Cosa possiamo fare per proteggere WordPress?
Quali accortezze prendere per renderlo più sicuro?
Ecco alcuni piccoli segreti per restringere al massimo eventuali attacchi sul nostro sito.
Introduzione
Conosciamo tutti wordpress. E come tutte le piattaforme sono soggette ad attacchi perché utilizzano sempre la stessa struttura di cartelle ed eventuali file “bagati” possono essere facilmente scovati.
Se utilizziamo wordpress come CMS con un tema che milioni di utenti hanno scaricato e questo tema ha un bug, ad esempio nel file media.php, basta fare una ricerca su google per parola chiave “wp-content/themes/twentyeleven/media.php” (è solo un esempio), e la ricerca ci dirà quali siti hanno questo tema ed ecco che potrebbe partire l’attacco.
Cosa possiamo fare per proteggerci?
L’attacco potrebbe essere fatto perché la struttura delle cartelle è uguale per tutti? Allora quello che possiamo fare è proprio cambiare la struttura delle cartelle.
Wow…bellissima questa cosa ma è complicata da fare!!!
No, per chi usa wordpress.
Modifichiamo la struttura delle cartelle
per prima cosa modifichiamo la struttura della cartella principale di wordpress: wp-content
questa è la cartella che contiene tutti i file tra cui file caricati sul server dall’utente, il tema, i plugin cioè tutto ciò che ci serve se dovessimo trasferire il sito.
Spostare la cartella wp-content
define( 'WP_CONTENT_DIR', dirname(__FILE__) . '/wp-content-custom' ); define( 'WP_CONTENT_URL', 'http://www.miosito.it/wp-content-custom' );
In questo modo diciamo a wordpress di non utilizzare la cartella di default “wp-content” ma di utilizzare la cartella personalizzata “wp-content-custom”. Consigliamo di utilizzare un nome differente da assets o simili perché molti lo usano.
ora modifichiamo un’altra cartella fondamentale di wordpress: wp-uploads
Spostare la cartella uploads
define( 'UPLOADS', 'uploads-custom' );
In questo modo diciamo a wordpress di non utilizzare la cartella di default “uploads” all’interno di wp-content ma di utilizzare la cartella personalizzata “uploads-custom”. N.b: Dato che questa impostazione è sempre relativa alla variabile ABSPATH, abbiamo omesso appositamente lo “/” iniziale.
E per avere una maggiore protezione, spostiamo anche la cartella wp-plugins. Questa forse la più importante perché molte volte sono i plugin scaricati dal repository o altrove ad avere bug di sicurezza.
Spostare la cartella plugin
define( 'WP_PLUGIN_DIR', WP_CONTENT_DIR.'/plugins-custom' ); define( 'WP_PLUGIN_URL', WP_CONTENT_URL.'/plugins-custom' );
In questo modo diciamo a wordpress di non utilizzare la cartella di default “plugins” ma di utilizzare la cartella personalizzata “plugins-custom”.
P.s: Molto Importante! Ricordatevi di modificare le cartelle fisiche sul server perché non verranno modificate automaticamente altrimenti non funzionerà più nulla.
Queste non sono tutte le attività che possono essere effettuate per cercare di limitare al minimo eventuali attacchi ma, come si dice, chi comincia bene è a metà dell’opera.
In questo modo eviteremo di avere strutture file tutte uguali a milioni di utenti.
Visto quanto è semplice con wordpress modificare la struttura delle cartelle?
Cosa fai ancora non lo hai fatto? Io ti consiglierei di metterlo in scaletta con priorità alta.
DETTAGLI
Livello: medio
Compatibilità: testato su WP versione 3.9.1
