alcuni semplici consigli per aumentare la sicurezza di wordpress

Vediamo alcuni semplici consigli per aumentare la sicurezza del proprio sito wordpress.

WordPress è uno dei CMS (Content Management system) più diffusi ed utilizzati al mondo, ed anche tra i più bersagliati dagli hackers.

Prescindendo dal complesso argomento della messa in sicurezza di un server, ci sono alcune semplici azioni che possono esser messe in atto per aumentare la sicurezza dell’istallazione di WordPress:

• RENDERE IL PROPRIO LOGIN SICURO: per esempio acquistando ed installando tramite il proprio hosting provider un certificato SSL. Una volta acquistato il certificato forzare il login WordPress aggiungendo sul file wp-config.php le seguenti istruzioni:

  define('FORCE_SSL_LOGIN', true);
  
  e
  
  

  define('FORCE_SSL_ADMIN', true);

  Per le utenze di amministrazione del pannello: Evitare di impostare “admin” come username dell’amministratore, inoltre si può creare un account subsciber fittizio con user admin che sia fuorviante. Utilizzare per gli account reali psw complesse che prevedano numeri, maiuscole e minuscole, caratteri speciali.

• IMPOSTARE DEI BACKUP del sito e del database con frequenze se non giornaliere settimanali.
• EFFETTUARE SEMPRE GLI AGGIORNAMENTI del core di wordpress e dei plugin installati.
• IMPOSTARE I PERMESSI con i valori corretti in tutte le cartelle e files del sito: 755 per le cartelle, 644 per i files
• NASCONDERE LA VERSIONE DEL CMS per non concedere un importante vantaggio a chi fa hacking aumentando così la difficoltà per trovare delle vulnerabilità nella versione di wordpress istallata: Per far questo bisogna agire sul file function.php aggiungendo

  function wpbeginner_remove_version() {
  return '';
  }
  add_filter('the_generator', 'wpbeginner_remove_version');

• CAMBIARE IL PREFISSO DELLE TABELLE che solitamente per wordpress è “wp_” in qualcosa di meno intuibile.
• NEGARE L’ACCESSO AL FILE WP-CONFIG.PHP in quanto li risiedono parecchie informazioni:

  <files wp-config.php>
  order allow,deny
  deny from all
  </files> fatto ciò settare i permessi del file htaccess.php a 640

• infine DISABILITARE L’EDITING DEI FILES DI SISTEMA DAL BACKEND: aggiungere sul file wp-config.php

  define('DISALLOW_FILE_EDIT', true);