WordPress sicurezza consigli

By  /  Seguimi su:     

Consigli per mettere in sicurezza un sito WordPress.

Come rendere più sicuro WordPress – Esistono numerosi plugin di sicurezza per wordpress, però è bene prendere alcuni accorgimenti, che prescindono da questi, che ci permettono di incrementare la sicurezza del nostro blog Wordpress. Vi raccomando di procedere sempre ad effettuare una copia di backup del vostro file .htaccess prima di procedere con qualsiasi intervento.
Spesso si mette in secondo piano l’importanza di mettere in sicurezza il tuo sito WordPress. Grave errore, perché nel mondo di internet non possiamo mai veramente ritenerci protetti dall’attacco di un hacker. La rete infatti, riserva molte insidie e per ovviare a questo, ci sono centinaia i plugin Wordpress progettati appositamente per la messa in sicurezza di un sito WordPress. Ma cosa occorre fare per mettere in sicurezza un sito WordPress? Di seguito trovi dei consigli di sicurezza WordPress pre e post installazione, che ti spiegheranno come mettere in sicurezza il tuo sito WordPress e chiudere il tuo sito WordPress da possibili attacchi Hacker.

Ecco 16 consigli per aumentare la sicurezza del tuo sito WordPress da eseguire subito dopo l’installazione del CMS WP.

Elimina utente admin

L’account Admin è l’utente standard che viene creato ad ogni installazione di WordPress, per cui l’hacker può conoscere facilmente il nome utente e concentrarsi solo sulla password (per di più accederà direttamente come amministratore!).
Aggiungi un nuovo utente (deve avere il nome-utente diverso dal nome che faremo visualizzare nel blog), assegnali il permesso di Amministratore. Fai il logout e accedi con le credenziali del nuovo utente. Elimina l’utente Admin e assegna al nuovo utente tutti gli articoli di Admin seguendo le istruzioni che ti vengono proposte.

Mantenere l’installazione di WordPress e dei plugin aggiornata

Una regola base per migliorare la sicurezza di WordPress: ogni volta che esce una nuova versione di WordPress (localizzata nella vostra lingua) assicuratevi di aggiornarla. Lo stesso vale per i plugin. Salvo casi in cui abbiate alterato o fatto alterare (da qualche sviluppatore) la struttura del plugin, procedete sempre con gli aggiornamenti. Per saperne di più sugli aggiornamenti di WordPress vedi gli articoli proposti nei link qui sotto.
Qui trovi: come aggiornare WordPress all’ultima versione
Qui invece: come aggiornare WordPress in automatico senza l’intervento dell’utente

Imposta dei backup periodici per WordPress

Non impostare un backup di WordPress è semplicemente folle. Esistono diversi plugin WordPress che consentono di di impostare dei backup periodici, quelli che ritengo i migliori plugin a tale scopo disponibili per WordPress li trovi qui: I migliori plugin gratuiti per fare un backup di WordPress.

Utilizzare autenticazione a due passaggi

Molti già conosceranno questa tecnica in quanto utilizzata da Google per proteggere i propri account, infatti chi ha già abilitato questa funzione sa che per eseguire il login in google bisogna inserire utente e password e subito dopo una password a tempo che può essere spedita via SMS o generata tramite l’applicazione Google Authenticator.
Quindi se avete WordPress e uno smartphone potete anche voi applicare la stessa forma di sicurezza ad un vostro sito web.

Cancellare i files inutili post installazione

Sembra una cosa banale, ma molte persone lasciano i file readme.html, readme.txt e leggimi.txt nella root di WordPress. Non fatelo, in questi file infatti è contenuta la versione della vostra installazione che potrebbe spalancare molte strade ad un hacker che volesse attaccarvi!
Proteggere tramite file .htaccess i file licenza.html e license.txt:

<Files licenza.html>
order allow,deny
deny from all
</Files>
<Files license.txt>
order allow,deny
deny from all
</Files>
Copia e incolla i due codici sopra nel tuo file htaccess e fai salva. Consiglio anche di impedire la lettura in HTTP di alcuni file e cartelle di WordPress impostando una pagina di errore come esegue:
# Protezione file che non devono essere letti in HTTP
# Qui blocco alcuni file PHP del core e altri che danno informazioni
RewriteRule ^readme.html(.*) [R=404,L] RewriteRule ^licenza.txt(.*) [R=404,L] RewriteRule ^license.txt(.*) [R=404,L] RewriteRule ^licenza.html(.*) [R=404,L] RewriteRule ^wp-content/(.*)\.php$ [R=404,L] RewriteRule ^wp-includes/(.*)\.php$ [R=404,L] RewriteRule ^xmlrpc.php(.*) [R=404,L]

Anche questo codice va dentro il file htaccess.

