WordPress è diventato il CMS più popolare al mondo. Perché è così popolare, questo è ancora più di un motivo per migliorare la sicurezza di WordPress se lo si utilizza per il tuo sito web. La maggior parte delle persone capisce come rendere sicura la propria pagina, ma se non si concentra sulla sicurezza del proprio sito WordPress limitando l'accesso a file e cartelle importanti, allora si è ancora a rischio. Per fare ciò non cambierai nulla in WordPress, bensì modificando il modo in cui WordPress viene eseguito su un server e quanto gli utenti hanno accesso ai suoi file.
I siti WordPress sono composti da una serie di file e cartelle, ciascuno con i propri URL univoci, il che significa che se qualcuno dovesse digitare l'URL corretto a cui potrebbero accedere o modificare i file sensibili che eseguono il tuo sito. Uno degli obiettivi più comuni per questo tipo di hacking è la cartella wp-includes, quindi aggiungeremo del codice aggiuntivo al file di configurazione del server per rafforzare la sicurezza e prevenire questo tipo di minacce. Quando abbiamo finito, chiunque tenti di accedere a questi file viene reindirizzato.
Per iniziare vorrai aprire il file .htaccess per il tuo sito. Puoi farlo attraverso qualsiasi editor di testo, non importa quale, perché tutto ciò che stiamo facendo è aggiungere un piccolo frammento di codice al file. Noterai che il file contiene già del codice, generato da WordPress. In una delle prime righe di codice, troverai una riga che dice # BEGIN WordPress
. Direttamente sopra questo codice, aggiungeremo le righe aggiuntive di codice, che fortificheranno le difese del sito limitando l'accesso alla cartella wp-includes.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
In seguito, è sufficiente caricare nuovamente il file sul server e il gioco è fatto. Anche se le modifiche qui sembrano minori, può avere un grande impatto sulle difese del tuo sito. Poiché molte delle funzioni avanzate di WordPress si trovano all'interno della cartella wp-includes, rappresentano un obiettivo importante per gli hacker. Con queste modifiche implementate, quando gli utenti tentano di accedere a questa cartella, verranno invece reindirizzate automaticamente alla prima pagina del tuo sito.
Il nostro prossimo passo per rafforzare la sicurezza di WordPress è limitare l'accesso al file wp-config.php. Quando hai creato il tuo sito WordPress per la prima volta, dovevi creare un nome di database, nome utente, password e prefisso tabella, contenuto nel file wp-config.php. Il motivo per cui vuoi proteggere questo file è perché contiene le informazioni che WordPress deve comunicare con il database e, a lungo termine, controllare il tuo sito.
Per proteggere il tuo file wp-config.php, dovrai solo fare alcuni semplici passaggi. Per prima cosa, vorremmo aprire nuovamente il file .htaccess. Successivamente, vorremmo copiare lo snippet di codice qui sotto e incollarlo nel nostro file .htaccess proprio come abbiamo fatto con il passaggio 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
Infine, salva e carica nuovamente il file.
Come puoi vedere con i passaggi 1 e 2, il file .htaccess può essere intrinseco per difendere il tuo sito WordPress da minacce esterne dannose. Ecco perché in questo passaggio proteggeremo il file .htaccess stesso, impedendo agli hacker di rimuovere le protezioni che abbiamo già implementato.
Per fare questo apriremo nuovamente il file .htaccess. Successivamente, inserisci il codice sottostante nel codice esistente.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
E con questa semplice aggiunta, il tuo file .htaccess è protetto da minacce esterne.
Per il passaggio finale, negheremo agli hacker l'accesso a uno degli strumenti più distruttivi su cui potrebbero mettere le mani: l'Editor all'interno del dashboard di WordPress. Ti permette di modificare i file del tema, che è utile ma può essere pericoloso. Se una persona, diversa da te, avrebbe accesso a questo, allora potrebbe cambiare il tuo codice e interrompere il tuo sito.
Con questo progetto, rimuoveremo l'Editor dal dashboard di WordPress. Piuttosto che accedere al file tramite WordPress, ti consiglio di accedervi tramite un client ftp come FileZilla, che è meglio per l'integrità del sito.
Quindi per fare questo progetto vorremmo prima aprire il file wp-config.php. Una volta che abbiamo aperto, andremo alla fine del codice, qui troverai il testo "Questo è tutto, smetti di editare! Buon blog. " . Subito prima di questo testo aggiungeremo il codice qui sotto per rimuovere completamente la modifica dei file da WordPress.
define('DISALLOW_FILE_EDIT', true);
Dopo aver aggiunto il codice, salvare il file e ricaricarlo sul server. Ora il tuo sito WordPress è al sicuro da chiunque abbia accesso al tuo sito e cerchi di manipolare il codice.
Se segui tutti questi passaggi, il tuo sito dovrebbe essere molto più sicuro. Riducendo la quantità di accesso che gli hacker hanno per i file importanti per l'esecuzione del tuo sito, hai aumentato la sicurezza generale del tuo sito WordPress.