Archivio Tag: Sicurezza WordPress
Una nuova release di WordPress, il nostro CMS preferito, è disponibile per il download ed anche tramite aggiornamento automatico.
Questo aggiornamento è definito come aggiornamento di sicurezza, nessuna modifica funzionale o estetica, consigliabile quindi effettuare l’aggiornamento con celerità.
Al momento tramite l’aggiornamento automatico di WordPress è disponibile solo la versione in inglese, per le versioni localizzate c’è da aspettare (motivo per cui converrebbe sempre installare WordPress nella versione originale anglosassone).
Aggiornamento: a distanza di una settimana è comparso anche l’aggiornamento localizzato per la versione italiana di WordPress.
WordPress in sicurezza: un plugin per limitare l’accesso agli amministratori del blog tramite controllo IP
Tra le tante possibilità per mettere in sicurezza un’installazione di WordPress ho trovato interessate un plugin, WP Login Security di Joshua Scott, che permette di limitare il login agli utenti amministratori solo da IP conosciuti, una sorta di whitelist per gli amministratori del blog basata sul controllo dell’indirizzo IP di provenienza.
Naturalmente questo plugin torna utile quando l’amministratore del blog dispone di un IP statico.
Non è l’unico plugin del genere, ed è pure un po’ “acerbo” come versione se vogliamo, ma mi è piaciuto per la semplicità.
Quello dei prefissi delle tabelle del database di WordPress è uno dei punti fondamentali della sicurezza di WordPress, stando a quanto si legge in giro. WordPress di default applica alle sue tabelle il prefisso “wp_”, ed è consigliabile cambiarlo in qualcosa di meno riconoscibile, una stringa a casaccio e complicata tipo “ehd045s_”. Questo dovrebbe aumentare la sicurezza del beneamato blog in caso di attacchi malevoli di vario tipo, soprattutto SQL injection.
WordPress prima installazione
Sapendolo prima è tutto molto facile, prima di procedere con l’installazione vera e propria del CMS basta impostare il valore desiderato nel file di configurazione di WordPress, wp-config.php.
Per farlo si modifica la riga:
$table_prefix = 'wp_';
in
$table_prefix = 'ehd045s_';
Tutto fatto, lo script di installazione è istruito a dovere e le tabelle assumeranno il prefisso desiderato, e non ci si deve più preoccupare.
WordPress già installato
In questo caso la faccenda si complica, bisogna intervenire su un database già formato e magari zeppo di dati, qualsiasi errore e il beneamato blog diventa una poltiglia inutilizzabile.
Prima di qualsiasi intervento su un database in uso, è indispensabile fare un backup del database! Poi non venite a piangere se succede qualcosa…
Fatto il backup del database, vediamo come si procede alla rinomina dei prefissi delle tabelle. Continua a leggere
WordPress in sicurezza: proteggere la configurazione
Qualcuno mi disse che essere fanatici della sicurezza è tempo perso. Per certi versi è vero, o si è dei geni dell’informatica oppure la sicurezza è quasi un eufemismo. Qualcosina però possiamo fare nel nostro piccolo, come ad esempio proteggere da occhi indiscreti il file di configurazione di WordPress, wp-config.php, dove sono ricavabili informazioni delicate, come l’utente e la password del database.
Non c’è nulla di sicuro, fatto salvo forse una mezza manciata di certezze esistenziali, comunque discutibile. I server web in particolare non sono sicuri, possono esserlo in modo ragionevole a seconda di chi li mantiene.
Non preoccupiamoci dei server, almeno in questa fase, diamo per scontato che il nostro amato blog risieda su una piattaforma più sicura possibile, gestita da un amministratore di sistema consapevole e premuroso, preoccupiamoci solo della nostra installazione di WordPress.
WordPress è un CMS molto diffuso e apprezzato, condizione che però riguarda anche chi cerca di violarlo per far danni o per puro (misero) divertimento. È una legge ben nota dell’informatica: più un prodotto è noto, sistema operativo o software che sia, più sono gli hacker che cercano di scoprirne le vulnerabilità, maggiori sono i rischi che queste scoperte si trasformino in tentativi di violazione. Anche casuali, così per il gusto di farlo…
Personalmente non ho mai avuto grossi problemi di sicurezza con WordPress (sgrat sgrat!). Di tanto in tanto leggo di qualche falla, risolta in tempi tutto sommato rapidi, ed il più delle volte quando ne sono venuto a conoscenza avevo già aggiornato WordPress alla versione successiva, in cui la falla è stata tappata.
Però è sempre bene fare il possibile affinché la nostra installazione sia il più sicura possibile, si tratta di poche cose da applicare facilmente, come i permessi alle cartelle, il prefisso delle tabelle del database, l’uso di password difficili etcetera etcetera…
Volendo fare i precisini possiamo cercare di proteggere il nostro file di configurazione, wp-config.php, affinché sia maggiormente distante da occhi discreti.
Il file in questione è già abbastanza protetto di suo, difficile che qualcuno riesca a guardarci dentro, ma se proprio vogliamo darci un’ora di sonno tranquilla in più possiamo barricarlo grazie ai permessi del server web.
Ecco come fare. Continua a leggere
WordPress 2.9.2 protegge il cestino da occhi indiscreti
È stato rilasciato da una decina di giorni circa, ma è da poco è disponibile anche in italiano l’aggiornamento alla versione 2.9.2 di WordPress.
Si tratta di un aggiornamento di sicurezza, o forse sarebbe meglio dire privacy, che mette al riparo da un bug che permette agli utenti registrati di sbirciare tra i post cestinati anche di altri utenti.
Come sempre in questi casi, meglio fare un bel backup della cartella del sito e del database.
Riguardo Me
Classe 1960, qualcuno si ricorda ancora di me per una mia vecchia passione per le cose di Apple.
Faccio comunicazione sul web in vari modi, gestisco servizi Web, Mail e DNS, nomi a dominio, gioco con il posizionamento sui motori di ricerca.
Di tanto in tanto torno a fare qualche foto, amo gli scollinamenti in moto e le grigliate...
Mi trovi anche su:
