- Home
- Categorie
- Coding e Sistemistica
- WordPress
- Aumentare la sicurezza di un sito Wordpress, cosa fare e non fare?
-
Due azioni fondamentali sono la configurazione del nome dell'amministratore, che deve essere tassativamente diverso da admin, e l'uso di qualche plugin per la sicurezza che impedisca in particolare gli attacchi con la forza bruta. Limit Login Access è un banalissimo plugin che fa il suo sporco lavoro in questo senso ma ce ne sono altri che fanno anche altre cose e altre persone potranno portare le loro esperienze.
-
Come già detto, non usare "admin" come username dell'utente amministratore. E neppure "wordpress", "test" o un nome riconducibile al tuo dominio, perchè sono facilmente attaccabili. E soprattutto, scegli una password sicura (ma questo credo sia scontato).
Dato che devi ancora installare WP, ti consiglio di cambiare il prefisso delle tabelle del database, nel file wp-config.php, con qualcosa di lungo e poco intuibile, per prevenire gli attacchi di SQL injection. Per esempio:
[PHP]
/**- Prefisso Tabella del Database WordPress.
- È possibile avere installazioni multiple su di un unico database
- fornendo a ciascuna installazione un prefisso univoco.
- Solo numeri, lettere e sottolineatura!
*/
$table_prefix = 'hr3ow0_';
[/PHP]
Per quanto riguarda i plugin io mi trovo bene con "All In One WP Security & Firewall" che da solo fa un bel po' di cose.
Infine (last but not least) ricorda sempre: backup regolari e periodici di file e database! Importantissimo!
Buon lavoro
-
Ok, grazie mille per le risposte se avete dei corsi da suggerirmi o dei libri per approfondire l'argomento fatelo pure perché voglio studiare bene l'argomento. Grazie
-
I suggerimenti di Riccardo79 e NetMassimo sono ottimi.
Personalmente vorrei solo aggiungere il link alla pagina ufficiale di Wordpress che spiega come difendersi al meglio: codex.wordpress.org/Brute_Force_Attacks
-
Ok, grazie mille per le risposte.
-
I suggerimenti scritti in precedenza sono importantissimi, suggerisco il plugin iThemes Security che forse è uno dei più user-friendly e ti da' un sacco di opzioni. Per il resto fai sempre molta attenzione a quello che installi nel tuo sito, soprattutto se trovi theme e plugin fuori dal sito ufficiale che potrebbero contenere backdoor e/o virus e/o indebolire il sito.
-
@Riccardo79 said:
Infine (last but not least) ricorda sempre: backup regolari e periodici di file e database! Importantissimo!
Esistono plugin anche per fare il backup di wordpress? Scusa l'ignoranza.
-
@Raskolnikov said:
Esistono plugin anche per fare il backup di wordpress?
Io utilizzo il servizio esterno "Infinite WordPress", che permette di gestire numerosi siti WP e di fare il backup completo di file e DB.
Per fare il backup del solo DB esistono diversi plugin, per fare il backup dei file ho visto che esiste un plugin chiamato backWPup (non lo uso, quindi non so dirti quanto sia valido) che fa anche l'upload del file col backup su DropBox, server FTP, etc.
-
preferisco akeeba o uno a pagamento su dropbox e altri servizi cloud
-
Ciao omonimo, come consigliato da salvatore79 ti consiglio anche io iTheme Security. In rete trovi parecchie guide per una configurazione ottimale. Provvede anche ai backup del database.
Per il backup dei file ci pensa il mio hosting e mi scarico il gzip del sito periodicamente.
Evita comunque plugin e temi compromettenti: abbi sempre cura che vengano aggiornati dagli sviluppatori e non siano datati. Leggi anche i feedback degli utenti che li hanno testati prima di te per avere un'idea della loro qualità. Evita come la peste i temi crackati che oltre ad essere illegali possono portarsi dietro del codice malevolo.
Altro suggerimento che non ti è stato dato è quello di bloccare la numerazione consecutiva degli utenti registrati. Lo puoi fare mediante un plugin che si chiama Stop User Enumeration.
Cosa forse scontata ma che molti non fanno: tieni sempre aggiornato Wordpress, plugin e tema in modo che eventuali bug vengano risolti dagli sviluppatori!