Share
È un terribile incubo: un giorno apri il tuo sito web e vedi che sei stato violato. Se stai gestendo un semplice blog personale, potrebbe essere solo un fastidioso incidente. Se stai ospitando un sito Web di un cliente, la tua giornata potrebbe trasformarsi in una giornata difficile e stressante. Se stai pubblicando un sito di e-commerce di alta vendita, potrebbe scatenare un attacco di panico. In ogni caso, non userete emoji felici per condividere le notizie. Quindi, è necessario un piano di gioco per prevenire gli attacchi prima che si verifichino.
E tu sei nel posto giusto. In questa miniserie in due parti, ho intenzione di mostrarti come rendere i tuoi progetti WordPress il più sicuri possibile.
Pensi che WordPress sia sicuro? Va bene se non lo fai, perché molte persone pensano che WordPress sia un sistema di gestione dei contenuti insicuro, eppure è molto lontano dal vero ... almeno oggi.
Cosa hanno in comune Microsoft Windows, Android, Google Chrome e WordPress? Sono tutti software estremamente popolari e le persone trovano sempre buchi di sicurezza in loro. Anche se sono tutti regolarmente rattoppati contro bug e falle di sicurezza, avere buchi di sicurezza li rende insicuri?
Mi dispiace se la pensi dall'altra parte, ma non è così. Le patch frequenti non significano necessariamente che un software sia codificato in modo errato rispetto alle minacce alla sicurezza. Il gioco del gatto e del topo tra gli sviluppatori e gli hacker andrà sempre avanti e gli hacker troveranno sempre un modo per hackerare il software. E se il software è estensibile, come WordPress, aumenteranno anche le possibilità degli hacker.
La cosa importante qui è essere reattivi e preventivi, ed è qualcosa su cui WordPress eccelle. Dovrai attendere qualche giorno prima che Google Chrome possa colmare un buco di sicurezza, o addirittura settimane prima che Microsoft rilasci una correzione per la sicurezza, ma l'enorme comunità di sviluppatori di WordPress sarà in grado di correggere gli errori di sicurezza zero-day prima della fine del giorno uno. Inoltre, c'è un intero team che lavora alla protezione del core di WordPress, quindi anche noi siamo in buone mani. Per quanto riguarda temi e plugin, potrebbe essere un po 'più facile trovare bug e difetti e potrebbe essere necessario più tempo per risolverli, ma la comunità ha i dorsi degli sviluppatori.
Eppure, niente è cento per cento sicuro. Viviamo in tempi in cui gli scienziati stanno per decifrare il codice nel nostro cervello! Niente è impenetrabile, compreso il nostro cervello apparentemente, e WordPress non fa eccezione. Ma l'impossibilità di una sicurezza al 100% non significa che non dovremmo puntare al 99,999%.
Dall'esperienza personale e da ulteriori ricerche, ho messo insieme diverse misure di sicurezza che dovresti prendere, se non l'hai già fatto. Senza ulteriori indugi, impariamo a conoscerli adesso!
Accentsconagua
.htaccess FileIniziamo facile.
Se il tuo sito Web WordPress è ospitato in un server web fornito da Apache e hai abilitato "pretty permalink" in impostazioni, WordPress genererà un file chiamato .htaccess per memorizzare le istruzioni di permalink di WordPress di base. Se non abiliti i permalink piuttosto, il .htaccess il file non verrà generato dal core, ma i suggerimenti che sto per mostrare sono ancora applicabili: devi solo creare il file tu stesso.
Nano-tip: se hai intenzione di creare il .htaccess file da solo, ma si sta facendo fatica a creare un file senza nome ma con il file .htaccess estensione, basta caricare un file vuoto con qualsiasi nome (come untitled.txt) e modificare il nome e l'estensione all'interno del proprio client FTP.
La prima cosa che mi viene in mente è proteggere il htaccess file. Ed è la cosa più semplice da fare tra i trucchi e i trucchi che sto per mostrarti. Tutto quello che devi fare è aggiungere le seguenti righe al file:
# protect .htaccesspermettere, negare negare tutto
È un trucco innocuo per proteggere il htaccess file da chiunque (o nulla) che vuole accedervi.
Quindi, disabilitiamo di mostrare il contenuto delle cartelle:
# disabilita la navigazione nella directory Opzioni Tutte -Index
Questo impedirà agli estranei di vedere il contenuto delle tue cartelle quando vogliono accedere, per esempio, myblog.com/wp-content/uploads/. Normalmente, sarebbero stati in grado di vedere i file caricati o navigare attraverso le sottocartelle nel / uploads / directory, ma con questo piccolo trucco, vedranno a 403 Proibito risposta dal server.
