fbpx

Cos’è il file .htaccess e come modificarlo?

Il file .htaccess è un file di configurazione del server capace di mandare offline il tuo sito, esso consente di definire le regole per il server da seguire, il che lo rende un potenziale alleato da proteggere e sfruttare. WordPress utilizza il file .htaccess per generare la sua struttura, tuttavia, questo file può fare molto di più. Il file .htaccess si trova nella cartella principale del vostro host, è importante collegarsi al sito web utilizzando un client FTP come FileZilla per modificarlo. Tuttavia alcuni host come Siteground permettono l’accesso all’host direttamente da Cpanel, basta cliccare su Gestione File.

Proteggere .htaccess da accessi non autorizzati

Ci sono tante cose che possono essere fatte usando il file .htaccess, a causa della potenza e il controllo che ha sul tuo host, è molto importante proteggerlo da accessi non autorizzati da parte di hacker. Basta aggiungere il seguente codice al file .htaccess:
1
2
3
4
5
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

Disabilitare esplorazione directory

Con l’esplorazione delle directory abilitata i cracker possono guardare nei file di struttura del tuo sito per trovare file vulnerabili. Per disattivare l’esplorazione della directory sul tuo sito web, è necessario aggiungere la seguente riga al file .htaccess
1
Options -Indexes
Blocco scansioni Autore in WordPress
Una tecnica comune utilizzata in Brute-force attack è quello di eseguire scansioni autore su un sito WordPress e quindi tentare di decifrare le password entrare nel tuo sito. È possibile bloccare tali scansioni aggiungendo il seguente codice al file .htaccess:
1
2
3
4
5
6
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans

Come proteggere la tua configurazione di WordPress (wp-config.php)

Il file più importante nella directory del tuo sito web WordPress è il file wp-config.php. Contiene informazioni sul database di WordPress e come connettersi ad esso. Per proteggere il file wp-config.php da accesso non autorizzato, è sufficiente aggiungere il codice al tuo file .htaccess:
1
2
3
4
<files wp-config.php>
order allow,deny
deny from all
</files>
Proteggi la tua Area Amministrazione WordPress
È possibile utilizzare .htaccess per proteggere la tua area di amministrazione WordPress, limitando l’accesso ai soli indirizzi IP selezionati. basta fare copia e incolla di questo codice nel file .htaccess:
1
2
3
4
5
6
7
8
9
10
11
12
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
Non dimenticare di sostituire i valori xx con i propri indirizzo IP. Se si utilizza più di un indirizzo IP per accedere a Internet, assicurati di averli aggiunti.

Disabilitare l’accesso a file XML-RPC Utilizzando .htaccess

Ogni installazione di WordPress è dotata di un file chiamato xmlrpc.php. Questo file permette ad applicazioni di terze parti di connettersi al tuo sito WordPress. La maggior parte degli esperti di sicurezza consigliano di disattivare l’accesso di questo file solo se non si utilizzano applicazioni di terze parti. Aggiungi il seguente codice al file .htaccess per bloccare l’accesso a software di terze parti:
1
2
3
4
5
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Disabilitare Hotlinking su WordPress Utilizzando .htaccess

Alcuni furboni praticano questo sistema per prendere direttamente le immagini dal tuo sito, il che può rendere il tuo sito WordPress lento o addirittura superare il limite di larghezza banda. Questo non è un grosso problema per la maggior parte dei piccoli siti web, tuttavia se si inseriscono su  un sito web con un buon posizionamento molte foto, allora questo potrebbe diventare un problema importante. Ti consigliamo di leggere di più sull’hotlinking direttamente su questo articolo
Ti sembra complicato tutto questo? Non hai ancora visto nulla!
Qualche frase di incoraggiamento fa sempre bene. Mettere in sicurezza WordPress non è un gioco da ragazzi ecco perchè vi consigliamo di leggere anche https://skillsandmore.org/sicurezza-wordpress-regole Una buona installazione di questi codici vi permetterà di aumentare la sicurezza del vostro sito, ma attenzione a non sottovalutare i plugin che installi.

Installa temi e plugin soltanto da fonti sicure

Per sapere come installare plugin premium da fonte sicura ti consigliamo di leggere questo articolo su GPL Vault   Grazie per aver letto il nostro articolo, se ti è stato di aiuto offri un Caffè agli autori cliccando su questo linkoppure condividi questo tweet per supportarci e fare bella figura con gli amici, Buon divertimento!
Questo sito utilizza i cookie per offrirvi una migliore esperienza di navigazione, navigando in questo sito web, l'utente accetta l'uso dei cookie da parte nostra.
Privacy Policy