{"id":228,"date":"2018-02-28T14:53:23","date_gmt":"2018-02-28T13:53:23","guid":{"rendered":"http:\/\/christeninformatica.ch\/?p=228"},"modified":"2022-08-15T13:33:16","modified_gmt":"2022-08-15T11:33:16","slug":"la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2","status":"publish","type":"post","link":"https:\/\/christeninformatica.ch\/it\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/","title":{"rendered":"La perfetta installazione WordPress – Sicurezza"},"content":{"rendered":"

1. Limitare l’accesso a wp-admin tramite indirizzo IP<\/h2>\n

Limitare l’accesso alla cartella “wp-admin<\/b>” tramite indirizzo IP aggiungendo le seguenti righe nel file httpd.conf:<\/p>\n

\n
\n
<Directory \/unacartella\/chitblog\/wp-admin\/>\n    Require ip xxx.xxx.xxx.xxx\n<\/Directory>\n<\/pre>\n<\/blockquote>\n<\/div>\n
Con le seguenti direttive si ottiene che solo l’utente con l’indirizzo IP XXX.XXX.XXX.XXX pu\u00f2 accedere all’area d’amministrazione di WordPress<\/b>.<\/p>\n
Se non si possiede un indirizzo IP<\/b> fisso il proprio IP cambier\u00e0 qualche volta e si dovr\u00e0 editare il file nuovamente. In alternativa si potrebbe dare accesso a tutto il possibile range di indirizzi IP.<\/p>\n
Per controllare se funziona si potrebbe testare da un altro indirizzo IP per accertarsi se effettivamente non sia possibile accedere all’area d’amministrazione di WordPress<\/b>.<\/p>\n
Una volta fatto qualsiasi altra persona che provasse ad accedere da un altro indirizzo IP alla cartella “wp-admin”<\/b> o a effettuare l’accesso a WordPress<\/b>, riceverebbe un errore:<\/p>\n
Access forbidden! You don’t have permission to access the requested object. It is either read-protected or not readable by the server. If you think this is a server error, please contact the webmaster.<\/i><\/p>\n
2. Proteggere la cartella wp-admin con una password<\/h2>\n
Creare un password file per permettere l’accesso ad uno specifico utente.<\/p>\n
\n
\n
# md passwd\n# htpasswd2 -c passwd\/passwords chitblog_admin\nNew password:\nRe-type new password:\nAdding password for user chitblog_admin\n#\n<\/pre>\n<\/blockquote>\n<\/div>\n
Una volta creato un utente basta aggiungere le seguenti righe infondo – prima di <\/Directory> – precedentemente preparato per limitare l’accesso tramite indirizzo IP:<\/p>\n
\n
\n
AuthType \"Basic\"\nAuthName \"Restricted Files\"\nAuthBasicProvider file\nAuthUserFile \/unacartella\/passwd\/passwords\nRequire user chitblog_admin\n<\/pre>\n<\/blockquote>\n<\/div>\n
Ora, se si cerca di accedere all’area d’amministrazione di WordPress<\/b> viene richiesta prima la password per accedere alla cartella wp-admin sul server.<\/p>\n
3. Proteggere il login e l’area d’amministrazione WordPress<\/h2>\n
Per accedere all’area d’amministrazione di WordPress dobbiamo assicurarci di farlo con una connessione sicura ( https ).<\/p>\n
Forzare la connessione sicura per il login e l’area d’amministrazione WordPress<\/h3>\n
Per forzare WordPress<\/b> ad usare SSL durante il login aggiungere le seguenti righe all’inizio del file wp-config.php<\/b>.<\/p>\n
\n
\n
define( 'FORCE_SSL_LOGIN', true );\ndefine( 'FORCE_SSL_ADMIN', true );\n<\/pre>\n<\/blockquote>\n<\/div>\n
Con force ssl_admin e ssl_login si forza l’applicazione ad usare https durante il login e mentre si naviga nell’area d’amministrazione di WordPress<\/b>.<\/p>\n
4. iThemes Security Plugin WordPress sicurezza<\/h2>\n
Scaricare il plugin iThemes Security<\/b> ( Scarica iThemes Security<\/a> ) estrarre il contenuto dello zip localmente e copiarlo sul Server nella cartella wp-content\/plugins\/.<\/p>\n
Una volta copiato il plugin nell’area d’amministrazione sotto Plugin\/Plugin Installati apparir\u00e0 una lista di plugins tra cui anche iThemes Security<\/b>.<\/p>\n
Cliccare su attiva! Una volta attivato iThemes Security<\/b> sulla pagina principale ci sono diverse impostazioni per la sicurezza che si possono attivare e configurare.<\/p>\n
\"Impostazioni<\/p>\n
Cliccare su “Enable” per attivare specifiche impostazioni della sicurezza di WordPress<\/b>.<\/p>\n
5. Proteggere il login da attacchi Brute Force<\/h2>\n
A tale scopo si pu\u00f2 usare iThemes Security<\/b> che ha la funzione “Local Brute Force Protection<\/b>” che serve appunto per proteggere il login da attacchi Brute Force<\/b>.<\/p>\n
Per attivare questa funzione cliccare su “Enable” sotto “Local Brute Force Protection<\/b>“.<\/p>\n
\"iThemes<\/p>\n
Per configurare la funzione Local Brute Force Protection<\/b> di iThemes Security<\/b> cliccare su “Configure Settings”.<\/p>\n
\"iThemes<\/p>\n
5.2 Nascondere lo script per accedere a WordPress<\/h3>\n
