Oggi vi segnalo alcuni consigli per garantire la sicurezza del vostro blog (o sito/portale, perchè no? ) basato sull’ormai famosissima piattaforma WordPress che proprio per questa sua enorme diffusione, come spesso accade in questi casi, ha svelato vari bugs che potrebbero comprometterne la sicurezza.
– La prima cosa da fare in maniera obbligatoria è ovviamente quella di installare gli aggiornamenti di WordPress quanto prima possibile.
– Creiamo un file .htaccess nella cartella /wp-admin/ inserendo in esso il seguente codice:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<limit GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</limit>
Questo vieterà la visione dei dati sensibili a chiunque.
– Creiamo un file vuoto chiamandolo index.html nella cartella /wp-content/plugins/ per vietare la visione dei plug-in installati nel blog a quegli utenti più smaliziati, che però non ne hanno il permesso.
– Installiamo il plug-in Login LockDown che permette di tracciare tutti i dati di coloro che accedono al pannello di amministrazione del blog. Questo è molto utile nel caso di tentativi di accesso al pannello di amministrazione tramite “brute force attack” (tipico dei cracker).
– Utilizziamo una password da amministratore molto difficile da individuare (questa regola vale per qualunque ambito, una password di almeno 8 caratteri alfanumerici, è sempre l’ideale, se poi contornata da punteggiatura, diventa invalicabile).
– Nascondere la versione di WordPress installata grazie al plugin bs-wp-noversion. Questo per non dare punti di riferimento a potenziali cracker che volessero sfruttare le vulnerabilità peculiari e risapute di alcune versioni di WordPress.
Fonti: Daily Blog Tips | Epiblogger