Come proteggere WordPress da attacchi
Pubblicato il 23/4/2013 • Blog attacchi hacker, proteggere, pulire wordpress, Wordpress
Premessa importante: questo articolo è interamente dovuto ad Alessandro Vitale (è lui l’autore). Io mi sto limitanto a condividerlo.
CMS/blog WordPress sono sotto attacco.
E e in corso un grosso attacco contro i CMS che si basano sulla piattaforma WordPress. L’attacco in questione, brute force attack on the default wordpress login, mirerebbe a trovare la password associata all’account admin di default.
1) Aggiornate TUTTO, compreso i Plugin… per evitare che note falle, possano essere causa di un problema di sicurezza. Sarebbe consigliabile installare un plug-in che consente di limitare il numero di tentativi di login per indirizzo ip, io utilizzo questo: http://wordpress.org/extend/plugins/limit-login-attempts (link di utilità WP senza nessun fine e contro FAQ del gruppo).
2) Sarebbe buona norma non lasciare su WordPress l’account admin che viene creato di default (preso di mira). Il nome utente admin non può essere cambiato e dunque bisogna creare un nuovo account con il quale cancelleremo quello vecchio. Per fare ciò, basta accedere al pannello di amministrazione e seguire queste istruzioni:
- Cliccare sulla voce Utenti -> Aggiungi nuovo e creare un nuovo utente con il permesso di Amministratore. Fate sì che il nome utente che scegliete sia difficile da indovinare per chi volesse tentare di attaccare il vostro blog. Durante questo passaggio è importante inserire una password molto lunga (con caratteri maiuscoli, speciali ecc…) Una volta creato il nuovo account, fate il logout e loggatevi con il nuovo account seguendo la personalizzazione:
- Utenti -> Tutti gli utenti, a questo punti, cancellate l’account admin.
- Prima di cancellare ADMIN verrà richiesto da WP di associare gli articoli a un utente. Eseguite questo passaggio attribuendo i vecchi articoli al nuovo USER.
- Proteggere le cartelle e i file di WP, io ho utilizzato i files .htaccess seguendo una logica:
[adsense2]
3) In ROOT del nome a dominio: cercate il file .htaccess tramite ftp (io uso filezilla) sulla root del vostro sito. Scaricatelo, apritelo con “blocco note” e copiate e incollate quando segue oltre quanto scritto di default da WP e compreso da # BEGIN WordPress. N.B. FATE UN BACKUP DI QUESTO FILE PRIMA DI MOFICARLO!!!
# 1 Protect the .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# 2 Protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# disabilita la visualizzazione della cartella
Options All -Indexes
# 3 Protect readme.html
<files readme.html>
Order allow,deny
Deny from all
</files>
# 4 Protect readme.txt
<files readme.txt>
Order allow,deny
Deny from all
</files>
# 5 Protect leggimi.txt
<files LEGGIMI.txt>
order allow,deny
deny from all
</files>
4) Nella cartella /wp-admin/ (nuovo file .htaccess)
# 1 Protect the .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# 2 Protect install.php
<files install.php>
order allow,deny
deny from all
</files>
5) Nella cartella /wp-content/ (nuovo file .htaccess)
# 1 Protect the .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# 2 Protect cartella /uploads/
<files /uploads/>
order allow,deny
deny from all
</files>
# 3 Protect folder/cartella /plugins/
<files /plugins/>
order allow,deny
deny from all
</files>
# 4 Protect folder/cartella /themes/
<files /themes/>
order allow,deny
deny from all
</files>
6) Si può intervenire anche con il file ROBOT nella ROOT del nome a dominio (file: robots.txt):
User-agent: *
Disallow: /wp-
Disallow: /cgi-bin/
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /?
Disallow: /*?
Allow: /wp-content/uploads/
Tutto questo può servire a proteggersi ma se l’attacco fatto alla macchina è consistente, non c’è nulla da fare. Se il server cade e va in blocco di IP per un ripetuto attacco… avrete protetto i vostri dati ma sarete fuori linea come altri utenti.
Se ci sono integrazioni, segnalazioni, credo sia utile per tanti.
[adsense1]