Cancellare il file di installazione

Cancellate tranquillamente il file wp-admin/install.php dal momento che, una volta terminata l’installazione, non è più necessario e renderebbe solo più vulnerabile il vostro sito.

Usare password sicure

Ci sono ancora persone che usano “password”come password o 123456. Usate invece qualcosa di difficile da scoprire, cioè password sicure. Componete le vostre password con lettere, numeri ed almeno un segno speciale. Evitate che il nome utente compaia anche nella password. La soluzione migliore è quella di creare password molto complesse generate casualmente con: strong password generator.

Proteggere il file wp-config.php

Il vostro wp-config.php contiene le informazioni riguardo al vostro database ed altre informazioni che un potenziale hacker cerca, quindi nel vostro file .htaccess aggiungete:

<Files wp-config.php>
order allow,deny
deny from all
</Files>
Infine impostate i permessi del file wp-config.php su 444.

Disabilitare l’editor presente nella bacheca

Disabilitate l’editor dei file da backend con il codice seguente, da aggiungere al file wp-config.php:

define(‘DISALLOW_FILE_EDIT’, true);

L’editor dà la possibilità, di modificare direttamente dal panello di amministrazione di WordPress, tutti i file dei temi e dei plugin. Tale funzionalità può risultare comoda per effettuare rapide correzioni al volo, magari in emergenza, senza bisogno di lavorare tramite FTP o equivalenti.
wordpress sicurezza disabilitare editor per aumentare la sicurezza in wordpress
Nel caso in cui qualcuno ottenga o indovini la password di un account amministratore, risulta estremamente facile compromettere il sito, anche tramite script automatizzati, col risultato che ripristinando i file originali del tema, questi verrebbero presto infettati nuovamente in maniera del tutto automatica. Rispetto ad altre forme di attacco, non è necessario venire a conoscenza della password FTP (in quanto quasi tutte le installazioni di WordPress hanno i permessi di scrittura nella cartella wp-content) e non viene sfruttato nessun bug (funziona anche con le ultime versioni aggiornate).

Rimuovere la versione di WordPress

Come nascondere la versione di WordPress
Per il malintenzionato, conoscere la versione di WordPress, può essere un piccolo vantaggio. Ciò potrebbe un dei tanti fattori di rischio per la sicurezza di WordPress.
Nell’header normalmente la versione viene mostrata con questo metatag

<meta name="generator"; content="WordPress 3.4.2" />

Aggiungete queste righe al file functions.php del vostro tema:

remove_action(‘wp_head’, ‘wp_generator’);

Gli utenti più esperti sanno certamente che a qualsiasi script o foglio di stile verrà assegnata automaticamente la versione corrente di WordPress. Dunque limitarsi solo alla riga di codice sopra non serve a nulla. Bisogna anche rimuovere l’aggiunta automatica della versione che applica WordPress.
Aggiungi quindi anche il seguente codice al file functions.php:

add_filter( 'script_loader_src', 'remove_src_version' );
add_filter( 'style_loader_src', 'remove_src_version' );
function remove_src_version ( $src ) {
 global $wp_version;
 $version_str = '?ver='.$wp_version;
 $version_str_offset = strlen( $src ) - strlen( $version_str );
 if( substr( $src, $version_str_offset ) == $version_str )
    return substr( $src, 0, $version_str_offset );
 else
    return $src;
}

Permettere l’accesso al panello di amministrazione solo dal tuo indirizzo IP

Accesso a wp-admin solo dal proprio indirizzo IP statico
Questa è una misura di prevenzione molto interessante: prevedere l’accesso al proprio blog solo da un determinato indirizzo IP statico (indirizzo IP pubblico del tuo router).
Per fare questo bisogna creare un file .htaccess ad hoc e posizionarlo nella cartella wp-admin (non modificare il file .htaccess presente nella root del sito).
Incollare all’interno del file questo codice:

# Bloccare l’accesso a wp-admin – sostituisci xxx.xxx.x.xx con il tuo indirizzo IP.
order deny,allow
allow from xxx.xxx.x.xx
deny from all

Impedire l’indicizzazione delle cartelle WP-

Gli spider scansionano tutte le pagine del tuo blog per eseguire l’indicizzazione delle stesse. Avere indicizzate le pagine importanti come quelle in wp-admin, wp-content e wp-include non è azione funzionale alla sicurezza di WordPress!
Per cui devi dire indicare agli spider le cartelle che non intendi fare indicizzare. Per impedire l’indicizzazione di tutta la cartella admin, come bisogna fare? Ci sono due modi.
1) Inserisci nel file robots.txt la seguente riga (il file di robots, lo puoi creare automaticamente negli strumenti per webmaster > Configurazione sito > Scansione > Testr dei file Robots.txt:

User-agent: *
Disallow: /wp-*

2) Oppure crea tu direttamente il file robots.txt (ma solitamente il file è gia presente nella root public_html del tuo hosting) tramite blocco note del tup PC e incolli il codice:

User-agent: *
Disallow: /wp-*

Poi salva il file con nome “robots.txt”. Non ti rimane adesso che caricarlo direttamente nella root del tuo server remoto tramite FTP o direttamente da cPanel

Rendere il login silenzioso impedendo la visualizzazione degli errori

La schermata di login di WordPress non è tra le più sicure al mondo questo perché, di default, se i dati immessi nel login sono sbagliati il messaggio di errore login WordPress ci avvertirà dicendo se il nome utente non esiste o se semplicemente hai sbagliato password. Anche se dal punto di vista dell’utente, questo può tornare utile a capire se sono stati inseriti correttamente o meno i dati in fase di login, come la password o il nome utente, vorrei ricordare che i messaggi automatici di errore, potrebbero costituire delle informazioni preziose per gli hacker e anche tutti coloro che desiderano avere accesso al nostro sito!
Per risolvere questo problema, e quindi impedire la visualizzazione dei messaggi automatici di errore nel login di WordPress, non dovrai fare altro che inserire il seguente codice all’interno del file functions.php presente nella cartella del tuo tema attivo. Ti consiglio sempre prima di apportare qualsiasi modifica destinata ad essere permanente al file function php del tema uso di creare un tema child WordPress. Se non sai cosa sono e quali sono i vantaggi dei temi child ti consiglio di leggere questo articolo: come creare un tema child WordPress
pagina login WordPress sicura

function my_login_messages($error) {
  return ‘<strong>ERROR</strong>: Autenticazione di accesso non valida.’;
}
add_filter(‘login_errors’,‘my_login_messages’);
Così facendo, il messaggio d’errore che verrà restituito, sarà il più generico possibile senza fornire alcuna informazione sul perché il login non è andato  a buon fine e quindi meno informazioni per hacker.

Proteggere il file HTACCESS da accessi non autorizzati

Come hai potuto vedere, il file HTACCESS può essere configurato in diversi modi, garantendo differenti funzionalità. Data la delicatezza del file stesso, è importante proteggerlo da accessi non autorizzati, semplicemente aggiungendo il codice:

# blocco file htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>

Proteggere la cartella wp-includes

Ti basta inserire all’interno del file htacess il seguente codice:

RewriteRule ^wp-admin/includes/ – [F] RewriteRule !^wp-includes/ – [S=3] RewriteCond %{SCRIPT_FILENAME} !^(.*)wp-includes/ms-files.php
RewriteRule ^wp-includes/[^/]+\.php$ – [F] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F] RewriteRule ^wp-includes/theme-compat/ – [F]

Disabilitare upload di file php

Impedire l’upload di file tipo php impedisce il caricamento in WordPress di eventuali script malevoli da parte di malintenzionati. Il codice da inserire nel file htaccess è il seguente:

