Nei articoli precedenti abbiamo selezionato strategie e plugin per rendere più sicuri il nostro sito wordpress. Oggi vorrei spiegarti come difendere il tuo sito senza utilizzare alcun tipo di plugin. Spesso andremo a lavorare nel functions.php e .httaccess.
1. Modificare messaggi error nell’area login
Se qualcuno cerca di entrare nel vostro sito, il campo login e password, il campo error, rivela se l’errore di login è legato al login o password ecc… (spero che tu abbia cambiato il link della pagina login, se non l’hai ancora fatto, scopri l’articolo in cui te l’ho spiegato dettagliatamente) Prima di tutto lo dobbiamo rendere unica, unico testo “Errore Login” in ogni caso. In questo modo, la persona che tenta di entrare non si basa sui suggerimenti che ci fornisce error message. Qui basta inserire il seguente script nel file funcitons.php
function custom_wordpress_error_message ( ) {
return 'Errore Login' ;
}
add_filter ( 'login_errors' , 'custom_wordpress_error_message' ) ;
2. Aggiorna automaticamente il tuo sito
Ricordati di tenere sempre aggiornato il tuo sito, é la base della sicurezza dei CMS. Assicurati che nel file wp-config tua abbia queste priorità attive.
define ( 'WP_AUTO_UPDATE_CORE', true ); add_filter ( 'auto_update_plugin', '__return_true' ); add_filter ( 'auto_update_theme', '__return_true' );
3. Elimina la possibilità di modificare il tema e il plugin.
Comprendo perfettamente che questa funzione è molto utile, soprattutto per chi ha ancora paura di lavorare con i file del core WordPress, ma immaginati se qualcuno riesce ad entrare nel tua backend, automaticamente ha la possibilità di operare sul codice, non ce lo possiamo permettere, vero? Aggiungi questo script in wp-config.php e andiamo avanti.
define ( 'DISALLOW_FILE_EDIT' , true );
4. Disabilita gli errori in front end
Quando hai un errore di codice, soprattutto in modalità debug, WordPress in alto ti segnala le righe di codice dove è presente il problema, è meglio disabilitarli, in questo modo non potrai far vedere la struttura del tuo sito. Inserisci questo script nel file config.php
error_reporting ( 0 ); @ini_set ( 'display_errors', 0 );
5. Limitare accesso a determinati file .php
Potresti limitare l’accesso a terze persone a determinati file utilizzando .htaccess.
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/aaa.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
6. Limitare l’esecuzione dei file php
Spesso gli hacker utilizzano la cartella wp-content/uploads per caricare dentro dei malware. Possiamo impedirlo aggiungendo al file .htaccess questo semplice script.
<Directory "/var/www/wp-content/uploads/"> <Files "*.php"> Order Deny,Allow Deny from All </Files> </Directory>
7. Impedire l’iniezione di codice aggiuntivo
Possiamo limitare l’aggiunta del codice ai file che abbiamo sul server, per questo utilizziamo il file .htaccess e aggiungiamo questo piccolo script.
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
8. wp-includes sicuro
Nella cartella wp-includes sono salvati la maggior parte del core di wordpress, per tenere al sicuro questi file, aggiungi questo script al file .htaccess.
<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>