Per “nascondere” lo script wp-login.php<\/b> andare nelle impostazioni avanzate di iThemes Security<\/b>.<\/p>\n
\"Ithemes<\/p>\n
Cliccare sotto “Hide Backend<\/b>” su Configure Settings.<\/p>\n
\"iThemse<\/p>\n
Nel menu di configurazione sotto “Hide Backend<\/b>” selezionare “Enable the hide backend feature<\/b>” e in “Login Slug<\/b>” dare un nome come per esempio login-chit. Una volta apportate le modifiche salvare le impostazioni cliccando su “Save Settings”.<\/p>\n
Ora un utente deve prima sapere l’URL esatta – christeninformatica.ch\/login-chit per esempio – per potere accedere all’area d’amministrazione di WordPress<\/b> o per svolgere un attacco Brute Force<\/b>.<\/p>\n
6. Bloccare gli user-agent dannosi<\/h2>\n
Aggiungere delle regole rewrite nel file .htaccess che deviano gli user-agent dannosi a una pagina di errore. Si tratta della blacklist di HackRepair.com messa a disposizione da iThemes Security<\/b> ma se si desidera aggiungere solo le regole manualmente eccole qui:<\/p>\n
Editare il file .htaccess e aggiungiere le seguenti righe.<\/p>\n
\n
\n
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Bolt\\ 0 [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Bot\\ mailto:craftbot\\@yahoo\\.com [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} CazoodleBot [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Custo [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Default\\ Browser\\ 0 [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^DIIbot [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^DISCo [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} discobot [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Download\\ Demon [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^eCatch [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ecxi [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^EirGrabber [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^EmailCollector [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^EmailWolf [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Express\\ WebPictures [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^FlashGet [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^GetRight [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^GetWeb! [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^GrabNet [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Grafula [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} GT::WWW [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} heritrix [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^HMView [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} HTTP::Lite [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ia_archiver [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} IDBot [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} id-search [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} id-search\\.org [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Image\\ Stripper [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Image\\ Sucker [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} Indy\\ Library [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^InterGET [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Internet\\ Ninja [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^InternetSeer\\.com [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} IRLbot [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ISC\\ Systems\\ iRc\\ Search\\ 2\\.1 [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Java [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^JetCar [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^JOC\\ Web\\ Spider [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^larbin [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^LeechFTP [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} libwww [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} libwww-perl [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Link [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} LinksManager.com_bot [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} linkwalker [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} lwp-trivial [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Mass\\ Downloader [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Maxthon$ [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} MFC_Tear_Sample [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^microsoft\\.url [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} Microsoft\\ URL\\ Control [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^MIDown\\ tool [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Mister\\ PiX [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} Missigua\\ Locator [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Mozilla\\.