# Disable PHP in Uploads
RewriteRule ^wp\-content/uploads/.*\.(?:php[1-6]?|pht|phtml?)$ – [NC,F]

Impedire hotlinking alle tue immagini (hotlink protection)

Altri siti possono inglobare nelle proprie pagine le immagini presenti sul tuo sito WordPress, semplicemente inserendo il collegamento URL che le identifica sul tuo sito. Questa modalità di inserimento immagini viene chiamata di hotlinking e può essere pericolosa perché può rallentare il tuo sito, soprattutto se pieno di immagini interessanti. Per disabilitare l’hotlinking alle tue immagini, ma puoi anche impostarlo ai video e file del tuo sito WordPress, devi solo implementare questo codice nel tuo file HTACCESS:

# Previeni hotlinking script. Rimpiazza l’ultimo URL con un link ad una immagine qualsiasi.
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tuosito.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC] RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/MlQAH71.jpg [NC,R,L]

N.B: devi sostituire le scritte “tuosito” con il tuo nome dominio acquistato.

Disabilitare il servizio XML-RPC di WordPress

Per XML-RPC si intende un protocollo che dà la possibilità di eseguire delle procedure di chiamata in remoto utilizzando la codifica xml attraverso la rete http; in parole povere è un modo per postare su WordPress utilizzando dei client per weblog, l’applicazione mobile per WordPress oppure connettervi tramite servizi come IFTT.
Originariamente è rimasto disattivo per meri motivi di sicurezza e quindi la sua predefinita attivazione potrebbe cogliere di sorpresa qualche blogger (non tutti sanno come disattivarlo), ecco perché quest’oggi vi illustrerò due metodi per disabilitare servizio xml-rpc di WordPress.
Il servizio XML-RPC è rimasto sempre disabilitato di default ma con il lancio di WordPress 3.5 lo troveremo attivo. Puoi disabilitarlo tramite function php oppure con direttive htaccess.
Codice da incollare sul file function.php del tuo tema WordPress:

add_filter('xmlrpc_enabled', '__return_false');

Per disabilitare tramite htaccess il servizio xml-rpc:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>
Nel caso vogliate, invece utilizzare qualche servizio citato sopra, allora potete lasciare XML-RPC attivo.

Disabilitare il Directory Browsing per nascondere dalla visualizzazione pubblica tramite browser le cartelle WordPress

È sempre meglio disabilitare l’opportunità di navigare fra le cartelle del tuo spazio hosting via browser, agendo sulla proprietà del Directory Browsing. Una delle prime mosse dei malintenzionati è quella di sfruttare bug noti per accedere indebitamente al sito (caricare file arbitrari, cancellare contenuti da remoto, sostituire la home page). Potete evitare il listing sia mediante htaccess che, ad esempio, inserendo un file index.php vuoto nella cartella in questione mediante FTP. La procedura mediante file htaccess:

Codice per impedire la visualizzazione indice delle directory/cartelle

# disable directory browsing
Options All -Indexes

Bloccare i commenti spam su WordPress

Come bloccare i commenti spam per un sito WordPress. Sempre con l’ausilio del file .htaccess è possibile bloccare tutte le richieste di inserimento commenti provenienti da indirizzi diversi dal nostro sito web, i robots solitamente inviano richieste da url o ip esterni e questo trucco previene questo tipo di abusi Ecco il codice da inserire nel tuo htaccess:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*iltuoblog.it.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
Ricordati poi di sotistuire al codice la parola “iltuoblog.it” con il tuo vero dominio. Un altra opzione per limitare lo spam su WordPress è imporre la lunghezza minima dei commenti tramite codice php da inserire nel file function.php. ecco il codice da aggiungere:
add_filter( ‘preprocess_comment’, ‘minimal_comment_length’ );
function minimal_comment_length( $commentdata ) {
$minimalCommentLength = 120;
if ( strlen( trim( $commentdata[‘comment_content’] ) ) < $minimalCommentLength ){
wp_die( ‘All comments must be at least ‘ . $minimalCommentLength . ‘ characters long.’ );
}
return $commentdata;
}
In questo caso la lunghezza minima dei commenti è di 120 caratteri.

