Proteggere la nostra Wordpress da tentativi di hacking dicembre 6, 2007
Inviato da mimo in : Blog , trackback
Se utilizzate la piattaforma WordPress come me, per il blog o per un sito web probabilmente sapete che ci sono stati un sacco di buchi in fatto di sicurezza, non solo nel software stesso, ma anche per quello che riguarda i plugin. Alla luce di questi problemi, vedremo come impedire tentativi di hacking andando a bloccare la nostra cartella di amministrazione.
Brevi suggerimenti per aumentare la sicurezza del nostro Blog
La sicurezza è importante, ho ritenuto necessario includere alcuni suggerimenti aggiuntivi qui. Questo non è affatto un elenco completo, ma guardateci comunque.
- Assicurarsi che si sta eseguendo l’ultima versione di WordPress e tutti i tuoi plugin.
- È necessario prendere in considerazione la sottoscrizione di BlogSecurity.net, un blog che tenta di parlare di notizie riguardo la sicurezza su piattaforme di blogging.
- Assicuratevi che i permessi sui vostri file siano impostati correttamente secondo le linee guida WordPress.
- Assicuraratevi di utilizzare password difficili per tutti gli account.
- Assicurarsi di fare il backup dell’intera installazione di WordPress e della relativa banca dati
- Blocca la tua cartella con la le regole nel file di .Htaccess (questo ve lo spiego adesso)
Assegnamo a mano una password alla cartella wp-admin
Creiamo un file di nome .htaccess sono nella nostra cartella wp-admin, e mettiamoci dentro:
AuthName "Restricted Area"
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile /dev/null
require valid-user
Dovete modificare la linea AuthUserFile, utilizzando l’intero percorso del file .htaccess. Ad esempio mette /var/www/prova/percorso/.htpasswd. Adesso andiamo a creare, appunto, il file .htpasswd.
D’ora in avanti devi usare il file .htpasswd della linea di comando per creare il file delle password. Vorrei anche consigliare di usare un altro account utente e quindi un’altra password rispetto a quella che utilizziamo per l’installazione di WordPress.
$ htpasswd -c .htpasswd mionomeutente
Nuova password:
Riscrivi la nuova password:
Aggiunta la password per l utente mionomeutente
Ovviamente, al posto di mionomeutente, mettiamoci il nome utente che intendiamo usare.
Verrà creato a questo punto un file contenente le varie password per gli utenti che hanno l’accesso al pannello di wp-admin con un aspetto simile al seguente:
mionomeutente : qwerty123456
D’ora in avanti, quando passeremo al nostro account /wp-admin, ci apparirà una finestra dove inserire nome utente e password, diverse rispetto a quelle normalmente richieste per l’accesso all’account.
Se ricevete un errore del server, invece, si dovrete rimuovere il file .htaccess e ricominciare daccapo.
Infine, è necessario assicurarsi di rimuovere i permessi di scrittura entrambi i file con il comando chmod per avere maggiore sicurezza.
chmod 444 .htaccess
chmod 444 .htpasswd
Su dynamicdrive è presente un piccolo tool che ci aiuta a che farà tutto il duro lavoro di creare il file per voi. Ciò è particolarmente utile se non si ha accesso shell per il vostro server, perché si può solo caricare i file via client FTP / SFTP.
Commenti»
[...] avete letto il mio precedente articolo “come proteggere la nostra wordpress da tentativi di hackinng“, faccio proprio uso del file .htaccess, ed attraverso questo tool, tutto è più [...]
Vedo che te però non hai messo gli .htaccess… Perkè?
http://mimo.netsons.org/wp-admin/
perché pochi giorni fa ho dovuto togliere e rimettere tutto daccapo per colpa di un tema che mi ha sconfigurato tutto
Domani metto tutto a posto però!
Promesso!!:D
Ahi.. Ahi… Ancora niente!