Se ritieni che il tuo sito sia sicuro perché non interessa agli hacker, ti sbagli, perché la stragrande maggioranza delle violazioni della sicurezza non ha lo scopo di rubare i tuoi dati o sfigurare il tuo sito.
Gli hacker di solito desiderano utilizzare il tuo server come inoltro per le e-mail di spam o per configurare un server web temporaneo, solitamente per servire file illegali. Se vieni hackerato, preparati a sborsare dei soldi per i costi relativi al server.
Esistono diversi modi per rafforzare la sicurezza del tuo sito o di una rete multisito, ma uno dei più semplici è modificare il tuo file. wp-config.php. L'aggiornamento di questo file di configurazione, sebbene non esista una soluzione valida per tutti, è un criterio che deve essere seguito per la sicurezza generale.
Con questo in mente, esploreremo le varie modifiche che puoi apportare per proteggere il tuo blog WordPress.
Configurare costanti WordPress
Nel tuo file di configurazione di WordPress, chiamato anche wp-config.php , puoi definire quelle che vengono chiamate costanti PHP per eseguire determinate attività. WordPress ha molte costanti che puoi usare.
Le costanti sono incluse anche nella funzione define() come mostrato in questo esempio di sintassi:
define ( 'NOM_DE_LA_CONSTANTE', valore);
Su WordPress, il file wp-config.php viene caricato prima del resto dei file che compongono il kernel. Ciò significa che se modifichi il valore di una costante in wp-config.php, puoi cambiare il modo in cui WordPress reagisce e funziona. È possibile disabilitare alcune funzionalità o attivarle modificando il valore. In molti casi, ciò può essere fatto cambiando true per falsa, e viceversa, per esempio.
Di seguito troverai le diverse costanti e altri tipi di codice PHP che puoi utilizzare nel tuo file wp-config.php per aumentare la tua sicurezza. Inseriscili tutti sopra la riga successiva del tuo file wp-config.php:
/ * Questo è tutto, smettere di editing! blogging Felice. * /
Attenzione: stai attento
Poiché le modifiche che stai per apportare possono cambiare drasticamente il tuo sito, questo è un bene idea di eseguire il backup. Se si verifica un errore, puoi ripristinare rapidamente il tuo sito prima di queste modifiche e una volta che il tuo sito funziona normalmente puoi riprovare.
1. Cambia le tue chiavi di sicurezza
Potresti già essere a conoscenza delle diverse chiavi di sicurezza e potresti aver già aggiunto chiavi univoche, il che è abbastanza positivo.
Le chiavi di sicurezza delle informazioni crittografano i dati memorizzati nei cookie e può essere utile modificarli, soprattutto dopo che il tuo sito è stato violato. Ciò terminerebbe tutte le sessioni aperte degli utenti registrati sul tuo sito, il che significa che anche gli hacker vengono disconnessi.
Quando reimposti le password e assicurati che il tuo sito sia libero da exploit backdoor e simili.
È possibile generare un nuovo set di chiavi di sicurezza utilizzando il WordPress Generator chiave di sicurezza. Copia tutto il contenuto e incollalo per sostituire la sezione che ha il seguente aspetto:
define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0 (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy
2. Forza l'utilizzo di SSL
Un certificato SSL crittografa la connessione tra il tuo sito e il browser del tuo visitatore, quindi gli hacker non possono intercettare e rubare informazioni personali. Se hai già un certificato SSL installato, devi forzare WordPress a usarlo, potrebbe aumentare la tua sicurezza.
Per forzare l'uso del tuo certificato SSL durante la connessione, aggiungi questa riga:
define ( 'FORCE_SSL_LOGIN', true);
Puoi anche forzare il tuo certificato SSL nella dashboard dell'amministratore con questa riga:
define ( 'FORCE_SSL_ADMIN', true);
Questi sono ottimi punti per cominciare, anche se l'ideale sarebbe utilizzare il certificato SSL su tutti i tuoi sito web.
