Proteggi il pannello admin di Worpress dagli hackers

0

Se stai usando WordPress come piattaforma per il tuo blog o sito web, probabilmente sai che ci sono stati un sacco di falle nella sicurezza, non solo nel software stesso, ma anche nei plugin. Alla luce di questi problemi, vediamo insieme come prevenire i tentativi di hacking bloccando la cartella di amministrazione.

Il server Web Apache ha un meccanismo integrato che consente di assegnare una password richiesta per una cartella, che è separata dalla password di WordPress.

Suggerimenti rapidi per la sicurezza

La sicurezza è abbastanza importante che ho ritenuto necessario includere alcuni suggerimenti extra qui. Questo non è affatto un elenco completo, ma dovresti esaminarli comunque.

  • Assicurati di avere l’ultima versione di WordPress e tutti i tuoi plugin.
  • Assicurati che i permessi dei file siano impostati correttamente in base alle linee guida di WordPress.
  • Utilizza password complesse per tutti gli account.
  • Esegui un backup dell’intera installazione e del database di WordPress.
  • Blocca la cartella di amministrazione con le regole .htaccess

Se invece hai un po’ di tempo e vuoi conoscere come proteggere il tuo blog wordpress, puoi leggere quest’articolo.

Assegnare manualmente una password alla directory di wp-admin

Crea un file chiamato .htaccess nella tua directory wp-admin e aggiungi il codice seguente:

AuthName "Area Riservata" 
AuthType Basic 
AuthUserFile /var/full/web/path/.htpasswd 
AuthGroupFile /dev/null 
require valid-user

Dovrai aggiustare la riga AuthUserFile per utilizzare il percorso completo del file .htpasswd che creeremo nel passaggio successivo. Puoi trovare il percorso completo usando il comando pwd dal prompt della shell.

Successivamente sarà necessario utilizzare l’utilità della riga di comando htpasswd per creare il file della password. Ti suggerisco inoltre di utilizzare un account utente e una password diversi da quelli utilizzati per l’installazione di WordPress.

$ htpasswd -c .htpasswd myusername
New password: 
Re-type new password: 
Adding password for user myusername

Dovrai assicurarti di essere nella directory specificata da AuthUserFile e cambiare “myusername” in qualcosa di unico per il tuo sito. Questo creerà un file con contenuti simili al seguente:

myusername:idm34TLdop5dKe

A questo punto quando accedi al pannello di WordPress potresti dover inserire una password.

Se invece si verifica un errore del server, probabilmente dovresti rimuovere il file .htaccess e ricominciare da capo.

Infine, assicurati di rimuovere le autorizzazioni di scrittura su entrambi i file con il comando chmod come un ulteriore livello di sicurezza:

chmod 444 .htaccess

chmod 444 .htpasswd

C’è un ottimo strumento di Dynamicdrive che farà tutto il lavoro necessario per creare il file per te. Ciò è particolarmente utile se non si ha accesso alla shell al proprio server.

Dovresti comunque assicurarti di rimuovere l’accesso in scrittura una volta caricati i file.

Autore del blog Digitalart. Programmatore con la passione per i computer, dolci e la cucina in generale. Ama cimentarsi in produzioni grafiche e scrivere articoli interessanti.

Potrebbe piacerti anche...