Sicurezza in WordPress: come proteggersi dagli attacchi – prima parte



sicurezza wordpress

come difendersi dagli attacchi informatici in WordPress

WordPress è oggi il più popolare CMS utilizzato per la creazione di siti aziendali, blog e negozi online o anche per portali di grandi dimensioni. L’enorme vantaggio di questo strumento sta nella sua semplicità di utilizzo, nonostante rimangano irrisolti innumerevoli problemi di sicurezza.

Il mantenimento della sicurezza delle informazioni è un argomento assai attuale e largamente discusso dagli esperti nel settore, specie dopo che migliaia di server che ospitano il dominio WordPress.com si sono ritrovati sotto un terribile attacco da parte degli hacker che ha messo a repentaglio l’account di milioni di utenti.

In questo post affronteremo alcune delle tematiche principali per risolvere alcuni dei problemi di sicurezza più gravi.

1. Proteggere WordPress da XSS-Injections

Gli sviluppatori sono sempre intenti a proteggere i GET-end e i POST-request, ma spesso questo non è sufficiente: è necessario proteggere il sito da XSS-Injections e i tentativi di modifiche delle variabili GLOBAL_REQUEST. Per proteggere questo tipo di attacco sarà sufficiente incollare nel file .htaccess il codice riportato di seguito:

-------------
-------------

Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]

Nonostante questo script impedisca azioni indesiderate, è sempre meglio avere una soluzione di riserva nel caso succeda qualcosa. Se l’host lo permette, è opportuno creare o modificare un file di impostazioni, chiamato php.ini, che controllo il funzionamento del PHP. Tutto ciò che è necessario fare è impostare la seguente variabile:

open_basedir = ‘/home/www/public_html/

wp- content/uploads/:/home/www/public_html/

wp- content/Plug-inA/’

2. Rimuovere le informazioni di troppo

Pubblicando nel proprio blog la versione di WordPress utilizzato, non si farà altro che facilitare e velocizzare il lavoro degli hacker. È, poi, opportuno, per lo stesso motivo, eliminare tutte le informazioni aggiuntive in caso di tentativo di accesso al pannello di controllo.

Per eliminare questo tipo di informazioni basterà aprire il file function.php contenuto all’interno della cartella del tema in utilizzo, e aggiungere una semplice riga di codice:

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

3. Forzare l’SSL

Il FORCE_SSL_LOGIN viene utilizzato dai programmatori per proteggere gli account di accesso in modo che le password non vengano inviate in chiaro, quando ancora vogliono consentire sessioni di amministrazioni non SSL, vista la sua caratteristica lentezza.

Il FORCE_SSL_ADMIN, invece, viene utilizzato per proteggere ogni account di accesso e l’area di amministrazione in modo che le password e i cookie non vengano mai inviati in chiaro. Questa è l’opzione più sicura.

Continueremo a parlare di trucchi per mantenere sicuro WordPress in un prossimo articolo, stai tuned!

GD Star Rating
loading...
Video:

Un pensiero riguardo “Sicurezza in WordPress: come proteggersi dagli attacchi – prima parte

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Altro... hacker, password, sicurezza informatica, trucchi
malware internet explorer
Problemi di sicurezza in Internet Explorer

Sicurezza degli utenti Internet Explorer  a rischio Internet Explorer, il browser preinstallato in tutti i...

Chiudi