Guida alla sicurezza di WordPress
BlogSecurity.net mantiene un documento chiamato WordPress Security Whitepaper che rappresenta un vero e proprio decalogo degli accorgimenti necessari per rendere WordPress un ambiente sicuro.
Io mi occupo della versione italiana [PDF] di questo documento, che ho messo a disposizione sul sito ufficiale del whitepaper.
Riporto per comodità l'indice degli argomenti trattati
- Introduzione
- Installare WordPress
Accedere alle tabelle di WordPress - Cambiare il prefisso delle tabelle di WordPress
Prima dell’installazione
Cambiamento manuale
Il plugin WP Prefix Table Changer - Preparare il blog
Cambiare lo username di Admin
Creare un nuovo utente con permessi limitati - Rendere più sicura l’installazione WordPress
Limitare l’accesso alle cartelle wp‐content e wp‐includes
Limitare l’accesso a wp‐admin
Bloccare tutti ad eccezione del vostro indirizzo IP
Richiedere l’uso della password http: .htpasswd
Il file .htaccess
Il file .htpasswd - Spam
- Crittazione del blog
- Plugin chiave
Rimuovere la versione di WordPress
Disabilitare la visualizzazione degli errori di WordPress - Altre opzioni di sicurezza
WPISD – Intercettare le intrusioni
WordPress Plugin Tracker
WordPress Online Security Scanner - Conclusioni
Spero possa essere di interesse per i blogger italiani che non hanno buona dimestichezza con l'inglese.. buona lettura!
14 Commenti al post “Guida alla sicurezza di WordPress”
May 3rd, 2008 at 17:13
Guida alla sicurezza di WordPress…
Traduzione del WordPress Security Whitepaper scritto da BlogSecurity.net, una completa guida per la sicurezza di WordPress…
Stefano, WordPressMania Says:
May 12th, 2008 at 16:56
Flavio, grazie della tua traduzione.
Ho segnalato il tuo post proprio oggi su WordPressMania.
Stefano
May 13th, 2008 at 12:18
[...] di WordPress è un agile pdf di circa 15 pagine realizzato da BlogSecurity.net e tradotto da Flavio Copes che vi accompagna ad analizzare i possibili punti deboli della vostra installazione e vi suggerisce [...]
November 8th, 2008 at 20:22
[...] Questo è il post dove potete scaricare l’ebook. [...]
Massi Says:
November 12th, 2008 at 19:42
Ciao
Ci siamo permessi di segnalare questa pagina inserendo il link come Blog di Flavio
Sperando che possa andare bene ti saluto e grazie
January 12th, 2009 at 20:51
[...] che potete seguire le istruzioni senza avere particolari problemi nell’applicarle al vostro blog. Sito Web | Scarica [...]
angelo Says:
January 26th, 2009 at 06:01
se applico la modifica per bloccare tutti gli IP tranne il mio,
se avessi utenti registrati o editori,
questa modifica non li farebbe più autenticare,
giusto o mi sbaglio?
angelo Says:
January 27th, 2009 at 13:26
allora ci vorrebbe una guida per poter usare wordpress sicuro anche con gli utenti registrati.
Anche perchè mi pare di capire che i soliti joomla wordpress mambo etc.. se usati con le contromisure di sicurezza vano bene, ma se si usa la registrazione nativa di questi allora ci ritroviamo i siti bucati o corrotti in poco tempo, a me è sempre successo così, posso sapere voi come fate?
Grazie comunque dell’ottima guida Flavio
Copes Flavio Says:
January 27th, 2009 at 16:02
Angelo, scusa non mi sono spiegato bene. Non li farebbe autenticare nel backend di amministrazione, ma potrebbero usare tranquillamente le funzionalità del sito in frontend.
E’ molto strano che ti sia sempre successo quello che dici.. altrimenti nessuno userebbe più questi prodotti! 
La regola da seguire è sempre la stessa.. tenere sempre tutto aggiornato, configurare come consigliato dalle guide specifiche per ogni prodotto, installare il minor numero di estension/plugin possibile e lasciare i permessi al minimo funzionale.
angelo Says:
January 28th, 2009 at 17:51
Sai cosa, che io per provare questi prodotti o sempre fatto dei siti che andavano a conccorere con i diretti interessati, come per esempio per joomla, ho fatto un sito che trattava di servizi per joomla estensioni e template e ho sempre ricevuto attacchi e delle volte sono riusciti a bucare il sito anche se avevo preso tutte le misure di sicurezza possibili, altre volte a funzionato male e altre e andato bene.
Anche se i file 444, cartelle a 755, estensioni sempre aggiornate, e registrazione utenti attivata, disabilitazione di alcune funzioni del php come richiesto da joomla, blocco su file htaccess mod_rewrite attivo.
Di conseguenza sono venuto alla conclusione che disattivando la registrazione hanno avuto vita dura e il sito e rimasto inviolato. Perciò rimane il dubbio su come tenere joomla sicuro con gli utenti registrati ma anche wordpress.
Magari se uno fa un sito che non da fastidio a nessuno posso capire che non viene attaccato con tanta insistenza, ma se tu stesos provi a fare un sito commerciale a tema su Joomla o un’altro cms open source credo che avrai vita dura.
Adesso il discorso si fa complicato ma volevo soltanto dire la mia esperienza che non è nemmeno poca in questo campo. A voi i commenti!! nessuno a fatto come me?
Lascia un commento
-
Feeds
Seguici con il feed RSS e Twitter per restare sempre aggiornato!
Ricevi gli aggiornamenti via email: -
-
Ultimi commenti
- Moise: Ciao ho fatto come mi hai detto e funziona tutto alla grande sia quindi per le proprietà del div, sia per l...
- Gefrat: E’ un ottimo mudulo per Twitter, facile da installare e credo che sia anche utile per il posizionamenti...
- Marco: Grazie francesco, per l’impegno condiviso.
- monica: Ciao flavio volevo chiederti un aiutino, ho scaricato un file .fla carousel slide ho cambiato le foto e qui...
- Alex: wow, semplice metter Google Analytics in Joomla! non pensavo
THX
-
Ultimi post
May 1st, 2008 at 07:47
[...] utile consiglio di base per la sicurezza del blog. A tal proposito, comunque, è meglio leggere la Guida alla Sicurezza di WordPress, la versione in italiano del WordPress Security Whitepaper che ho tradotto in [...]