Finiamo quest’ultima puntata di ‘WordPress For Dummies’ introducendo all’aspetto sicurezza di WordPress, una cosa da non valutare poichè una volta online oltre ad essere accessibili da qualsiasi lettore ci raggiungeranno anche spammer e possibili ddos. La prima cosa da fare conclusa l’installazione di WordPress è assicurarsi di cambiare la propria pwd con una di difficoltà maggiore, con ciò si vuole invitare ad adottare una password alfanumerica lunga che conterrà caratteri accentati, lettere maiuscole e minuscole, numeri oltre a caratteri ‘speciali’ come ad esempio la chocciola. Il passo successivo è rendere sicuro il proprio file .htaccess ottimizzandolo e rendendocelo ‘amico’. Dovremo inserire diverse istruzioni in .htaccess, un elenco è fornito in basso.
- Agigungiamo il blocco di codice che vedete in basso per rendere ulteriormente sicuro .htaccess. Ogni tentativo d’andare a leggerlo darà un errore 403. E’ ovvio che ancor prima di inserire il codice che vedete in basso è il CHMOD di .htaccess settando i permessi del file a 644.
order allow,deny
deny from all - La strada è lunga, il passo successivo è prevenire il browsing delle cartelle del nostro sito, oltre a cosistuire una possibile breccia di sicurezza perdiamo anche visitatori e possibili lettori. Che dire poi di eventuali folders di files jpg che verrebbero rippati in un momento ? Per prevenire ciò aggiungiamo
Options All -Indexesmentre il codiceIndexIgnore *è per evitare che il server fornisca un listato dei contenuti delle directory. - Vogliamo bannare un indirizzo IP statico certi che si tratti di uno spammer ? Un metodo veloce è usare l’esempio che trovate in basso dove dovremo sostituire la dicitura indirizzoip con l’indirizzo ip reale del spammer.
order allow,deny
deny from indirizzoip
allow from all
L’elenco appena fornito sono è solo che una parte delle precauzioni base, ancor prima di preoccuparci del file .htaccess bisogna assicurarsi che il nostro wp-config abbia un chmod 644 e d’evitare che files nella directory root si trovino col 777.. Chi volesse qualcosa di più è invitato a approfondire l’argomento direttamente dal sito di apache mentre chi voglia un ulteriore layer di sicurezza è invitato a farsi installare dal proprio hosting provider CSF, sempre che disponga di Cpanel. CSF firewall conosciuto comunemente come Configserver Security and Firewall è un firewall famoso per la facilità d’uso e l’interfaccia accessibile da Cpanel e WHM. Una guida base su CSF è disponibile a questo URL, per comodità è disponibile in basso come PDF.
Non pensiamo minimamente che quanto approfondito e discusso in queste puntate sia sufficiente per WordPress, potrebbe essere un buon inizio ma il maggior lavoro è giunti a questo punto approfondire, testare wordpress, studiare htaccess e vedere quali sono le configurazioni migliori con il proprio Hosting Provider. Salutiamo tutti ricordando ancora una volta che i plugin su WordPress sono un arma a doppio taglio, aggiungono funzionalità ma aumentano anche il consumo di risorse. Se proprio non possiamo farne a meno innalziamo il limite di ram di PHP andando in /usr/local/lib/php.ini e modificando la riga ‘memory_limit: xxxM’ con un valore di 32, 64 o addirittura 100 MB..