E infine, voglio fare riferimento a una grande "lista nera" di Perishable Press: The Blacklist 5G. Questa lista nera protegge il tuo sito web da molti tipi di attività dannose, da stringhe di query dannose a agenti utente malintenzionati.
Questo è tutto per il htaccess trucchi. Ora passiamo a wp-config.php trucchi.
wp-config.php File e Il suo contenutoIl wp-config.php il file è probabilmente il file più importante dell'intera installazione di WordPress, in termini di sicurezza. E c'è molto che puoi fare per indurire il tuo sito web.
Iniziamo con un trucco interessante: lo sapevi che puoi piazzare il tuo wp-config.php file di un livello nella tua radice di WordPress? Se non ti confonderà, vai avanti e fallo subito. La maggior parte delle volte, installo WordPress in public_html directory e mi piace posizionare il wp-config.php file all'interno della directory root dell'utente. Non sono sicuro se sia una ricetta di olio di serpente o no, ma almeno si sente più sicuro. Alcune persone a Stack Exchange hanno avuto un buon dibattito su questo argomento.
A proposito, torniamo alla radice .htacccess file e aggiungere le seguenti righe per negare l'accesso a wp-config.php file:
# proteggi wpconfig.phppermettere, negare negare tutto
Ecco un'idea interessante: che ne dici di rimuovere l'autorizzazione per modificare temi e file plugin? Tutto ciò che serve è aggiungere la seguente riga al wp-config.php file:
define ('DISALLOW_FILE_EDIT', true); Ti senti ancora più paranoico? Incolla la seguente riga sotto quella sopra per disattivare completamente le installazioni e le eliminazioni di temi e plug-in:
define ('DISALLOW_FILE_MODS', true); Altri due suggerimenti sull'indurimento di WordPress: cambia il prefisso del database e aggiungi le chiavi di sicurezza (o sale chiavi) nel wp-config.php file.
Il primo è semplice: controlla se hai impostato il prefisso del database come valore predefinito trovando questa linea:
$ table_prefix = 'wp_';
Se è impostato su wp_, dovresti cambiarlo in qualcosa di diverso da questo valore predefinito. Non dovrai ricordarlo, quindi puoi digitare qualsiasi cosa. Mi piace usare combinazioni come wp_fd884vg_ per mantenerlo sia sicuro che leggibile.
Anche la modifica delle chiavi di sicurezza è molto semplice. Verifica se le chiavi sono vuote localizzando le seguenti linee:
/ ** # @ + * Authentication Unique Keys and Sts. * * Cambia questi in diverse frasi uniche! * Puoi generarli utilizzando il @link https://api.wordpress.org/secret-key/1.1/salt/ servizio di chiave segreta di WordPress.org * Puoi cambiarli in qualsiasi momento per invalidare tutti gli esistenti biscotti. Ciò costringerà tutti gli utenti a dover accedere di nuovo. * * @since 2.6.0 * / define ('AUTH_KEY', 'metti qui la tua frase univoca'); define ('SECURE_AUTH_KEY', 'metti qui la tua frase univoca'); define ('LOGGED_IN_KEY', 'metti qui la tua frase univoca'); define ('NONCE_KEY', 'metti qui la tua frase univoca'); define ('AUTH_SALT', 'metti qui la tua frase univoca'); define ('SECURE_AUTH_SALT', 'metti qui la tua frase univoca'); define ('LOGGED_IN_SALT', 'metti qui la tua frase univoca'); define ('NONCE_SALT', 'metti qui la tua frase univoca'); Se stanno tutti dicendo 'metti la tua frase unica qui', significa che non sono ancora impostati. In tal caso, basta andare su questo URL (che è anche indicato nei commenti del codice) e modificare le linee generate in quella pagina con le righe sopra.
Nano-tip: se ti stai chiedendo cosa siano queste "chiavi saline", WPBeginner ha un grande articolo sui vantaggi di questa misura di sicurezza.
Questo è tutto per il wp-config.php trucchi! Chiamiamolo un giorno oggi.
Spero che ti siano piaciuti questi .htaccess e wp-config.php trucchi oggi. Nella parte successiva di questa mini-serie, vedremo alcuni plugin per la sicurezza e altri suggerimenti cruciali su WordPress. Se avete domande o commenti, sentitevi liberi di riprenderli nella sezione commenti qui sotto.
Ci vediamo nella prossima parte!
