Siamo giunti alla terza e ultima parte della Guida Sicurezza, la guida all’Installazione e Configurazione per rendere il vostro sito WordPress sicuro. Per chi di voi si fosse perso le precedenti, le trova qui: Guida Sicurezza Parte 1 e Guida Sicurezza Parte 2
La seconda parte della guida si era conclusa con le configurazioni Wordfence. Ora procediamo con la terza e ultima parte:
Configurazioni Admin Graphic Password by siteguarding.com
Installiamo e attiviamo il plugin Stop Graphic Password
Stop Graphic Password aggiunge un’ulteriore protezione contro i “brute force attacks”.
Anche questo plugin ha delle funzionalità a pagamento ma le sue funzionalità gratuite sono sufficienti per la protezione del nostro sito.
Andiamo in Impostazioni > Graphic Password.
Scegliamo una foto e inseriamo dei punti al suo interno.
La prossima volta che andremo a fare il login troveremo un piccolo lucchetto nel form di login:
Cliccando sul lucchetto si aprirà l’immagine settata nell’admin dove bisognerà inserire i punti nell’immagine. Questo sistema ci aiuta a proteggere da brute force attacks perché il “bot” che effettua l’attacco non riesce a superare il blocco (non vede l’immagine e soprattutto non sa cosa farsene).
Configurazioni backup.
Questo è un sistema che crea delle routine di backups (files e database).
Installiamo e attiviamo il Updraft plus. Questo sistema a differenza di Wordfence è anche stato tradotto in lingua Italiana.
Andiamo in Impostazioni > Updraft plus backups e poi clicchiamo nel tab “settaggi”.
Configurare Contenuti di backup e Pianificazione
Intervallo di creazione backup: [ogni 12 ore] and retain this many scheduled backups: [2]
Intervalli di backup del database: [Giornaliero] and retain this many scheduled backups: [7]
Includere nei files di backup:
[x] Plugins
[x] Temi
[x] Uploads
Escludi questi: [backup*,*backups,backwpup*,wp-clone]
[x] Eventuali altre directory trovati dentro wp-content
Escludi questi: [upgrade,cache,updraft,backup*,*backups,mysql.sql ,debug.log]
Copia del backup per archiviazione remota
Scegli il tuo Storage Remoto: Abbiamo la scelta tra UpdraftPlus Valut (servizio a pagamento), Dropbox, Amazon S3 e Rackspace Cloud Files.
*Salvare prima di configurare lo storage remoto scelto nel menu a tendina.
Modifica nicename
WordPress ha una pecca quando si visualizza la pagina dei singoli autori. WordPress in pratica utilizza lo username dell’autore come nome della pagina (nomesito.it/author/username). In questo modo la username diventa visibile a tutti. Il problema è dovuto al fatto cheWordPress utilizza lo stesso contenuto del campo “user_login” (username) dentro il “user_nicename”. La seguente è una modifica che va fatta direttamente nel database. Possiamo usare PhpMyAdmin per effettuare questa modifica. Non dobbiamo utilizzare spazi nel nostro user_nicename. E’ ottimo se usiamo un user_nicename tipo Nome-Cognome in modo da essere user friendly e anche SEO friendly. Dopo questa modifica si potrà accedere alla pagina dell’autore in questo modo: nomesito.it/author/nome-cognome e cosi abbiamo aumentato la sicurezza del nostro sito WP.
HTACCES FILE
Andiamo ad aggiungere protezione al nostro sito WP tramite il .htaccess file.
Non modifichiamo il contenuto tra le righe che iniziano con BEGIN WordPress e END WordPress.
Disabilitare il browsing delle directory
# Blocca il Directory Browsing
Options All -Indexes
Disabilitare l’accesso al file wp-config.php
# Blocca accesso al wp-config.php file
order allow,deny
deny from all
Disabilitare l’accesso al htaccess file
Quando si tenta di accedere ad un htaccess file direttamente da web viene generato un errore. Comunque, non fa mai male aggiungere un ulteriore strato di protezione.
Occhio però che così neanche WP può scrivere sulla htaccess file (potrebbe servire quando si modificano le URL).
# Blocca accesso al .htaccess
order allow,deny
deny from all
Proteggiamo il nostro admin folder
Possiamo limitare l’accesso a determinati indirizzi IP. Questa soluzione è conveniente quando tutti gli admin/editori hanno un IP statico che non cambia mai. Altrimenti verremo bloccati pure noi admin. Possiamo sicuramente aggiornare l’indirizzo IP tramite FTP però sarebbe un bel sbattimento!
Per limitare l’accesso tramite indirizzo IP dobbiamo creare un htaccess file dentro la cartella wp-admin ed inserire i seguenti comandi:
# blocca l’accesso a tutti eccetto (cambiare l’ip con quello proprio)
order deny,allow
allow from “mettere qui l’indirizzo IP”
deny from all
La soluzione migliore è quella di inserire una protezione tramite webserver a tutta la cartella wp-admin. Questa operazione può essere fatta tramite cpanel (password protect directories).
Altrimenti si può fare manualmente aggiungendo un htaccess file all’interno della cartella wp-admin con i seguenti comandi (location della password: AuthUserFile “/home/nome-directory/public_html/.htpass”)
Password protect della cartella wp-admin
AuthName ‘Restricted Area’
AuthType Basic
AuthUserFile “/home/nome-directory/public_html/.htpass”
require user dev
Dopodiché andiamo ad inserire i seguenti comandi nel htaccess file all’interno della cartella wp-admin:
# quando proteggiamo la cartella wp-admin con user/pass rischiamo di rompere un collegamento al admin-ajax.php e quindi inseriamo i seguenti comandi:
Order allow,deny
Allow from all
Satisfy any
Robots.txt
Il robots txt file dice ai bots dei motori di ricerca dove possono e dove non possono andare e soprattutto quali contenuti possono indicizzare. Ovviamente non vogliamo che il bot di google (o un bot di un hacker) vada ad indicizzare la nostra cartella wp-admin.
Creiamo un file chiamato robots.txt file e lo inseriamo nella root del nostro sito WP. Al suo interno inseriamo i seguenti comandi:
User-agent:*
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Allow: /wp-content/uploads
Prima di partire a scrivere e lanciare il nostro sito WP ricordiamoci le seguenti:
riattivare indexing: Impostazioni > Lettura → Visibilità ai motori di ricerca Visibilità ai motori di ricerca Scoraggia i motori di ricerca ad effettuare l’indicizzazione di questo sito
È compito dei motori di ricerca onorare o meno questa richiesta.
Anche la 3° parte di questa guida è stata pubblicata!
Siete pronti a partire in tutta sicurezza con il vostro nuovo sito WordPress. Ma se ancora non avete acquisito domestichezza o se sorgono problemi inaspettati non esitate a rivolgervi alla vostra Web Agency di fiducia.
Rivolgetevi a Babita!