Come mettere in sicurezza WordPress? WordPress è il CMS più utilizzato al mondo. Il 70% dei siti che utilizzano CMS è fatto con WordPress. Il 30% di tutti i siti della rete sono fatti con WordPress. In rete ci sono circa 75 milioni di siti targati WordPress. Questa diffusione lo rende uno dei bersagli più frequenti. Se non abbiamo un budget per poterci rivolgere ad un professionista (scelta che rimane sempre quella consigliata), attraverso questa check-list per principianti, dotati di un po' di pazienza, tempo e voglia di sperimentare, ci si può proteggere da buona parte degli attacchi più comuni. Per approfondimenti: https://www.giulianogrowler.it/tutorial/wordpress/sicurezza-wordpress-una-check-list-per-principianti/
Sicurezza & WordPress: una check-list per principianti.
1. WordPress Meetup Brindisi !1
Sicurezza & WordPress
Una check-list per principianti per aumentare
il livello di sicurezza di un blog/sito in
WordPress.
2. WordPress Meetup Brindisi !2
Chi sono
Giuliano Turturici (Growler)
@TweetGiuliano
www.giulianogrowler.it
11. WordPress Meetup Brindisi !11
1. numero di utenti iscritti al sito
2. numero di pagine complessive del sito
3. numero di visite del sito
4. posizionamento nelle SERP
5. celebrità/notorietà del sito/proprietario
Cosa rende appetibile un sito?
17. WordPress Meetup Brindisi !17
Prima di WordPress…
Sicurezza del nostro dispositivo
Sicurezza del server
18. WordPress Meetup Brindisi !18
Prima di WordPress…
Sicurezza del nostro dispositivo
Sicurezza del server
Sicurezza della connessione dispositivo/server
19. WordPress Meetup Brindisi !19
Prima di WordPress…
Sicurezza del nostro dispositivo
Sicurezza del server
Sicurezza della connessione dispositivo/server
Ingegneria sociale
20. WordPress Meetup Brindisi !20
Vale la legge di Pareto
Esiste un 20% di fattori che ci permette di ottenere l’ 80% del risultato
21. WordPress Meetup Brindisi !21
Vale la legge di Pareto
Esiste un 20% di fattori che ci permette di ottenere l’ 80% del risultato
1. SCELTE
22. WordPress Meetup Brindisi !22
Vale la legge di Pareto
Esiste un 20% di fattori che ci permette di ottenere l’ 80% del risultato
1. SCELTE
2. BUONE ABITUDINI
23. WordPress Meetup Brindisi !23
Vale la legge di Pareto
Esiste un 20% di fattori che ci permette di ottenere l’ 80% del risultato
1. SCELTE
2. BUONE ABITUDINI
3. ROBA PER SMANETTONI
47. WordPress Meetup Brindisi !47
#11
Creare subito un altro utente come
AMMINISTRATORE, fare il login con il nuovo account
ed eliminare il primo con ID=1
(oppure assegnargli un ruolo base)
48. WordPress Meetup Brindisi !48
#12
Creare subito un altro utente come AUTORE ed
utilizzare questo come autore degli articoli
(L’amministratore NON deve avere articoli
pubblicati!)
49. WordPress Meetup Brindisi !49
#13
Completare i campi dei profili utente Autore e
Amministratore con il Nome, Cognome e
Nickname e scegliere come nome da visualizzare
qualsiasi cosa diversa dal nome utente!
51. WordPress Meetup Brindisi !51
#14
Eliminare dal database il nome utente dai
permalink sia dell’ AMMINISTRATORE che
dell’AUTORE generati in automatico da WordPress.
53. WordPress Meetup Brindisi !53
#15
Se si tratta di un blog mono-autore disabilitare
l’archivio autore ed il link nella sezione entry-header
(meglio anche per la SEO)
60. WordPress Meetup Brindisi !60
#18
Spostare/nascondere la pagina /wp-login.php
(Plugin gratuiti sul repository di WordPress)
61. WordPress Meetup Brindisi !61
#19
Limitare il numero di tentativi di accesso
(Plugin gratuiti sul repository di WordPress)
62. WordPress Meetup Brindisi !62
#20
Abilitare solo 1 indirizzo IP per /wp-login.php
<Files wp-login.php>
order deny, allow
Deny from all
Allow from XX.XXX.XXX.XXX
</Files>
66. WordPress Meetup Brindisi !66
#24
Abilitare solo i formati necessari in /uploads/
Order Allow, Deny
Deny from all
<file “.(jpg|jpeg|pdf|png|gif)$”>
Allow from all
<Files>
67. WordPress Meetup Brindisi !67
#25
Spostare la directory dei /plugins/
define( ’WP_PLUGIN_DIR’, dirname(__FILE__).’/blog/wp-content/plugins’ );
define( ’WP_PLUGIN_URL’, ’http://example/blog/wp-content/plugins’ );
68. WordPress Meetup Brindisi !68
#26
Impedire l’accesso ad alcuni file
readme.html
license.txt
wp-config-sample.php
wp-config.php
xmlrpc.php
69. WordPress Meetup Brindisi !69
#26
Impedire l’accesso ad alcuni file
<files xmlrpc.html>
Order Allow, Deny
Deny from all
<files>