HomeGuide

Aumentare la sicurezza di WordPress

Aumentare la sicurezza di WordPress
Like Tweet Pin it Share Share Email

Ormai gli hackerozzi della domenica sono sempre più inefficaci, dato che in quanto a sicurezza, la qualità globale dei cms come wordpress-sicurezza-security-proteggere-blog-hacker-580x367wordpress, joomla, eccc.. è sempre più alta. Ma ovviamente c’è qualcosa che si potrebbe fare per migliorarla un altro “pelino”.
Ci sono un paio di impostazioni da modificare, il problema è che la maggior parte degli hosting non danno accesso al file php.ini in cui bisognerebbe fare le seguenti modifiche, ma se siete tra i pochi eletti che hanno la fortuna di avere un hosting che rispetta la vostra “integgilenza” e libertà controllate il valore delle seguenti variabili nel suddetto file:

allow_url_fopen

è raccomandabile che questa variabile sia settata su OFF per motivi di sicurezza. Se impostata su ON, consente alle funzioni php quali include, require,  e file_get_contents(), di ricevere dati da locazioni remote (siti web o ftp ad esempio). In effetti un gran numero di vulnerabilità  da code injection sono causate dalla combinazione tra allow_url_fopen abilitato e da un input filtering malevolo.

allow_url_include

Anche questo dovrebbe stare sempre su off, in quanto disabilita l’accesso remoto tramite include e require, che sono i più comuni metodi d’attacco da code injection.

display_errors

Anche questo dovrebbe stare sempre su off, se è su on significa che tutti gli errori di php vengono mostrati. Non sembrerebbe una cosa cattiva.. se non fosse però che assieme agli errori vengono mostrate tante (troppe) informazioni sensibili (percorsi, querie al database e chi più ne ha più ne metta)

magic_quotes_gpc

Indovinate un pò? anche questo deve stare su off :D

register_globals

Che questo deve stare su off ormai lo sanno pure i polli, chiunque abbiastudiato un minimo di programmazione ad oggetti sa che una variabile pubblica, se non necessaria, è IL MALE.

ServerSignature

Per finire e giusto per non smentirci anche questo deve stare su OFF. Dareste mai ad uno sconosciuto il calco della vostra chiave? non credo, infatti questo previene dall’esporre alla rete tutte le informazioni riguardanti il server (che tanti mettono in bella mostra) cosi che con una minima ricerca su google chiunque può trovare quali vulnerabilità ha quella specifica versione del software.

è tutto, fate sonni tranquilli, il vostro bbbblog è in buone mani adesso ;)