Gestire facilmente la Sicurezza del tuo sito WordPress con 1 click su Plesk

Plesk per Wordpress

Usi WordPress? Vuoi proteggere con facilità il tuo sito?

Se sei nostro cliente (o di hosting con lo stesso pannello) ed hai installato WordPress da Plesk, hai a disposizione gratuitamente, già comprese nel tuo pacchetto, una serie di attività di controllo e protezione attivabili con grande semplicità e rapidità.

Tutta la sicurezza: Segui le schermate: entra nel tuo pannello Plesk, esegui un controllo di tutti gli elementi presenti ed attiva le procedure di sicurezza, con un semplice click..

Plugin: Cerca nuovi plugin se ne hai bisogno, vedi quelli proposti e nota bene le recensioni.

Se oltre alle immagini tutorial desiderate dettagli su queste operazioni, leggere i paragrafi successivi.

Dati verificati da “Controllo sicurezza”:

La cartella wp-content.
La directory wp-content può contenere file PHP insicuri che possono essere usate per danneggiare il tuo sito. Dopo l’installazione di WordPress, i file PHP possono essere eseguiti dalla directory wp-content. Il controllo di sicurezza deve verificare che l’esecuzione dei file PHP nella directory wp-content sia proibita.

La cartella wp-includes.
La directory wp-includes può contenere file PHP insicuri che possono essere usate per danneggiare il tuo sito. Dopo l’installazione di WordPress, i file PHP possono essere eseguiti dalla directory wp-includes. Il controllo di sicurezza deve verificare che l’esecuzione dei file PHP nella directory wp-includes sia proibita.

Il file di configurazione.
Il file wp-config.php contiene le credenziali per il database eccetera. Dopo l’installazione di WordPress, il file wp-config.php può essere eseguito. Se, per qualche motivo, l’elaborazione di file PHP dal server web è disattivata, gli hacker possono accedere al contenuto del file wp-config.php. Il controllo di sicurezza deve verificare che l’accesso non autorizzato al file wp-config.php sia bloccato.

Permessi esplorazione directory.
Se l’esplorazione di directory è attivata, gli hacker possono ottenere l’informazione sul tuo sito (i plugin utilizzati eccetera). In modo predefinito, l’esplorazione di directory è disattivata in Plesk. Il controllo di sicurezza deve verificare che l’esplorazione di directory sull’installazione di WordPress sia disattivata.

Prefisso database.
Le tabelle del database WordPress hanno gli stessi nomi in tutte le installazioni di WordPress. Quando viene usato wp_ prefix per i nomi delle tabelle dei database, l’intera struttura del database WordPress non è un segreto e tutti possono ottenere i relativi dati. Il controllo di sicurezza deve verificare che il prefisso per i nomi delle tabelle del database sia diverso da wp_.

Chiavi di sicurezza.
WordPress utilizza le chiavi di sicurezza (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY e NONCE_KEY) per garantire una migliore crittografia delle informazioni salvate nelle cookie dell’utente. Un’ottima chiave di sicurezza deve essere lunga (almeno 60 caratteri) e deve contenere caratteri casuali e sufficientemente complicati. Il controllo di sicurezza deve verificare che le chiavi di sicurezza siano configurate e che contengano almeno caratteri alfanumerici e numerici.

Permessi per file e directory.
Se i permessi per i file e le directory non soddisfano le norme di sicurezza, tali file possono essere usati per danneggiare il tuo sito. Dopo l’installazione di WordPress, i file e le directory possono avere diversi permessi. Il controllo di sicurezza deve verificare che i permessi per il file wp-config siano impostati a 600, per altri file a 644 e per le directory a 755.

Nome utente dell’amministratore.
Quando viene installata una copia di WordPress, esiste, in modo predefinito, un utente con privilegi amministrativi e il nome utente admin. Siccome il nome utente di un utente non può essere modificato in WordPress, basta solo indovinare la password per accedere al sistema come l’amministratore. Il controllo di sicurezza deve verificare che non ci sia un utente con privilegi amministrativi e il nome utente admin.