*Indy [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Mozilla\\.*NEWT [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^MSFrontPage [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Navroad [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^NearSite [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^NetAnts [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^NetSpider [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Net\\ Vampire [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^NetZIP [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Nutch [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Octopus [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Offline\\ Explorer [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Offline\\ Navigator [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^PageGrabber [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} panscient.com [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Papa\\ Foto [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^pavuk [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} PECL::HTTP [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^PeoplePal [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^pcBrowser [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} PHPCrawl [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} PleaseCrawl [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^psbot [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^RealDownload [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^ReGet [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Rippers\\ 0 [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} SBIder [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^SeaMonkey$ [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^sitecheck\\.internetseer\\.com [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^SmartDownload [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} Snoopy [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} Steeler [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^SuperBot [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Surfbot [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^tAkeOut [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Teleport\\ Pro [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Toata\\ dragostea\\ mea\\ pentru\\ diavola [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} URI::Fetch [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} urllib [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} User-Agent [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^VoidEYE [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Web\\ Image\\ Collector [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Web\\ Sucker [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} Web\\ Sucker [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} webalta [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WebAuto [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^[Ww]eb[Bb]andit [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} WebCollage [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WebCopier [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WebFetch [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WebGo\\ IS [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WebLeacher [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WebReaper [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WebSauger [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Website\\ eXtractor [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Website\\ Quester [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WebStripper [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WebWhacker [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WebZIP [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} Wells\\ Search\\ II [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} WEP\\ Search [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Wget [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Widow [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WWW-Mechanize [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Xaldon\\ WebSpider [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} zermelo [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Zeus [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ^Zeus\\.*Webster [NC,OR]\nRewriteCond %{HTTP_USER_AGENT} ZyBorg [NC]\nRewriteRule ^* .- [F,L]\n<\/pre>\n<\/blockquote>\n<\/div>\n
7. Rimuovere il meta tag generator di WordPress e altre info<\/h2>\n
Per rimuovere le informazioni sulla versione di WordPress<\/b> e altro editare il file wp-includes\/default-filters.php. Una volta aperto il file appaiono una serie di funzioni, scrollare un po’ in basso fino a “Actions”.<\/p>\n
\"wp_head,<\/p>\n
Togliere sicuramente rsd_link, wp_generator, wlwmanifest_link e tutto quello di cui non si ha bisogno..<\/p>\n
Oppure aggiungere le seguenti righe all’inizio del file functions.php del vostro tema WordPress<\/b>:<\/p>\n
\n
\n
remove_action('wp_head', 'wp_generator');\nremove_action('wp_head', 'rsd_link');\nremove_action('wp_head', 'wlwmanifest_link');\nadd_filter('the_generator', 'remove_generator');\nadd_filter('wp_headers', 'remove_x_pingback');\n<\/pre>\n<\/blockquote>\n<\/div>\n
7.2 Nascondere le traccie nel codice<\/h3>\n
Nascondere ogni traccia della cartella che abbiamo cambiato precedentemente ( wp-content ) nel codice html e rimuovere gli script inutili. Editare manualmente il fiele header.php nella cartella del tema WordPress<\/b> che si sta usando, wp-content\/themes\/twentyseventeen per esempio, e togliere quello che non serve. La URL del file CSS la impostiamo manualmente e spostiamo il file nella nuova destinazione. Fare la stessa cosa con gli script.<\/p>\n
7.3 Cambiare la cartella per gli uploads in WordPress<\/h3>\n
Se si ha rinominato la cartella wp-content, si vorr\u00e0 sicuramente fare in modo che il nuovo nome rimanga segreto. Per fare ci\u00f2 aggiungere le seguenti righe all’inizio del file wp-config.php:<\/p>\n
\n
\n
define( 'UPLOADS', 'grafica' );\n<\/pre>\n<\/blockquote>\n<\/div>\n
In questo modo i file verranno “uploadati” in un altra cartella – non wp-content – e quindi non si potr\u00e0 ottenere questa informazione guardando nel codice html.<\/p>\n
8. Sicurezza WordPress – SQL Injection & URL Hacking<\/h2>\n
WordPress<\/b> \u00e8 una applicazione scritta in PHP che fa uso di un database (MySQL). Queste due caratteristiche potrebbero rendere WordPress<\/b> vulnerabile ad attacchi tramite URL modificate. Le URL modificate potrebbero venire usate in modo da eseguire comandi sul server, aggiungere e modificare qualcosa nella banca dati, scaricare i files \/etc\/passwd e \/etc\/shadow e altro.<\/p>\n
SQL injection \u00e8 un tipo di attacco in cui l'”hacker” tenta di aggiungere dei comandi nella URL cos\u00ec da manipolare i dati e altro. Aggiungendo delle regole al file .htaccess che deviano tutte le richieste che contengono comandi SQL e altri usati per svolgere attacchi, abbiamo risolto il problema. Ecco il codice:<\/p>\n
\n
\n
RewriteEngine On\nRewriteBase \/\nRewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]\nRewriteCond %{QUERY_STRING} \\.\\.\\\/ [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*\\.(bash|git|hg|log|svn|swp|cvs) [NC,OR]\nRewriteCond %{QUERY_STRING} etc\/passwd [NC,OR]\nRewriteCond %{QUERY_STRING} boot\\.ini [NC,OR]\nRewriteCond %{QUERY_STRING} ftp\\: [NC,OR]\nRewriteCond %{QUERY_STRING} http\\: [NC,OR]\nRewriteCond %{QUERY_STRING} https\\: [NC,OR]\nRewriteCond %{QUERY_STRING} (\\<|%3C).*script.*(\\>|%3E) [NC,OR]\nRewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]\nRewriteCond %{QUERY_STRING} base64_encode.*\\(.*\\) [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(\\[|\\]|\\(|\\)|<|>|\u00ea|\"|;|\\?|\\*|=$).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(\"|'|<|>|\\|{||).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\\.0).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]\nRewriteCond %{QUERY_STRING} ^.*(request|select|concat|insert|union|declare).* [NC]\nRewriteCond %{QUERY_STRING} !^loggedout=true\nRewriteCond %{QUERY_STRING} !^action=rp\nRewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$\nRewriteCond %{HTTP_REFERER} !^http:\/\/maps\\.googleapis\\.com(.*)$\nRewriteRule ^(.*)$ - [F,L]\n<\/pre>\n<\/blockquote>\n<\/div>\n
9. Negare l’accesso ai dati sensibili di WordPress<\/h2>\n
Una tipica installazione WordPress<\/b> contiene vari file come anche gli script di configurazione e installazione, il file readme.html e altri. Questi file rivelano informazioni che potrebbero venire usate per svolgere un attacco al Blog. Un attacker potrebbe usare un bug di un qualche plugin installato e usare un qualche exploit. O potrebbe provare i conosciuti exploit su una detarminata versione di WordPress<\/b>.<\/p>\n
