Aumentare Sicurezza del Blog Impostando con CHMOD i Permessi WordPress

Come si può Aumentare il Livello di Sicurezza WordPress?

Ecco dei semplici consigli su come poter cambiare i permessi CHMOD nel caso di installazione WordPress su server Apache. I file e le directory in Unix possono avere tre tipi di permessi: lettura (‘r‘), scrittura (‘w‘), ed esecuzione (‘x‘).

Ogni autorizzazione può essere su “ON” od “OFF’” per ciascuna delle tre categorie di utenti:

• il proprietario del file (o delle cartelle);
• altre persone nello stesso gruppo del proprietario,
• tutti gli altri.

Generalmente si considera che:

• Se un file o una cartella è scrivibile, l’installazione di WordPress è non è sicura, 
• se vengono cambiati i permessi di qualsiasi file o cartella, l’installazione non è sicura.

Per aumentare la sicurezza del Blog WordPress ecco come procedere:

• NON utilizzare plugin che hanno bisogno di scrivere qualcosa al server.
• NON utilizzare il plugin integrato per il backup, che permette di salvare file di backup sul server ma utilizzarne un altro che non salvi i backup sul server ma in locale, come WP-DB-Backup che oltre ad effettuare backup del database del blog in maniera automatica, programmabile dall’utente. Prevede l’invio di e-mail di avviso.
• Utilizzare WP-DBManager: permette di ottimizzare/riparare/salvare/ripristinare il database  del proprio blog attraverso la dashboard.
• Le cartelle devono avere le autorizzazioni settate a 755. MAI a 777!
• Tutti i file devono avere i permessi a 644.
• NON utilizzare l’editor nativo di WordPress.
• Se si desidera utilizzare l’editor integrato, i file di tema devono avere come autorizzazioni a 666. MAI 777!
• Cambiare il prefisso delle tabelle del database di WP: Il prefisso utilizzato in maniera predefinita da WordPress per le sue pagine è “wp”; con WP security Scan potrete cambiarlo a vostro piacimento e mettere in sicurezza il vostro blog.

Mettere in sicurezza la cartella wp-content/uploads/

Se vogliamo caricare i file delle immagini direttamente dall’editor di WordPress quando scriviamo gli articoli, bisogna creare un file .htacces e metterlo direttamente nella cartella che vogliamo proteggere, in questo modo possiamo evitare che eventuali file php caricati su wp-content/uploads/ possano essere eseguiti:

Order Deny,Allow
Deny from all

Questo tecnica può essere applicata a tutte le estensioni di file da bloccare nella cartella.