Informazione della versione.
Esistono vulnerabilità di sicurezza conosciute per ogni versione di WordPress. Per questo motivo, la visualizzazione della versione dell’installazione di WordPress utilizzata rende più semplice l’obiettivo agli hacker. La versione di un’installazione di WordPress può essere vista nei metadati delle pagine e i file readme.html. Il controllo di sicurezza deve verificare che tutti i file readme.html siano vuoti e che ogni tema abbia un file functions.php, contenente la riga: remove_action(\’wp_head\’, \’wp_generator\’);.

security easySe alcuni dati non superano il controllo di sicurezza.

Puoi selezionarli nell’elenco dei risultati della verifica di sicurezza.
Poi fai click sul bottone “Proteggi”.
(E’ una procedura semplicissima, vedi la seconda immagine sopra).

A seconda degli elementi selezionati, verranno effettuate da Plesk le seguenti azioni:

  • Per la cartella wp-content, l’esecuzione di file PHP nella directory wp-content saranno proibiti nel file di configurazione del server (Apache, nginx per Linux o web.config per Windows). Tieni presente che le direttive personalizzate nei file .htaccess o web.config potrebbero sovrascrivere tale impostazione.Inoltre, è bene notare che alcuni dei plugin che si utilizzano potrebbero non funzionare dopo aver protetto la cartella wp-content.
  • Per la cartella wp-includes, l’esecuzione di file PHP nella directory wp-includes saranno proibiti nel file di configurazione del server (Apache, nginx per Linux o web.config per Windows). Tieni presente che le direttive personalizzate nei file .htaccess o web.config potrebbero sovrascrivere tale impostazione.Inoltre, è bene notare che alcuni dei plugin utilizzati potrebbero non funzionare dopo aver protetto la cartella wp-includes.
  • Per il file di configurazione, l’esecuzione del file wp-config.php sarà proibita nel file di configurazione del server (Apache, nginx per Linux o web.config per Windows). Tieni presente che le direttive personalizzate nei file .htaccess o web.config potrebbero sovrascrivere tale impostazione.
  • Per i permessi di esplorazione directory, l’esplorazione delle directory sull’installazione di WordPress sarà disattivata nel file di configurazione del server (Apache, nginx per Linux o web.config per Windows).
  • Per il prefisso del database, la modalità di manutenzione è attivata, tutti i plugin sono disattivati, il prefisso è modificato nel file di configurazione, il prefisso è modificato nel database, i plugin sono riattivati, la struttura del permalink è aggiornata e poi la modalità di manutenzione è disattivata.
  • Per le chiavi di sicurezza, le chiavi di sicurezza ottime saranno generate e aggiunte alla tua installazione WordPress.
  • Per i permessi per i file e le directory, i permessi saranno cambiati a seconda della normativa di sicurezza di WordPress: i permessi per il file wp-config saranno impostati su 600, per altri file, su 644 e per le directory, su 755.
  • Per il nome utente dell’amministratore di WordPress, viene creato un nuovo utente con un nome utente e una password casuali e le stesse proprietà e profilo del corrente amministratore. I blog e link dell’amministratore sono riassegnati al nuovo utente e quindi l’account amministratore viene rimosso.
  • Per l’informazione della versione di WordPress, il contenuto dei file readme.html saranno deselezionati e la riga sopra sarà aggiunta al file functions.php di ogni tema. Se tale file non è presente in un tema, allora viene creato.

Informazioni su Staff Misterdomain

Misterdomain.eu è un servizio di Inmediatamente Web SL - Tenerife (ES). Lo staff è composto da specialisti in aspetti tecnici e di digital marketing per offrire servizi ed assistenza sempre più performanti su domini, hosting e siti WordPress.