Proteggere WordPress

Per verificare e proteggere le installazioni di WordPress:

1. Vai su Siti Web e Domini > WordPress.
2. Esegui una di queste azioni:
   • Per verificare la sicurezza di tutte le installazioni WordPress, fai clic su Verifica Sicurezza.
   • Per proteggere un'unica installazione WordPress, fai clic sull'icona nella colonna S vicino al nome dell'installazione WordPress desiderata.
   • Per proteggere due o più installazioni WordPress, seleziona le caselle di controllo per le installazioni WordPress corrispondenti e quindi, fai clic su Verifica Sicurezza.
3. Seleziona le caselle di controllo corrispondenti ai miglioramenti di sicurezza che desideri applicare e quindi scegli Proteggi.

   

Attenzione: Tieni presente che non tutti i miglioramenti di sicurezza possono essere ripristinati. Si consiglia di eseguire il backup dell'abbonamento corrispondente prima di proteggere le installazioni di WordPress.

L'elenco completo di miglioramenti di sicurezza di WordPress

• La cartella wp-content. La directory wp-content può contenere file PHP insicuri che possono essere usate per danneggiare il tuo sito. Dopo l'installazione di WordPress, i file PHP possono essere eseguiti dalla directory wp-content. Il controllo di sicurezza verifica che l'esecuzione dei file PHP nella directory wp-content sia proibita. Tieni presente che le direttive personalizzate nei file .htaccess o web.config potrebbero sovrascrivere questa misura di sicurezza. Inoltre, è bene notare che alcuni dei plugin che si utilizzano potrebbero non funzionare dopo aver protetto la cartella wp-content.
• La cartella wp-includes. La directory wp-includes può contenere file PHP insicuri che possono essere usate per danneggiare il tuo sito. Dopo l'installazione di WordPress, i file PHP possono essere eseguiti dalla directory wp-includes. Il controllo di sicurezza verifica che l'esecuzione dei file PHP nella directory wp-includes sia proibita. Tieni presente che le direttive personalizzate nei file .htaccess o web.config potrebbero sovrascrivere questa misura di sicurezza. Inoltre, è bene notare che alcuni dei plugin utilizzati potrebbero non funzionare dopo aver protetto la cartella wp-includes.
• Il file di configurazione. Il file wp-config.php contiene le credenziali per l'accesso al database e altre informazioni riservate. Dopo l'installazione di WordPress, il file wp-config.php può essere eseguito. Se, per qualche motivo, l'elaborazione di file PHP dal server web è disattivata, gli hacker possono accedere al contenuto del file wp-config.php. Il controllo di sicurezza verifica che l'accesso non autorizzato al file wp-config.php sia bloccato. Tieni presente che le direttive personalizzate nei file .htaccess o web.config potrebbero sovrascrivere questa misura di sicurezza.
• Permessi esplorazione directory. Se l'esplorazione di directory è attivata, gli hacker possono ottenere l'informazione sul tuo sito (quali plugin sono stati utilizzati eccetera). In modo predefinito, l'esplorazione di directory è disattivata in Plesk.Il controllo di sicurezza verifica che l'esplorazione di directory sull'installazione di WordPress sia disattivata.
• Prefisso database. Le tabelle del database WordPress hanno gli stessi nomi in tutte le installazioni di WordPress. Quando viene usato il prefisso del nome delle tabelle dei database standard wp_, l'intera struttura del database WordPress smettere di essere segreta, per cui chiunque può ottenere i relativi dati. Il controllo di sicurezza cambia il prefisso dei nomi delle tabelle dei database in qualcosa diverso da wp_. La modalità di manutenzione è attivata, tutti i plugin sono disattivati, il prefisso è modificato nel file di configurazione, il prefisso è modificato nel database, i plugin sono riattivati, la struttura del permalink è aggiornata e poi la modalità di manutenzione è disattivata.
• Chiavi di sicurezza. WordPress utilizza le chiavi di sicurezza (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY e NONCE_KEY) per crittografare le informazioni memorizzati nei cookie dell'utente. Un'ottima chiave di sicurezza deve essere lunga (almeno 60 caratteri) e deve contenere caratteri casuali e complicati. Questo controllo di sicurezza verifica che le chiavi di sicurezza siano configurate e che contengano almeno caratteri alfanumerici e numerici.
• Permessi per file e directory. Se i permessi per i file e le directory non soddisfano le norme di sicurezza, tali file possono essere usati per danneggiare il tuo sito. Dopo l'installazione di WordPress, i file e le directory possono avere diversi permessi.Il controllo di sicurezza verifica che i permessi per il file wp-config siano impostati a 600, per altri file a 644 e per le directory a 755.
• Nome utente dell'amministratore. Quando viene installata una copia di WordPress, esiste, in modo predefinito, un utente con privilegi amministrativi e il nome utente admin. Siccome il nome utente di un utente non può essere modificato in WordPress, basta solo indovinare la password per accedere al sistema come l'amministratore. Il controllo di sicurezza verifica che non ci sia un utente con privilegi amministrativi e il nome utente admin.
• Informazione della versione. Esistono vulnerabilità di sicurezza conosciute per ogni versione di WordPress. Per questo motivo, la visualizzazione della versione dell'installazione di WordPress utilizzata rende più semplice l'obiettivo agli hacker.La versione di un'installazione di WordPress può essere vista nei metadati delle pagine e i file readme.html. Il controllo di sicurezza verifica che tutti i file readme.html siano vuoti e che ogni tema abbia un file functions.php, contenente la riga: remove_action(\'wp_head\', \'wp_generator\');.