3. Modificare il prefisso del database
Il prefisso viene posizionato davanti ai nomi di tutte le tabelle nel database. Per impostazione predefinita, la tabella utilizza il prefisso " wp_" e aggiungerlo al tuo database aggiungerà un'attività aggiuntiva che l'hacker dovrà svolgere. Più ostacoli aggiungi, più saranno il tuo blog sarà difficile da hackerare.
Cambiare il prefisso predefinito aiuta e tutto ciò che devi fare è cambiare la costante sul file " wp-config.php ", ma sarebbe anche necessario che le tabelle del database nell'installazione abbiano lo stesso nuovo prefisso. Puoi cambiare wp_ per qualcosa di simile g628_. Devi scegliere qualcosa che non sia davvero facile da indovinare.
4. Disabilita la modifica di temi e plugin
In ogni installazione di WordPress, puoi modificare direttamente plugin e temi tramite la dashboard. Se un hacker è stato in grado di accedere alla tua dashboard, ha accesso a questo editor speciale in cui può quindi fare tutto ciò che vuole all'interno del tuo plugin e dei file del tema come aggiungere malware, virus o spam.
5. Disabilita il debug
Se hai mai abilitato il debug sul tuo sito o su una rete, probabilmente lo farai perché è un ottimo strumento per la risoluzione dei problemi, ma non dimenticare di disabilitarlo quando hai finito. Lasciare questa opzione abilitata può rivelare informazioni importanti sul tuo sito e la posizione dei suoi file agli hacker a chiunque visiti il tuo sito.
Per disattivare la modalità di debug, puoi alternare la costante WP_DEBUG da true a false come segue:
define ( 'WP_DEBUG', false);
6. Disabilitare la registrazione degli errori in WordPress
Se non puoi apportare la modifica precedente perché devi ancora eseguire il debug attivo del tuo sito, puoi comunque proteggere le informazioni vitali del tuo sito disattivando gli errori front-end e disattivando la registrazione degli errori.
Per disabilitare la segnalazione degli errori di frontend, aggiungi questa riga mantenendo il tuo debug (WP_DEBUG) impostato su true:
define ( 'WP_DEBUG_DISPLAY', false);
7. Abilita aggiornamenti automatici
Mantenere il tuo sito aggiornato con le ultime versioni di WordPress, così come i tuoi plugin e temi, dovrebbe essere una parte importante nello sviluppo di una strategia di sicurezza. Dal momento che ilGli aggiornamenti forniscono correzioni di sicurezza per le vulnerabilità note, non l'aggiornamento delle esposizioni il tuo blog a questi potenziali rischi.
A partire dalla versione 3.7 di WordPress, le correzioni di sicurezza minori vengono applicate automaticamente ai siti WordPress, ma le versioni di base non lo sono. Tuttavia, puoi abilitare gli aggiornamenti automatici per tutte le nuove versioni modificando il valore della costante per gli aggiornamenti automatici:
define ( 'WP_AUTO_UPDATE_CORE', true);
Allo stesso modo, puoi aggiungere la seguente riga sotto la precedente per abilitare gli aggiornamenti automatici per i plugin:
add_filter ( 'auto_update_plugin', '__return_true');
Puoi anche seguire questa linea per consentire gli aggiornamenti automatici per i temi:
add_filter ( 'auto_update_theme', '__return_true');
Questo è tutto per questo tutorial. Spero che ti permetterà di proteggere meglio il tuo blog WordPress.
Ciao a tutto il team
BRAVO per il tuo sito, che mi sembra ricco di risorse e di grande interesse: quando il mio budget lo permetterà, non mancherò di ricorrere ai tuoi servizi (ne ho davvero bisogno…)!
Un piccolo svantaggio per l'articolo sulla sicurezza di * Hervé *: ci perdiamo rapidamente nelle spiegazioni, se non abbiamo familiarità con php. [Inoltre, quando si modifica il testo, potrebbe essere utile rileggerlo: alcune parole sono state omesse, ma non gli errori di ortografia. ;-)))]
Ivan grazie per il ritorno e il perdono per gli errori.