Wordpress, PHP, CSS e Javascript tips!

Un po’ di sicurezza sul vostro sito WordPress. Azioni su htaccess, versione WP e admin

di  /  A- A A+
  Attenzione! Questo post non è stato più aggiornato da almeno 90 giorni. Potrebbe contenere dati, notizie e scripts non aggiornati o non in linea con gli attuali standard!

laptop-868816_960_720Ieri leggevo un interessante articolo su Your Inspiration Web sulla sicurezza del sito WordPress, ponendomi il problema effettivo della sicurezza dei blog targati WordPress. Gli attacchi informatici sono sempre in agguato. E il sito in questione propone una serie di accorgimenti per limitare al massimo gli accessi illegali alla piattaforma WordPress.

Il primo suggerimento propone l’inserimento nel file .htaccess del divieto di accedere a determinate pagine sensibili che rivelano la versione del vostro WordPress. Il codice da copiare e inserire è il seguente:

Come potete vedere, abbiamo bloccato con un forbidden 403 l’accesso ai file sensibili della vostra piattaforma che potrebbero rivelare o essere utilizzati per hackerare il vostro blog.

Secondariamente, per un’ulteriore sicurezza del vostro blog, è meglio disabilitare del tutto gli editori dei temi e dei plugins. Aggiungiamo questa riga di codice al file wp-config.php:

Ma non è finita qui. Dobbiamo nascondere la versione del nostro WordPress che viene generata nelle pagine web. Prima di tutto:

Da incollare nel vostro file functions.php. In questo modo evitiamo che nel tag head venga generata la versione del vostro WordPress. Alternativamente o contestualmente (meglio) si può utilizzare questo filtro, che rimuove la versione anche dai feeds RSS:

Tramite questo filtro è possibile inoltre assegnare una versione “fittizia” al vostro WordPress.

Ma ciò purtroppo non basta. WordPress genera il numero di versione anche quando evochiamo nel tema un file javascript o un css tramite la funzione wp_enqueue_script o wp_enqueue_style. Questo “problema” si può ovviare assegnando un numero di versione alle risorse che evochiamo, in questo modo:

Questo perché se noi non inserissimo nulla o scrivessimo false, WordPress genererebbe comunque il proprio numero di versione:

Decisamente assurdo. Inoltre, se anche possiamo contenere questo problema per le risorse javascript e css inserite nel nostro tema, diverso è il discorso per quanto riguarda i plugins. Perché in questo caso, non possiamo certo mettere mano al plugin per correggere questo inconveniente. Se lo facessimo, risolveremmo nel momento, e cioè fino al prossimo aggiornamento del plugin. Insomma, ecco un modo per cancellare il problema alla radice:

Anche questo filtro deve essere incollato nel file function.php. In questo script ho lasciato la generazione del numero di versione solo per i css e i javascript caricati nel pannello amministrazione, sul presupposto che nel pannello entriate solo voi.

Un ulteriore accorgimento è evitare di usare il nome admin per le vostre credenziali d’accesso. In tal caso, o modificate il nome direttamente sul database oppure create un nuovo utente con le credenziali di amministratore, dopo di che, cancellate quello quello precedente.

Ma esistono molti altri accorgimenti per rendere il vostro sito sicuro, oppure potete usare un plugin che fa questo lavoro. Nell’articolo citato viene suggerito WP Better Security.

© 2016 Il Jester – Note Legali  Commenta
E' un post utile?00
Archiviato in: Wordpress  /  Tags: ,