Oltre a questi file negare l’accesso al file .htaccess.<\/p>\n
Inserire il seguente codice nel proprio .htaccess o modificare il file di configurazione di Apache<\/b> ( httpd.conf ):<\/p>\n
\n
\n
<files .htaccess>\nOrder allow,deny\nDeny from all\n<\/files>\n<files readme.html>\nOrder allow,deny\nDeny from all\n<\/files>\n<files license.txt>\nOrder allow,deny\nDeny from all\n<\/files>\n<files install.php>\nOrder allow,deny\nDeny from all\n<\/files>\n<files wp-config.php>\nOrder allow,deny\nDeny from all\n<\/files>\n<\/pre>\n<\/blockquote>\n<\/div>\n
10. Cambiare le chiavi di autentificazione di WordPress<\/h2>\n
Le chiavi di autentificazione WordPress<\/b> vengono usate per la sicurezza nel momento dell’autentificazione tramite cookies. In poche parole vengono ustate per crittografare le informazioni trasmesse tramite cookies. Cambiando ogni tanto queste chiavi si avr\u00e0 maggiore sicurezza.<\/p>\n
Per cambiare le chiavi editare il file wp-config.php<\/b>.<\/p>\n
\n
\n
#vi wp-config.php\n<\/pre>\n<\/blockquote>\n<\/div>\n
\"Wordpress<\/p>\n
Come si vede nell’immagine dalla riga 51 alla 58 ci sono delle chiavi. Quello che dobbiamo fare \u00e8 sostiturle con qualcosa d’altro di nuovo.<\/p>\n
Per generarne di nuove si potrebbe usare il seguente tool: Tool per generare le secret keys di WordPress<\/a>.<\/p>\n
\"Wordpress<\/p>\n
Ora sostituire le chiavi presenti con quelle appena generate e salvare il file.<\/p>\n
11. Cambiare il prefisso delle tabelle di WordPress<\/h2>\n
Se non l’avete gi\u00e0 fatto durante l’installazione cambiare i prefissi delle tabelle del database. Per cambiare il prefisso delle tabelle bisogna prima saperne il nome, poi, con il comando RENAME, rinominarle. Prima di iniziare consiglio vivamente di effettuare un backup.<\/p>\n
Accedere alla banca dati ed eseguire i seguenti comandi.<\/p>\n
\n
\n
#mysql -u root -p\nmysql>use chitblog\nDatabase changed\nmysql> show tables;\n+------------------------------------+\n| Tables_in_chitblog\n+------------------------------------+\n| wp_commentmeta               | \n| wp_comments                  | \n| wp_links                     | \n| wp_options                   | \n| wp_postmeta                  | \n| wp_posts                     | \n| wp_term_relationships        | \n| wp_term_taxonomy             | \n| wp_terms                     | \n| wp_usermeta                  | \n| wp_users                     | \n+------------------------------------+\n\n13 rows in set (0.00 sec)\n<\/pre>\n<\/blockquote>\n<\/div>\n
\n
\n
mysql>RENAME TABLE wp_commentmeta TO chitblog_commentmeta, wp_comments TO chitblog_comments, wp_links TO chitblog_links, wp_options TO chitblog_options, wp_postmeta TO chitblog_postmeta, wp_posts TO chitblog_posts, wp_term_relationships TO chitblog_term_relationships, wp_term_taxonomy TO chitblog_term_taxonomy, wp_terms TO chitblog_terms, wp_usermeta TO chitblog_usermeta, wp_users TO chitblog_users;\n<\/pre>\n<\/blockquote>\n<\/div>\n
Una volta rinominate le tabelle editare il file wp-config.php<\/b>, cercare la variabile $table_prefix e assegnarle un diverso valore: “chitblog_” al posto di “wp_”.<\/p>\n
12. Disabilitare l’ETag<\/h2>\n
Editare il file httpd.conf e aggiungere le seguenti righe alla fine del file:<\/p>\n
\n
\n
Header unset ETag\nFileETag None<\/pre>\n<\/blockquote>\n<\/div>\n
Guida in italiano sul come velocizzare WordPress<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
1. Limitare l’accesso a wp-admin tramite indirizzo IP Limitare l’accesso alla cartella “wp-admin” tramite indirizzo IP aggiungendo le seguenti righe nel file httpd.conf: <Directory \/unacartella\/chitblog\/wp-admin\/> Require ip xxx.xxx.xxx.xxx <\/Directory> Con le seguenti direttive si ottiene che solo l’utente con l’indirizzo IP XXX.XXX.XXX.XXX pu\u00f2 accedere all’area d’amministrazione di WordPress. Se non si possiede un indirizzo IP…<\/p>\n
