Proteggi il pannello admin di Worpress dagli hackers
Il server Web Apache ha un meccanismo integrato che consente di assegnare una password richiesta per una cartella, che è separata dalla password di WordPress.
Suggerimenti rapidi per la sicurezza
La sicurezza è abbastanza importante che ho ritenuto necessario includere alcuni suggerimenti extra qui. Questo non è affatto un elenco completo, ma dovresti esaminarli comunque.
- Assicurati di avere l’ultima versione di WordPress e tutti i tuoi plugin.
- Assicurati che i permessi dei file siano impostati correttamente in base alle linee guida di WordPress.
- Utilizza password complesse per tutti gli account.
- Esegui un backup dell’intera installazione e del database di WordPress.
- Blocca la cartella di amministrazione con le regole .htaccess
Se invece hai un po’ di tempo e vuoi conoscere come proteggere il tuo blog wordpress, puoi leggere quest’articolo.
Assegnare manualmente una password alla directory di wp-admin
Crea un file chiamato .htaccess nella tua directory wp-admin e aggiungi il codice seguente:
AuthName "Area Riservata" AuthType Basic AuthUserFile /var/full/web/path/.htpasswd AuthGroupFile /dev/null require valid-user
Dovrai aggiustare la riga AuthUserFile per utilizzare il percorso completo del file .htpasswd che creeremo nel passaggio successivo. Puoi trovare il percorso completo usando il comando pwd dal prompt della shell.
Successivamente sarà necessario utilizzare l’utilità della riga di comando htpasswd per creare il file della password. Ti suggerisco inoltre di utilizzare un account utente e una password diversi da quelli utilizzati per l’installazione di WordPress.
$ htpasswd -c .htpasswd myusername New password: Re-type new password: Adding password for user myusername
Dovrai assicurarti di essere nella directory specificata da AuthUserFile e cambiare “myusername” in qualcosa di unico per il tuo sito. Questo creerà un file con contenuti simili al seguente:
myusername:idm34TLdop5dKe
A questo punto quando accedi al pannello di WordPress potresti dover inserire una password.
Se invece si verifica un errore del server, probabilmente dovresti rimuovere il file .htaccess e ricominciare da capo.
Infine, assicurati di rimuovere le autorizzazioni di scrittura su entrambi i file con il comando chmod come un ulteriore livello di sicurezza:
chmod 444 .htaccess chmod 444 .htpasswd
C’è un ottimo strumento di Dynamicdrive che farà tutto il lavoro necessario per creare il file per te. Ciò è particolarmente utile se non si ha accesso alla shell al proprio server.
Dovresti comunque assicurarti di rimuovere l’accesso in scrittura una volta caricati i file.
Social