Bloccare script injection

Molte volte succede che qualche plugin scritto con poca attenzione, possa avere un difetto di progettazione e permettere delle injection con cui un’eventuale hacker può modificare dei file di sistema o eseguire del codice arbitrario collegato ad una vostra pagina web. Una delle tecniche più usate per risolvere questo problema è bloccare l’accesso con delle regole nel file .htaccess.

# Protezione contro script injection di carattere generale
# con il controllo delle stringhe più conosciute su URL
RewriteCond%{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond%{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond%{QUERY_STRING} (\<|%3C).*iframe.*(\>|%3E) [NC,OR]
RewriteCond%{QUERY_STRING} (<|%3C)([^i]*i)+frame.*(>|%3E) [NC,OR]
RewriteCond%{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond%{QUERY_STRING} base64_(en|de)code[^(]*\([^)]*\) [NC,OR]
RewriteCond%{QUERY_STRING} (localhost|loopback|127\.0\.0\.1) [NC,OR]
RewriteCond%{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond%{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule^(.*)$ index.php [F,L]

Usare un CDN (Content Delivery Network) come Cloudflare

Installa un firewall

Se hai già creato il tuo sito web e vuoi renderlo più sicuro devi installare un Firewall. A tal proposito ti consiglio di utilizzare un CDN (content delivery network) con firewall integrato, come ad esempio il servizio SiteLock, con firewall TrueShield e CDN TrueSpeed. In questo modo avrai una protezione completa del tuo sito, la cui sicurezza verrà costantemente verificata con continue scansioni anti-virus e anti-malware. Inoltre il CDN contribuisce a migliorare le prestazioni del sito web, rendendolo più veloce.
Se vuoi proteggere il tuo blog o sito WordPress dalla visita di utenti indesiderati (e fidati che sono tanti sul web) in modo gratuito e senza alcun investimento allora usa: Cloudflare.
SitelLock è un servizio a pagamento che puoi sottoscrivere e integrare come servizio aggiuntivo durante l’acquistato di un piano hosting professionale per WordPress o successivamente dopo l’acquisto. Allo stesso modo il CDN gratuito per aumentare la sicurezza in WordPress Cloudflare, puoi trovarlo direttamente nel cPanel del tuo account Hosting (come nel caso dell’Hosting professionale Netsons economico e italiano) oppure integralo dopo aver creato account free sul sito di Cloudflare, dove trovi tutte le istruzioni necessarie.

Non utilizzare template gratuiti

I template gratuiti, così come anche i plugin gratuiti disponibili al di fuori della directory di WordPress, possono nascondere elementi dannosi per il tuo sito, come script o link spam. Quindi valuta bene la tua scelta e cerca di acquistare template premium che offrono una maggiore sicurezza ed affidabilità.
Qui trovi: i migliori temi WordPress premium e temi professionali WordPress

Aumentare la sicurezza WordPress: ecco gli accorgimenti durante la fase di installazione (sicurezza WordPress avanzata)

Già durante l’installazione e prima di caricare WordPress sul server remoto è possibile adottare degli accorgimenti per la sicurezza di WordPress. Se decidi di installare wordpress ricordati seguire queste misure indispensabili per la sicurezza Wordrpess!

Permessi a livello di server

Un primo step per elevare la sicurezza di WordPress sono i permessi di scrittura di files e cartelle che devono essere:

  • 755 per le cartelle
  • 644 per i files 

Questa dovrebbe essere un’impostazione permessi di default del server, in caso contrario modifica i permessi. Un altro modo per settare e sovrascrivere i permessi sui file e cartelle di WordPress presenti nella root del server remoto (pubblic_html) inserendo queste due direttive direttamente nel file config.php. Infine consiglio di impostare manualmente i permessi server (CHMOD) dei file wp-config.php e .htaccess su 444.