Read More “La perfetta installazione WordPress  – Sicurezza”<\/span> »<\/a><\/p>","protected":false},"author":5,"featured_media":1850,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[49,144],"tags":[241,18,24,21,10,22,113,23,12,240,17,20,16,11,2],"class_list":["post-228","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicurezza-informatica-anonimato","category-articoli-wordpress","tag-area-damministrazione","tag-brute-force","tag-configurare","tag-exploit","tag-guida","tag-hacked","tag-hacking","tag-installare","tag-italiano","tag-ithemes-security","tag-login","tag-security","tag-sicurezza","tag-tutorial","tag-wordpress"],"yoast_head":"\nLa perfetta installazione Wordpress - Sicurezza • CHIT<\/title>\n<meta name=\"description\" content=\"Guida in italiano sulla sicurezza WordPress.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/christeninformatica.ch\/it\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/\" \/>\n<meta property=\"og:locale\" content=\"it_IT\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"La perfetta installazione Wordpress - Sicurezza • CHIT\" \/>\n<meta property=\"og:description\" content=\"Guida in italiano sulla sicurezza WordPress.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/christeninformatica.ch\/it\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/\" \/>\n<meta property=\"og:site_name\" content=\"CHIT\" \/>\n<meta property=\"article:published_time\" content=\"2018-02-28T13:53:23+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2022-08-15T11:33:16+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/christeninformatica.ch\/media\/wordpress.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"650\" \/>\n\t<meta property=\"og:image:height\" content=\"341\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"chitblog\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"chitblog\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"13 minuti\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/\"},\"author\":{\"name\":\"chitblog\",\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/#\\\/schema\\\/person\\\/b0952e900860b424a6b0906f1d6a0a64\"},\"headline\":\"La perfetta installazione WordPress – Sicurezza\",\"datePublished\":\"2018-02-28T13:53:23+00:00\",\"dateModified\":\"2022-08-15T11:33:16+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/\"},\"wordCount\":1271,\"commentCount\":3,\"image\":{\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/christeninformatica.ch\\\/media\\\/wordpress.jpg\",\"keywords\":[\"area d'amministrazione\",\"brute force\",\"configurare\",\"exploit\",\"guida\",\"hacked\",\"hacking\",\"installare\",\"italiano\",\"iThemes Security\",\"Login\",\"security\",\"Sicurezza\",\"tutorial\",\"Wordpress\"],\"articleSection\":[\"Sicurezza \\\/ Anonimato\",\"WordPress\"],\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/\",\"url\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/\",\"name\":\"La perfetta installazione Wordpress - Sicurezza • CHIT\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/christeninformatica.ch\\\/media\\\/wordpress.jpg\",\"datePublished\":\"2018-02-28T13:53:23+00:00\",\"dateModified\":\"2022-08-15T11:33:16+00:00\",\"author\":{\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/#\\\/schema\\\/person\\\/b0952e900860b424a6b0906f1d6a0a64\"},\"description\":\"Guida in italiano sulla sicurezza WordPress.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/#primaryimage\",\"url\":\"https:\\\/\\\/christeninformatica.ch\\\/media\\\/wordpress.jpg\",\"contentUrl\":\"https:\\\/\\\/christeninformatica.ch\\\/media\\\/wordpress.jpg\",\"width\":650,\"height\":341},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/christeninformatica.ch\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"La perfetta installazione WordPress – Sicurezza\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/#website\",\"url\":\"https:\\\/\\\/christeninformatica.ch\\\/\",\"name\":\"CHIT\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/christeninformatica.ch\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/christeninformatica.ch\\\/#\\\/schema\\\/person\\\/b0952e900860b424a6b0906f1d6a0a64\",\"name\":\"chitblog\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/321ffb3802ecc0a2fc461c52e31fbbabb19873df19bfb793c8e64c6a0cc49313?s=96&d=identicon&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/321ffb3802ecc0a2fc461c52e31fbbabb19873df19bfb793c8e64c6a0cc49313?s=96&d=identicon&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/321ffb3802ecc0a2fc461c52e31fbbabb19873df19bfb793c8e64c6a0cc49313?s=96&d=identicon&r=g\",\"caption\":\"chitblog\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"La perfetta installazione Wordpress - Sicurezza • CHIT","description":"Guida in italiano sulla sicurezza WordPress.