Come rendere il tuo
WordPress più Sicuro

Paolo Valenti
aka Wolly
http://wol.ly

Regole Generali
Usare sempre la versione più recente di WordPress
Backup del database giornaliero
Backup dei file
Usare password forti We4_78Horz
Aggiornare i plugin
Eliminare i plugin inutilizzati
Scaricare temi solo da siti sicuri e conosciuti

Installazione

wp-config.php
Modificare $table_prefix = 'wp_'; in qualcosa tipo:
$table_prefix = 'sj5p3n93_';
collegarsi a https://api.wordpress.org/secret-key/1.1/
e aggiungere le chiavi di “salatura”:
define('AUTH_KEY', '1^&VhmifHBP:- -BKtaAR!^h~nuoLX]4_+B,i4*#;|f;Z?&{j3f+|8=FqedA2H(e');
define('SECURE_AUTH_KEY', 'w`qpdDyK-~Xyq-s5lZZq(^[5M)V.f-O^60G#pw@XW&*[r7.O`<`w7^rY[3fDt=t)');
define('LOGGED_IN_KEY', 'qMMtbBqR%GCjMa1SJ,p>Wa4PFJTJz#nZ:%X%&dip6A/T%77O_Y|^NRrw=FWZXA`j');
define('NONCE_KEY', '^*Tev)@+7DKPNg>%I-a]<<Hb2+;(e.]P6_PFmbZ7m*.=FugNU|p~K+C+{-0EKPI@');

I permessi
Server Linux
Permessi Standard:
Cartelle: 775
File: 644
Chiedere al proprio provider se si devono utilizzare permessi diversi
Permessi 777 SOLO temporaneamente per l’installazione di plugin particolari

Primo accesso
Appena collegati creare un nuovo utente e promuoverlo AMMINISTRATORE
Scollegarsi da ADMIN e ricollegarsi con il nuovo utente
Cancellare l’utente ADMIN
Non permettere registrazioni utenti se non strettamente necessario
Se è aperta la registrazione lasciare SOTTOSCRITTORE come livello standard
Fare molta attenzione ai permessi che date ai vostri utenti, non dovreste MAI dare
permessi da AMMINISTRATORE.

Altre opzioni
Eliminare da header.php la versione di WordPress
Inserire un file .htaccess nella cartella wp-admin per regolare l’accesso
Potete usare il plugin WP SECURITY SCAN

Sei un WebMaster

Ricordati sempre che:
Nessun Plugin è più importante della sicurezza del tuo blog
Nessun Tema è più importante della sicurezza del tuo blog
Non c’è nessun motivo valido per non aggiornare il tuo blog prontamente
Se il tuo blog è compromesso potresti creare danni anche agli altri ospiti del tuo
hosting condiviso.
Backup, backup e ancora backup.
Se non hai tempo o voglia di seguire la parte tecnica del tuo blog c’è sempre
WordPress.com e non è un ripiego e i tuoi contenuti non vengogo sminuiti.

Nel dubbio
Il forum di assistenza
http://wordpress-it.it/forum
è sempre a tua disposizione
CHIEDI

Paolo Valenti aka Wolly
Blogger dal 2003
Dal 2005 membro del team italiano ufficiale di
supporto e traduzione di WordPress
Organizzatore del WordCamp Italiano
Organizzatore della WordPressFest
CoFondatore di GoodPress.it
http://wol.ly
http://www.wordpress-it.it
http://www.wordcamp.it
http://wordpressfest.org
http://goodpress.it
email: wolly66@gmail.com

Grazie