Sovrascrivere i permessi di file e cartelle di WordPress tramite config.php

Solitamente questa direttiva di configurazione non è necessaria perché i migliori hosting per WordPress forniscono una configurazione di sicurezza del filesystem adeguata, ma per tutti coloro che ne hanno bisogno è possibile forzare i permessi di accesso ai file e alle cartelle impostando i seguenti parametri.
define(‘FS_CHMOD_FILE’,0644);
define(‘FS_CHMOD_DIR’,0755);

WordPress sicurezza: cambiare il prefisso del Database

Si può mettere in sicurezza WordPress nel corso della sua installazione. Ad ogni installazione che facciamo di WordPress, questo ci propone sempre di aggiungere il classico prefisso wp_ alle tabelle del nostro database. Questo è presente all’interno del codice del file config.php di WordPress:

$table_prefix = ‘wp_’

Le cose di default (come ad esempio anche la URL di login) sono quelle che vengono attaccate per prime sul fronte della sicurezza di WordPress! Personalmente, suggerisco di modificare il prefisso suggerito  wp_ con una una stringa di lettere e numeri casuale come vedi in questo esempio:

$table_prefix = ‘n12pkfjx_’

Come puoi notare, il classico wp_ è stato sostituito da una stringa alfanumerica di difficile identificazione che sarà in grado di proteggere il tuo sito WordPress ulteriormente. Questa modifica è molto facile da fare per ogni nuova installazione WordPress, ma, se hai un sito WordPress già operativo, con dei contenuti pubblicati e vuoi modificare il prefisso delle tabelle del database di WordPress senza creare danni, allora, ti consiglio di utilizzare questo plugin per la sicurezza di Wordrepss: iThemes Security oppure All in One Security.

WordPress sicurezza consigli: Generare i Secret Keys

Il problema delle Site Keys è una cosa molto importante che però non viene affrontata molto spesso nei WordPress tutorial che troviamo in rete. Cercando di capire che cosa sono le Secret Keys WordPress possiamo dire che sono delle stringhe alfanumeriche che permettono a WordPress di criptare le informazioni riguardanti l’uso del nostro blog come sessioni, cookie, password ecc… La cosa bella è che creare questi tipi di chiavi è un processo che ti prenderà al massimo una manciata di secondi! Tutto quello che devi fare è puntare il tuo browser sulla pagina creata appositamente da WordPress, copiare il codice fornito ed incollarlo all’interno del file config.php che si trova nella root della tua installazione WordPress. Per capire quali sono le stringhe che dovrai aggiungere/modificare all’interno del tuo wp-config.php:

// Definizione secret keys
define(‘AUTH_KEY’,‘g]rDj*+=$G;>k}[E+RT-MFJ<TDf.M$ErBrPz,BHVhn5@3yDu-.%ZHtZ AKcEE?q>’);
define(‘SECURE_AUTH_KEY’,‘|!JKNW-b-bLcuse:BqKtHk5{sXAdzU+#A~SMQ(xMrDjKdA`wE@WSd#23$`<griB=’);
define(‘LOGGED_IN_KEY’,‘;,k+Z[prA~:BJ)&i,}lV2y)-#.+z[1X!bQ-Gr>u$Yn<Nh0|7yOSD:E-Bp4+5Rkn)’);
define(‘NONCE_KEY’,‘%iXrJXpdFSi^B+l. 6av4q|=/NgD^{wcMIWjf~^mp$}h&&JE)r8E*a+~N3NKiQj~’);

Rinominare la cartella wp-admin di WordPress

Rinominare la cartella wp-admin di WordPress non è cosa molto semplice. A differenza di altri cms, non basta una semplice rinomina, perché la cartella fà da base URL per tutte le applicazioni del back-end di WordPress. Tutta via esiste un modo per rinominare la cartella wp-admin di WordPress senza alcun ausilio di plugin aggiuntivi.
Come prima cosa, dovremmo passare delle definizioni in più al nostro file config.php.
Quindi aggiungiamo queste righe in fondo al file, sostituendo il nome della cartella ‘nome_cartella’, con quello con cui volete rinominare la cartella wp-admin.

  1. Aggiungi questo codice al file wp-config.php:
define('WP_ADMIN_DIR', 'nome_cartella');
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR)

Ora spostiamoci nel file functions.php del template in uso. come sempre se non ne avete uno, createlo ed aggiungete questa funzione. E aggiungi questo altro codice:

add_filter('site_url',  'wpadmin_filter', 10, 3);
function wpadmin_filter( $url, $path, $orig_scheme ) {
	$old  = array( "/(wp-admin)/");
	$admin_dir = WP_ADMIN_DIR;
	$new  = array($admin_dir);
	return preg_replace( $old, $new, $url, 1);
}

Fatto ciò, spostiamoci nel nostro file htaccess. Apriamolo e dove troviamo l’istruzione:
RewriteBase / appena sotto riga di istruzione inseriamo questo altro codice:

RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteRule ^nome_cartella/(.*) wp-admin/$1?%{QUERY_STRING} [L]

Ovviamente dovete sostituire il nome ‘nome_cartella’ con il nome che avete dato alla cartella del back-end.

