Come rendere più sicura l’installazione di WordPress

WordPress è oggi il CMS più comune e diffuso: solo nei nostri piani di hosting shared ospitiamo oltre un migliaio di siti che lo utilizzano (senza contare le installazioni su VPS o server dedicati).

Come tutti i CMS, apre però il fianco ad alcune vulnerabilità, che possono permettere l’installazione abusiva di codice malevolo.

Riteniamo quindi importante fornire alcuni suggerimenti per aumentare la sicurezza della propria installazionedi WordPress:

MISURE MINIME

  • aggiornate WordPress e tutti i plugin installati all’ultima versione disponibile
  • installate il plugin di sicurezza http://wordpress.org/extend/plugins/better-wp-security/
    (nota: questo plugin è preinstallato di default sul nostro piano hosting dedicato per WordPress: quindi, l’utente in tal caso deve solo abilitarlo e configurarlo)
  • assicuratevi di utilizzare per l’utente admin una password molto “robusta”
    (almeno 10 caratteri, utilizzando lettere maiuscole e minuscole, numeri, caratteri speciali; qualcosa del tipo “fyU7b!vfPjASnw”)
  • non utilizzate l’utente admin per postare ed inserire contenuti
    L’utente admin va utilizzato solo per installare, configurare e gestire l’installazione di WordPress. Tutti i contenuti ed i post vanno inseriti utilizzando un altro profilo utente, creato appositamente
  • fate regolari backup del vostro sito e del database
    Ricordiamo che i backup che noi eseguiamo servono a permettere il ripristino dei servizi in seguito ad un crash del server; se i dati del vostro sito vengono cancellati per errore, o a causa di codice malevolo inseritosi nel sito, non è possibile effettuare il restore dai nostri set di backup
  • utilizzate plugin e template solo da fonte sicura
    Evitate di utilizzare plugin e template scaricati dal primo sito che capita; potrebbero essere contraffatti o infetti.
    Utilizzate solo software scaricato da siti sicuri (p.es. wordpress.org o download.com)

Altri suggerimenti per aumentare la sicurezza di un’installazione WordPress sono disponibili al seguente link:
http://codex.wordpress.org/Hardening_WordPress

 

MISURE SUPPLEMENTARI

[box type=”warning”] NOTA: non tutte queste misure sono adottabili all’interno di un piano di hosting shared. Alcune sono destinate solo a chi ha installazioni all’interno di VPS o server dedicati.[/box]

Disabilitate il comando DROP per l’utente DB_USER
(il comando DROP è virtualmente inutile per l’installazione di WordPress)

Rimuovete i file README ed i file di licenza
(in quanto rendono disponibili informazioni sulla versione utilizzata)

spostate il file wp-config.php ad un livello di directory superiore, ed impostate i relativi permessi a 400

prevenite la possibilità di lettura del file htaccess

limitate l’accesso a wp-admin solo a specifici IP

SE RISCONTRATE UNA VIOLAZIONE DI UNA VOSTRA INSTALLAZIONE WORDPRESS IN UN HOSTING SHARED O FRACTO:

segnalateci immediatamente il fatto con un ticket su panel.newmedialabs.it