5 assi per la sicurezza di WordPress

Visto quello che mi è succeso proprio l’altro giorno – hackeraggio del mio sito, aggiunta di codice maligno, classificazione da parte di Google come sito maligno e successivo drastico calo di visite – ho cercato di preventivare un po’ di più queste cose.

A parte l’aggiornamento totale di tutto (WordPress, plugin, ecc.) ecco qui di seguito gli assi della sicurezza (4 e oltre) che dovrebbero essere nella manica di ogni amministratore di un blog.

Limit Login Attempts

Limit Login Attempts è un plugin totalmente configurabile che, di default, non consente più di 4 tentavivi consecutivi di login. Dopo il quarto tentativo bisogna aspettare 20 minuti per riprovare l’accesso; questo è ottimo contro gli attacchi di tipo brute force.

Sabre

Sabre è utile solo quando avete un sito aperto all’iscrizione degli utenti; infatti blocca le registrazioni fasulle da parte degli spambots.

Semisecure Login Reimagined

Semisecure Login Reimagined aumenta la sicurezza nella procedura di accesso utilizzando una chiave RSA pubblica per crittografare la password sul lato client quando si esegue l’accesso; il serve quindi la decodifica con la chiave privata. Richiede Javascript e PHP, comunque non necessita di particolari configurazioni.

Bad Behavior

Bad Behavior è uno fra i tanti plugin che funziona da anti-spam: questo verifica l’indirizzo IP del visitatore nel database del Progetto Honey Pot per vedere se è di uno spammer.

Secure WordPress

Secure WordPress cerca di nascondere agli utenti che non sono amministratori tutti i riferimenti pubblici su quale versione di WordPress stiamo usando; inoltre protegge le directory dalle visite non desiderate iserendo un file INDEX vuoto.

(aggiornamento 27 mag’13)

Better WP Security

Better WP Security è sicuramente la carta jolly per questa categoria di plugin, perchè consente di mettere le mani su un sacco di opzioni di sicurezza!

Opzioni di cammuffamento contro utenti che voglioni sfruttare falle di WP o di temi e plugin:

  • Rimuove il tag “Generator” dal codice
  • cambia gli url per la bacheca, il login, l’admin, ed altro ancora; questo consente anche di creare degli url più amichevoli per utenti meno scaltri
  • può disattivare il login per determinati intervalli di tempo (per esempio di notte)
  • rimuove gli avvisi di aggiornamenti per temi, core e plugin agli utenti che non hanno il permesso di aggiornare
  • rimuove l’utente “admin”
  • cambia l’ID all’utente con ID=1
  • cambia i prefissi delle tabelle nel database
  • cambia il percorso della cartella “wp-content”
  • rimuove i messaggi di errore al login
  • mostra un numero di versione di WP casuale

Opzioni di protezione effettive:

  • scansiona il sito per trovare punti vulnerabili e sistemarli
  • bandisce bots e altri hosts o user-agents problematici
  • previene attacchi tramite “forza bruta” limitando i tentativi di login
  • aumenta la sicurezza del server
  • se il server lo supporta, richiede SSL
  • disattiva l’editing di file tramite l’amministrazione
  • blocca attacchi a database e filesystem
  • rileva tentativi di ricerca verso punti deboli
  • monitora il filesystem per modifiche non autorizzate

Opzioni di ripristino:

  • Consente di programmare il backup del database e di inviarlo via email ad intervalli regolari.
  • Inoltre può anche scovare errori 404 nascosti che potrebbero ripercuotersi sull’ottimizzazione  SEO
Altri sono arrivati qui cercando:
cinematocmane, cinemactoname.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Ricevi un avviso se ci sono nuovi commenti. Oppure iscriviti senza commentare.

You can add images to your comment by clicking here.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.