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/christeninformatica.ch\/it\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/","og_locale":"it_IT","og_type":"article","og_title":"La perfetta installazione Wordpress - Sicurezza • CHIT","og_description":"Guida in italiano sulla sicurezza WordPress.","og_url":"https:\/\/christeninformatica.ch\/it\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/","og_site_name":"CHIT","article_published_time":"2018-02-28T13:53:23+00:00","article_modified_time":"2022-08-15T11:33:16+00:00","og_image":[{"width":650,"height":341,"url":"https:\/\/christeninformatica.ch\/media\/wordpress.jpg","type":"image\/jpeg"}],"author":"chitblog","twitter_card":"summary_large_image","twitter_misc":{"Written by":"chitblog","Est. reading time":"13 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/#article","isPartOf":{"@id":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/"},"author":{"name":"chitblog","@id":"https:\/\/christeninformatica.ch\/#\/schema\/person\/b0952e900860b424a6b0906f1d6a0a64"},"headline":"La perfetta installazione WordPress – Sicurezza","datePublished":"2018-02-28T13:53:23+00:00","dateModified":"2022-08-15T11:33:16+00:00","mainEntityOfPage":{"@id":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/"},"wordCount":1271,"commentCount":3,"image":{"@id":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/#primaryimage"},"thumbnailUrl":"https:\/\/christeninformatica.ch\/media\/wordpress.jpg","keywords":["area d'amministrazione","brute force","configurare","exploit","guida","hacked","hacking","installare","italiano","iThemes Security","Login","security","Sicurezza","tutorial","Wordpress"],"articleSection":["Sicurezza \/ Anonimato","WordPress"],"inLanguage":"it-IT","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/","url":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/","name":"La perfetta installazione Wordpress - Sicurezza • CHIT","isPartOf":{"@id":"https:\/\/christeninformatica.ch\/#website"},"primaryImageOfPage":{"@id":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/#primaryimage"},"image":{"@id":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/#primaryimage"},"thumbnailUrl":"https:\/\/christeninformatica.ch\/media\/wordpress.jpg","datePublished":"2018-02-28T13:53:23+00:00","dateModified":"2022-08-15T11:33:16+00:00","author":{"@id":"https:\/\/christeninformatica.ch\/#\/schema\/person\/b0952e900860b424a6b0906f1d6a0a64"},"description":"Guida in italiano sulla sicurezza WordPress.","breadcrumb":{"@id":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/"]}]},{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/#primaryimage","url":"https:\/\/christeninformatica.ch\/media\/wordpress.jpg","contentUrl":"https:\/\/christeninformatica.ch\/media\/wordpress.jpg","width":650,"height":341},{"@type":"BreadcrumbList","@id":"https:\/\/christeninformatica.ch\/la-perfetta-installazione-wordpress-sul-tuo-server-sicurezza-parte-2\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/christeninformatica.ch\/"},{"@type":"ListItem","position":2,"name":"La perfetta installazione WordPress – Sicurezza"}]},{"@type":"WebSite","@id":"https:\/\/christeninformatica.ch\/#website","url":"https:\/\/christeninformatica.ch\/","name":"CHIT","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/christeninformatica.ch\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"it-IT"},{"@type":"Person","@id":"https:\/\/christeninformatica.ch\/#\/schema\/person\/b0952e900860b424a6b0906f1d6a0a64","name":"chitblog","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/secure.gravatar.com\/avatar\/321ffb3802ecc0a2fc461c52e31fbbabb19873df19bfb793c8e64c6a0cc49313?s=96&d=identicon&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/321ffb3802ecc0a2fc461c52e31fbbabb19873df19bfb793c8e64c6a0cc49313?s=96&d=identicon&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/321ffb3802ecc0a2fc461c52e31fbbabb19873df19bfb793c8e64c6a0cc49313?s=96&d=identicon&r=g","caption":"chitblog"}}]}},"_links":{"self":[{"href":"https:\/\/christeninformatica.ch\/it\/wp-json\/wp\/v2\/posts\/228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/christeninformatica.ch\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/christeninformatica.ch\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/christeninformatica.ch\/it\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/christeninformatica.ch\/it\/wp-json\/wp\/v2\/comments?post=228"}],"version-history":[{"count":0,"href":"https:\/\/christeninformatica.ch\/it\/wp-json\/wp\/v2\/posts\/228\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/christeninformatica.ch\/it\/wp-json\/wp\/v2\/media\/1850"}],"wp:attachment":[{"href":"https:\/\/christeninformatica.ch\/it\/wp-json\/wp\/v2\/media?parent=228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/christeninformatica.ch\/it\/wp-json\/wp\/v2\/categories?post=228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/christeninformatica.ch\/it\/wp-json\/wp\/v2\/tags?post=228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}