Indice
- Cos’è il file .htaccess e come modificarlo?
- Proteggere .htaccess da accessi non autorizzati
- Disabilitare esplorazione directory
- Come proteggere la tua configurazione di WordPress (wp-config.php)
- Disabilitare l’accesso a file XML-RPC Utilizzando .htaccess
- Disabilitare Hotlinking su WordPress Utilizzando .htaccess
- Installa temi e plugin soltanto da fonti sicure
Cos’è il file .htaccess e come modificarlo?
Il file .htaccess è un file di configurazione del server capace di mandare offline il tuo sito, esso consente di definire le regole per il server da seguire, il che lo rende un potenziale alleato da proteggere e sfruttare. WordPress utilizza il file .htaccess per generare la sua struttura, tuttavia, questo file può fare molto di più. Il file .htaccess si trova nella cartella principale del vostro host, è importante collegarsi al sito web utilizzando un client FTP come FileZilla per modificarlo. Tuttavia alcuni host come Siteground permettono l’accesso all’host direttamente da Cpanel, basta cliccare su Gestione File.Proteggere .htaccess da accessi non autorizzati
Ci sono tante cose che possono essere fatte usando il file .htaccess, a causa della potenza e il controllo che ha sul tuo host, è molto importante proteggerlo da accessi non autorizzati da parte di hacker. Basta aggiungere il seguente codice al file .htaccess:
1
2
3
4
5 |
<files ~ "^.*\.([Hh][Tt][Aa])" > order allow,deny deny from all satisfy all </files> |
Disabilitare esplorazione directory
Con l’esplorazione delle directory abilitata i cracker possono guardare nei file di struttura del tuo sito per trovare file vulnerabili. Per disattivare l’esplorazione della directory sul tuo sito web, è necessario aggiungere la seguente riga al file .htaccess
1 |
Options -Indexes |
1
2
3
4
5
6 |
# BEGIN block author scans RewriteEngine On RewriteBase / RewriteCond %{QUERY_STRING} (author=\d+) [NC] RewriteRule .* - [F] # END block author scans |
Come proteggere la tua configurazione di WordPress (wp-config.php)
Il file più importante nella directory del tuo sito web WordPress è il file wp-config.php. Contiene informazioni sul database di WordPress e come connettersi ad esso. Per proteggere il file wp-config.php da accesso non autorizzato, è sufficiente aggiungere il codice al tuo file .htaccess:
1
2
3
4 |
<files wp-config.php> order allow,deny deny from all </files> |
1
2
3
4
5
6
7
8
9
10
11
12 |
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx </LIMIT> |
Disabilitare l’accesso a file XML-RPC Utilizzando .htaccess
Ogni installazione di WordPress è dotata di un file chiamato xmlrpc.php. Questo file permette ad applicazioni di terze parti di connettersi al tuo sito WordPress. La maggior parte degli esperti di sicurezza consigliano di disattivare l’accesso di questo file solo se non si utilizzano applicazioni di terze parti. Aggiungi il seguente codice al file .htaccess per bloccare l’accesso a software di terze parti:
1
2
3
4
5 |
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files> |
Disabilitare Hotlinking su WordPress Utilizzando .htaccess
Alcuni furboni praticano questo sistema per prendere direttamente le immagini dal tuo sito, il che può rendere il tuo sito WordPress lento o addirittura superare il limite di larghezza banda. Questo non è un grosso problema per la maggior parte dei piccoli siti web, tuttavia se si inseriscono su un sito web con un buon posizionamento molte foto, allora questo potrebbe diventare un problema importante. Ti consigliamo di leggere di più sull’hotlinking direttamente su questo articoloTi sembra complicato tutto questo? Non hai ancora visto nulla!
Qualche frase di incoraggiamento fa sempre bene.
Mettere in sicurezza WordPress non è un gioco da ragazzi ecco perchè vi consigliamo di leggere anche https://skillsandmore.org/sicurezza-wordpress-regole
Una buona installazione di questi codici vi permetterà di aumentare la sicurezza del vostro sito, ma attenzione a non sottovalutare i plugin che installi.