Homepage » come » Proteggi il tuo pannello di amministrazione di WordPress dagli hacker con .htaccess

    Proteggi il tuo pannello di amministrazione di WordPress dagli hacker con .htaccess

    Se stai usando WordPress come piattaforma dietro il tuo blog o sito web, probabilmente sai che ci sono state molte falle nella sicurezza, non solo nel software stesso, ma anche nei plugin. Alla luce di questi problemi, vedremo come prevenire i tentativi di hacking bloccando la cartella di amministrazione.

    Il web server Apache ha un meccanismo integrato che ti permette di assegnare una password richiesta per una cartella, che è separata dalla tua password WordPress.

    Suggerimenti rapidi sulla sicurezza del blog

    La sicurezza è abbastanza importante che ho ritenuto necessario includere alcuni suggerimenti extra qui. Questo non è affatto un elenco completo, ma dovresti esaminarli comunque.

    • Assicurati di avere l'ultima versione di WordPress e tutti i tuoi plugin.
    • Dovresti prendere in considerazione l'iscrizione a BlogSecurity.net, un blog che tenta di coprire le notizie sulla sicurezza relative alle piattaforme di blogging.
    • Assicurati che i permessi dei file siano impostati correttamente in base alle linee guida di WordPress.
    • Assicurati di utilizzare password complesse per tutti gli account.
    • Assicurati di eseguire il backup dell'intera installazione e del database di WordPress.
    • Blocca la tua cartella di amministrazione con le regole .htaccess (qui coperte)

    Assegnare manualmente una password alla directory di wp-admin

    Crea un file chiamato .htaccess nella tua directory wp-admin e aggiungi i seguenti contenuti:

    AuthName "Area riservata"
    AuthType Basic
    AuthUserFile /var/full/web/path/.htpasswd
    AuthGroupFile / dev / null
    richiede utente valido

    Dovrai modificare la riga AuthUserFile per utilizzare il percorso completo del file .htpasswd che creeremo nel passaggio successivo. Puoi trovare il percorso completo usando il pwd comando dal prompt della shell.

    Successivamente sarà necessario utilizzare l'utilità della riga di comando htpasswd per creare il file della password. Ti suggerisco inoltre di utilizzare un account utente e una password diversi da quelli utilizzati per l'installazione di WordPress.

    $ htpasswd -c .htpasswd nomeutente
    Nuova password:
    Ridigita la nuova password:
    Aggiunta di password per utente myusername

    Dovrai assicurarti di essere nella directory specificata da AuthUserFile e cambiare "myusername" in qualcosa di unico per il tuo sito. Questo creerà un file con contenuti simili al seguente:

    myusername: aJztXHCknKJ3.

    A questo punto dovresti ricevere una password quando accedi al pannello di amministrazione di WordPress. Noterai che "Area riservata" è il testo dal file .htaccess, che potrebbe essere cambiato in qualsiasi altra cosa.

    Se si verifica invece un errore del server, è consigliabile rimuovere il file .htaccess e ricominciare da capo.

    Infine, assicurati di rimuovere le autorizzazioni di scrittura su entrambi i file con il comando chmod come un ulteriore livello di sicurezza.

    chmod 444 .htaccess

    chmod 444 .htpasswd

    .htaccess Password File Generator

    C'è un ottimo strumento di Dynamicdrive che farà tutto il lavoro necessario per creare il file per te. Ciò è particolarmente utile se non si ha accesso alla shell al proprio server, poiché è possibile caricare i file semplicemente tramite il client FTP / SFTP.

    http://tools.dynamicdrive.com/password/

    Dovresti comunque assicurarti di rimuovere l'accesso in scrittura una volta caricati i file.