Per verificare e proteggere le installazioni di WordPress:
Attenzione: Tieni presente che non tutti i miglioramenti di sicurezza possono essere ripristinati. Si consiglia di eseguire il backup dell'abbonamento corrispondente prima di proteggere le installazioni di WordPress.
wp-content
può contenere file PHP insicuri che possono essere usate per danneggiare il tuo sito. Dopo l'installazione di WordPress, i file PHP possono essere eseguiti dalla directory wp-content
. Il controllo di sicurezza verifica che l'esecuzione dei file PHP nella directory wp-content
sia proibita. Tieni presente che le direttive personalizzate nei file .htaccess
o web.config
potrebbero sovrascrivere questa misura di sicurezza. Inoltre, è bene notare che alcuni dei plugin che si utilizzano potrebbero non funzionare dopo aver protetto la cartella wp-content.wp-includes
può contenere file PHP insicuri che possono essere usate per danneggiare il tuo sito. Dopo l'installazione di WordPress, i file PHP possono essere eseguiti dalla directory wp-includes
. Il controllo di sicurezza verifica che l'esecuzione dei file PHP nella directory wp-includes
sia proibita. Tieni presente che le direttive personalizzate nei file .htaccess
o web.config
potrebbero sovrascrivere questa misura di sicurezza. Inoltre, è bene notare che alcuni dei plugin utilizzati potrebbero non funzionare dopo aver protetto la cartella wp-includes.wp-config.php
contiene le credenziali per l'accesso al database e altre informazioni riservate. Dopo l'installazione di WordPress, il file wp-config.php
può essere eseguito. Se, per qualche motivo, l'elaborazione di file PHP dal server web è disattivata, gli hacker possono accedere al contenuto del file wp-config.php
. Il controllo di sicurezza verifica che l'accesso non autorizzato al file wp-config.php
sia bloccato. Tieni presente che le direttive personalizzate nei file .htaccess
o web.config
potrebbero sovrascrivere questa misura di sicurezza.Prefisso database
. Le tabelle del database WordPress hanno gli stessi nomi in tutte le installazioni di WordPress. Quando viene usato il prefisso del nome delle tabelle dei database standard wp_
, l'intera struttura del database WordPress smettere di essere segreta, per cui chiunque può ottenere i relativi dati. Il controllo di sicurezza cambia il prefisso dei nomi delle tabelle dei database in qualcosa diverso da wp_
. La modalità di manutenzione è attivata, tutti i plugin sono disattivati, il prefisso è modificato nel file di configurazione, il prefisso è modificato nel database, i plugin sono riattivati, la struttura del permalink è aggiornata e poi la modalità di manutenzione è disattivata.Chiavi di sicurezza
. WordPress utilizza le chiavi di sicurezza (AUTH_KEY
, SECURE_AUTH_KEY
, LOGGED_IN_KEY
e NONCE_KEY
) per crittografare le informazioni memorizzati nei cookie dell'utente. Un'ottima chiave di sicurezza deve essere lunga (almeno 60 caratteri) e deve contenere caratteri casuali e complicati. Questo controllo di sicurezza verifica che le chiavi di sicurezza siano configurate e che contengano almeno caratteri alfanumerici e numerici. Permessi per file e directory
. Se i permessi per i file e le directory non soddisfano le norme di sicurezza, tali file possono essere usati per danneggiare il tuo sito. Dopo l'installazione di WordPress, i file e le directory possono avere diversi permessi.Il controllo di sicurezza verifica che i permessi per il file wp-config
siano impostati a 600
, per altri file a 644
e per le directory a 755
. Nome utente dell'amministratore
. Quando viene installata una copia di WordPress, esiste, in modo predefinito, un utente con privilegi amministrativi e il nome utente admin
. Siccome il nome utente di un utente non può essere modificato in WordPress, basta solo indovinare la password per accedere al sistema come l'amministratore. Il controllo di sicurezza verifica che non ci sia un utente con privilegi amministrativi e il nome utente admin
. Informazione della versione
. Esistono vulnerabilità di sicurezza conosciute per ogni versione di WordPress. Per questo motivo, la visualizzazione della versione dell'installazione di WordPress utilizzata rende più semplice l'obiettivo agli hacker.La versione di un'installazione di WordPress può essere vista nei metadati delle pagine e i file readme.html
. Il controllo di sicurezza verifica che tutti i file readme.html
siano vuoti e che ogni tema abbia un file functions.php
, contenente la riga: remove_action(\'wp_head\', \'wp_generator\');
.