Benvenuti sul nostro
BLOG Informativo HOSTING
News, Faq, Guide
Payday loans
www.

«
»


Creare Un Blog più sicuro.

Inserito il Nov 12, 2008 Condividi

sicurezza di WordPress su spazio web condivisoCi permettiamo di dare alcune informazioni che potrebbero essere utili per limitare i danni nel caso in cui, tramite motori di ricerca qualche “buon furbone”, decida di prendere di mira il vostro script php (wordpress, joomla, etcc)

Di seguito parlimo precisamente di WordPress però alcune regole valgono anche per tutti gli altri script.
Lasciando da parte alcuni plug-in interessantissimi e utili come AskApache Password Protect,wp-security-scan, vediamo come lavorare manualmente per aiutare voi e noi a vivere più tranquilli.

Sui ns server esistono diverse sicurezze utili per limitare i classici tentativi di sabotaggio, però alcune volte queste tecniche limitano anche l’uso di alcune zone di gestione admin.

Sui server utilizziamo mod_security che vi informerà ogni qualvolta state eseguendo un’operazione negata, dandovi l’errore 406.
Attenzione a continuare ad eseguire l’operazione con errore 406 perchè il server vi limita l’accesso al server dopo 5 tentativi. Alcune regole che utilizziamo sono riassunte anche presso questo interessante file pdf

Molti di voi intervengono, per limitare questo problema, inserendo nel file .htaccess
>>SecFilterEngine Off
senza tener conto che queste stringhe servono per ordinare al server: non voglio essere protetto da mod_security.
Va benissimo utilizzare le stringhe nel file .htaccess per inibire il mod_security, però solo quando serve a voi per lavorare nel pannello admin.
Fatevi un grosso favore eliminandole non appena avete finito di lavorare in quella zona admin che dava errore 406.

Cosa poco pubblicizzata ma importante, è quella di non lasciare MAI directory e file con permessi 777.secure_1.jpg
E’ vero che alcune directory sono utili per caricare file e pertanto dovrebbero essere in scrittura 777, però non lasciamole a disposizione degli “imbecilli” con permessi 777, visto che, grazie all’ftp servono 3 secondi per cambiare i chmod. Ricordate, 3 secondi potrebbero farvi risparmiare ore e fegato distrutto.
Inseriamo nel file robots.txt la stringa Disallow: /wp-*
Eseguiamo spesso dal pannello di controllo CPANEL un bel backup del proprio database e sito

Controlliamo spesso nel pannello ADMIN dello script se vi sono aggironamenti da eseguire in relazione a plugin e release script
Non usare password semplici bensì password a 12 cifre preferibilmente con caratteri speciali alfanumerici
Possibilmente in fase di installazione modificare le tabelle del MySql relative a WordPress o altro script (WP – Security Admin Tools può aiutarvi)

Utilizzare un user che non sia ADMIN. Se non volete inibire admin andate a modificare i permessi di questo “superuser”, inoltre fate molta attenzione agli utenti e ai loro permessi. Si consiglia l’uso di Role Manager

Rimuovere la versione di WordPress.
Perchè rimuovere la versione del wordpress o di altro script? Perchè i “fantomatici cari amici” che ci vogliono penetrare il sito, cercano sui motori la classica parolina chiave della versione script.
A monitor vedranno quali siti usano la vecchia versione e a quel punto entrano e iniziano il lavoro.
E altre cosette interessanti che potrete trovare su BLOGSECURITY e Blog di Flavio

Buon lavoro

Inserisci Commento/Domanda/Risposta

You must be logged in to post a comment.