a meno visto che sono regole che posso copiarmi e riutilizzare, negli altri casi non saprei dove mettere mano. Non sono un programmatore php, anche se ho fatto qualche script, se vede del codice riesco a capirlo... Ad esempio il plugin Mute screamer usa il database di phpids che senso avrebbe rifare un plugin o cmq integraro direttamente nelle installazione se esiste già un plugin? non vorrei reinventare la ruota.


  • User Attivo

    Esistono diversi accorgimenti che si possono adoperare per rendere più sicuro un sito wordpress (impossibile renderlo sicuro al 100%).

    Come ben saprai, visto che sei giustamente poco incline ad usare plugin, i plugin possono rallentare il sito web e, proprio perchè plugin disponibili a tutti, possono rappresentare una falla, una possibilità di più per la vulnerabilità.

    Per prima cosa, hai messo mano al file config.php e messo in sicurezza il file htaccess? Sono modifiche molto semplici ma che, unite ad altre modifiche, aiutano moltissimo.


  • User

    Limita il numero di login che si possono fare con Login Lock, poi se vuoi (consigliato), sposta anche la pagina di login (ci sono plugin che fanno questo).

    Con Bulletproof security hai già una buona dose di sicurezza, no? L'hai installato prima o dopo gli attacchi?

    Ho provato Better WP security e non è male, ma non ho mai provato Mute screamer, quindi non saprei... installalo in locale e vedi.


  • User

    Grazie a tutti per i consigli, allora sul sito avevo messo il plugin dopo che è stato infettato, cmq adesso sto cercando di eliminare anche questo plugin inserendo all'interno dell'htaccess le direttive utili e magari aggiungendone altre. Per il files htaccess e wp-config oltre a settare permessi restrittivi e disabilitare l'accesso, da htaccess, altro non ho fatto. Altro passo che vorrei fare senza plugin è quello di cambiare l'url di login di dafault e limitare il numero di tentativi di login errati.
    Mute screamer implementa il sistema di rilevamento di sql injection e xss tramite phpisd l'ho provato bisogna testarlo bene perche può dare molti falsi positivi ma una volta configurato è un sistema di rilevamento buono....

    Ciao e grazie Massimo