Spostare e rinominare la cartella wp-content di WordPress

In WordPress la cartella wp-content contiene al suo interno i temi, i plugin che magari avete pure pagato, i files di linguaggio che avete tradotto voi perdendoci un sacco di tempo, tutte le immagini che avete caricato, i temi child che vi sono costati tanta fatica e perderla o vedersela manomessa da qualche buontempone sarebbe una vera catastrofe, quindi per rendere più sicuro il nostro WoprdPress possiamo anche spostarla da un’altra parte e cambiare anche il suo nome tanto per confondere ed intorbidare un po’ le acque e rendere più difficile la vita a quei ragazzi dispettosi che vagano in rete senza nulla di meglio da fare.

Vediamo come fare a mettere al sicuro la cartella wp-content in pochi passi

Intanto vi consiglio di testare questo metodo su una installazione locale di WordPress per essere certi di non fare incartare un sito di produzione o peggio quello di un cliente, poi aprite il solito file wp-config.php e subito al di sopra della riga che dice:
/* That’s all, stop editing! Happy blogging. */ oppure in italiano  /* Finito. Interrompere le modifiche! Buon blogging. */
Inserite queste righe di codice:
/* percorso locale completo alla directory (senza slash finale) */
define( 'WP_CONTENT_DIR', ABSPATH . 'ciaobelli/alias' );
/* URI completo della directory (senza slash finale) */
define( 'WP_CONTENT_URL', 'http://www.miosito.it/ciaobelli/alias');

dove al posto di ciaobelli/alias metterete i nomi scelti da voi per la cartella in cui nasconderete i contenuti (ciaobelli) e la vostra cartella wp-content rinominata (alias).
Accedete quindi alla directory radice del vostro sito WordPress in locale htdocs (pubblic_html in remoto) e create la “cartella ombra”, con il nome che avete scelto (nell’esempio sopra “ciaobelli”) e spostate tutta la cartella wp-content al suo interno, quindi, rinominate la cartella wp-content col nome che avete inserito in wp-config.php (nell’esempio: alias). Ricordate infine, quando caricate il sito WordPress da locale a remoto, di mettere in sicurezza WordPress, in particolare, il file wp-config.php, impostando i giusti permessi server e tramite modifiche al file htaccess (così come indicato precedentemente nei paragrafi di questa guida).

WordPress sicurezza consigli: Conclusioni

In questo articolo abbiamo visto come rendere sicuro un sito WordPress senza l’uso di plugin e come proteggere il tuo sito da possibili attacchi di hacker. Prima di provare qualsiasi pratica riportata in questo articolo fate un backup del vostro sito per evitare spiacevoli sorprese! Infine ti suggerisco di leggere anche questo articolo: migliori plugin di sicurezza WordPress gratuiti.
Se vuoi applicare tutte le misure di sicurezza indicate qui al tuo WordPress attraverso un plugin specifico e e completo ti consiglio di installare:  iThemes Security.
Qui trovi invece: come rendere sicuro il tuo sito WordPress con iThemes Security
Se ti piace questo articolo sulla sicurezza di WordPress ti invito a condividerlo sui social network oppure lascia un commento nel box qui sotto per esprimere la tua opinione su questo argomento!

come creare un blog Wordpress
By Antonio Rizzo

Ideatore e fondatore di Creare Blog e Siti Wordpress. Consulente Wordpress per aziende e professionisti che desiderano promuovere i loro servizi o prodotti sul web attraverso un blog, sito web o ecommerce.


Ottieni anche tu tutti i vantaggi riservati agli iscritti di Creare Blog e Siti Web Wordpress!

Rispondi con un commento

  Segui i nuovi commenti  
Notificami