Sicurezza WordPress (1/3): Proteggi l'Accesso 4

Sicurezza WordPress (1/3): Proteggi l’Accesso

WordPress è la piattaforma più utilizzata dai webmaster, per la sua affidabilità, stabilità e miriade di plugin che ci permettono di costruire qualsiasi tipo di Sito Web (leggi anche: Quale Piattaforma CMS Scegliere). Alcuni non sanno però che WordPress è famoso anche per la sua elevata sicurezza che garantisce un’affidabile protezione contro malintenzionati. Esistono comunque alcuni plugin e più importante accorgimenti per aumentare ulteriormente la sicurezza di questa piattaforma.

In questa raccolta di 3 articoli curati da Misha Rudrastyh, vi riportiamo dei consigli utili per innalzare le barriere di sicurezza native del vostro WordPress.

1. Veramente? Sei ancora Admin?

In ogni CMS è presente un accesso da amministratore predefinito. Per coloro che desiderano accedere al tuo sito Web, questo rende la loro vita molto più facile. Il login predefinito di WordPress definito in fase di installazione è “admin”. Quando installi WordPress, pertanto non essere pigro e cambialo con qualsiasi altro nome.

Sicurezza WordPress (1/3): Proteggi l'Accesso 5

In caso contrario, vai subito su phpMyAdmin per eseguire la seguente query, ovviamente sostituisci “notadminpls” con il login desiderato e {database_prefix} con il prefisso del database corrente, il prefisso predefinito è wp_.

UPDATE {database_prefix}users SET user_login='notadminpls' WHERE user_login='admin';

Voglio ricordartelo ancora una volta: se esegui qualche query nel tuo database e non sei sicuro di cosa stai facendo … Prima fai sempre un backup!

Stai usando WordPress Multisite? La query SQL di seguito consente di riassegnare l’autorizzazione superadmin al nuovo accesso (“notadminpls” nell’esempio).

UPDATE {database_prefix}sitemeta SET meta_value = REPLACE(meta_value, 's:5:"admin"', 's:11:"notadminpls"') WHERE meta_key = 'site_admins';

* 11 è il numero di simboli nel tuo nuovo accesso. Troppo complicato per te? – usa la funzione grant_super_admin ().

2. Trucco per i tuoi archivi 

Va bene … se hai cambiato il tuo nome login da amministratore, forse ti senti a tuo al sicuro. Non ancora purtroppo. Prova ad aggiungere all’URL della tua pagina web qualcosa come “/?Author=1“. Premi Invio.

La pagina sta eseguendo il reindirizzamento … e … non è il tuo nuovo accesso? Sorpreso?

Quindi, prima di tutto chiuderemo questo /?Author = reindirizzamento in .htaccess e successivamente cambieremo il nome utente del tuo amministratore, che viene utilizzato negli URL dell’archivio degli autori “author/NOME UTENTE”.

Opzione 1. Reindirizzare ?Author=pagina in .htaccess

In realtà possiamo spaccare questo cambiamento in due passaggi. Nella prima parte del codice reindirizziamo gli utenti alla home page. Ma se qualcuno qualcuno dovesse visitare ?Author=NICKNAME capirà immediatamente che stai usando questo trucco – ecco perché è fondamentale utilizzare anche la seconda parte del codice.

RewriteCond %{REQUEST_URI} !^/wp-admin [NC]

RewriteCond %{QUERY_STRING} author=\d

RewriteRule ^ /? [L,R=301]

Il codice deve essere inserito dopo la riga RewriteEngine On e prima della riga RewriteBase /.

Opzione 2. Restituisce la pagina di errore 404 predefinita del tema al posto di ?Author=NOME UTENTE

Ma ancora meglio è mostrare l’errore 404 proprio come dovrebbe essere. Questo metodo è un po’ complicato perché devi aprire modificare le impostazioni della tua pagina 404, copiare il suo HTML e incollarlo in 404.html, che dovrebbe trovarsi nella directory principale di WordPress.

Successivamente, da qualche parte all’inizio del tuo .htaccess inserisci questa riga di codice:

ErrorDocument 404 /404.html

E poi dopo RewriteEngine On e prima di RewriteBase / inserisci:

RewriteCond %{REQUEST_URI} !^/wp-admin [NC]

RewriteCond %{QUERY_STRING} author=\d

RewriteRule ^.*$ – [R=404,L]

E il gioco è fatto!

3. Modifica del nome utente (non del nickname) e del nome visualizzato

Bene, queste sono regole di base che chiunque dovrebbe seguire durante l’installazione di WordPress. Il tuo nome e il nome visualizzato potrebbero essere mostrati in così tanti luoghi sul tuo sito web che non hai idea. Quindi ti prego, presta particolare attenzione e cambiali immediatamente, in modo da evitare problemi in futuro.

Che tipo di problemi? Ad esempio che qualcuno sferri un attacco chiamato brutal force avendo il tuo login e provando a ripetizione diverse password.

Il tuo nome utente non dovrebbe mai corrispondere al tuo display_name!

Per cui non aspettare, vai ora su Utenti> Profilo e modificalo!

Sicurezza WordPress (1/3): Proteggi l'Accesso 6

Devi semplicemente evitare che accada qualcosa del genere:

Sicurezza WordPress (1/3): Proteggi l'Accesso 7

Il Nome Utente è anche importante

Non è sufficiente cambiare solo il nome visualizzato (devi andare in phpMyAdmin ancora una volta) perché il tuo nome utente appare anche in body_class(), in comment_class() e anche nell’URL dell’archivio autore /author/nomeutente.

UPDATE {database_prefix}users SET user_nicename = 'MishaRudrastyh' WHERE ID = 1;

Nella schermata sotto la classe del commento è un costruita con il tuo nome utente, il titolo dell’autore è un composto anche esso con il nome visualizzato. Quindi, se li hai già cambiati entrambi – fantastico!

Sicurezza WordPress (1/3): Proteggi l'Accesso 8

E per ora è tutto, ora sarai più sicuro della NASA!

Ma se vuoi essere sicuro al 100% non ti scordare di installare un plugin che si occupi di vegliare sul tuo WordPress e chi vada correggere possibili buchi della tua sicurezza, ti allego due esempi per me validi:

1. All In One WP Security & FirewallSicurezza WordPress (1/3): Proteggi l'Accesso 9

2. Wordfence Security – Firewall & Malware ScanSicurezza WordPress (1/3): Proteggi l'Accesso 10

 

Fatti sentire