Traccia:

Differenze

Queste sono le differenze tra la revisione selezionata e la versione attuale della pagina.

Link a questa pagina di confronto

Prossima revisione		Revisione precedente
wordpress:install_best_practice [2017/01/19 17:48] – creata apressatowordpress:install_best_practice [2017/01/20 17:15] (versione attuale) – FIX apressato
Linea 29: Linea 29:
 Se si cambia il default con qualcosa di "irrazionale" tipo ''//ld1nj9bkj7tw_//'' la possibilità di attacchi basati sull' //SQL Injection// diminuisce drasticmaente. Se si cambia il default con qualcosa di "irrazionale" tipo ''//ld1nj9bkj7tw_//'' la possibilità di attacchi basati sull' //SQL Injection// diminuisce drasticmaente.
 Per cambiare il prefisso di defaul su un'istanza già installata si può operare tramite l'uso di PlugIns od "a mano". Per cambiare il prefisso di defaul su un'istanza già installata si può operare tramite l'uso di PlugIns od "a mano".
 +Di seguito prenderemo in considerazione solo il metodo manuale.
  
-=== 3.1 A Mano ===+=== 3.1 Modificare il wp-config.php ===
 <WRAP center round important 60%> <WRAP center round important 60%>
 **NB**: Prima di eseguire le operazioni seguenti è buona cosa porre WordPress in ''Maintenance Mode'' ed eseguire un BackUp del DB. **NB**: Prima di eseguire le operazioni seguenti è buona cosa porre WordPress in ''Maintenance Mode'' ed eseguire un BackUp del DB.
Linea 36: Linea 37:
  
 E' necessario intervenire sul ''wp-config.php'', rinominare tutte le tabelle nel database con il nuovo prefisso (anche le tabelle di eventuali plug-in) e aggiornare le referenze delle tabelle usermeta e options. \\ E' necessario intervenire sul ''wp-config.php'', rinominare tutte le tabelle nel database con il nuovo prefisso (anche le tabelle di eventuali plug-in) e aggiornare le referenze delle tabelle usermeta e options. \\
-Di seguito referenzierò come ''newprefix_'' il nuovo prefisso che intendo dare alle tabelle.+Di seguito referenzierò come ''newprefix_'' il nuovo prefisso che intendo dare alle tabelle. \\
  
-== 3.1.1 Modificare il wp-config.php == 
 Apriamo il file ''wp-config.php'' e sostituire  Apriamo il file ''wp-config.php'' e sostituire 
 <code php> <code php>
Linea 48: Linea 48:
 </code> </code>
  
-== 3.1.2 Cambiare il prefisso di tutte le tabelle nel database ==+=== 3.2 Cambiare il prefisso di tutte le tabelle nel database ===
 Utilizzando un qualsiasi strumento di accesso a MYSQL, collegarsi al DB dove risiedono le tabelle di WordPress e, nel tab SQL, incollare quanto segue Utilizzando un qualsiasi strumento di accesso a MYSQL, collegarsi al DB dove risiedono le tabelle di WordPress e, nel tab SQL, incollare quanto segue
  
Linea 67: Linea 67:
 ed eseguire. ed eseguire.
  
-== 3.1.3 Aggiornare le referenze nelle tabelle usermeta e options ==+=== 3.3 Aggiornare le referenze nelle tabelle usermeta e options ===
 Sempre dallo strumento di accesso a MYSQL assicurarsi che, ora, le tabelle si chiamino ''newprefix_//NomeTabella//'' poi eseguire quanto segue Sempre dallo strumento di accesso a MYSQL assicurarsi che, ora, le tabelle si chiamino ''newprefix_//NomeTabella//'' poi eseguire quanto segue
 <code sql> <code sql>
Linea 74: Linea 74:
 </code> </code>
  
-=== 4. Utilizzare il file .htaccess ===+==== 4. Utilizzare il file .htaccess ====
 <WRAP center round important 60%> <WRAP center round important 60%>
 Sezione in fase di stesura ... Sezione in fase di stesura ...
 </WRAP> </WRAP>
  
-^Rigerimenti^+^Riferimenti^
 | http://www.creativebloq.com/wordpress/protect-your-wordpress-site-htaccess-4122793 | | http://www.creativebloq.com/wordpress/protect-your-wordpress-site-htaccess-4122793 |
 | https://www.wpwhitesecurity.com/wordpress-security-hacks/protect-wordpress-wp-config-php-security/ | | https://www.wpwhitesecurity.com/wordpress-security-hacks/protect-wordpress-wp-config-php-security/ |
 | https://codex.wordpress.org/Hardening_WordPress | | https://codex.wordpress.org/Hardening_WordPress |
  
 +==== 5. Utilizzare le wordpress key ====
 +Nel file ''wp-config.php'' sono presenti tre simboli nei quali vanno inserite delle chiavi per aumentare la sicurezza relativa all'utilizzo dei cookies.
 +Queste chiavi vengono generate tramite il sito ufficiale (riportato anche nel ''wp-config.php''): \\
 +[[https://api.wordpress.org/secret-key/1.1/]]
  
 +Per tanto il blocco
 +
 +<code php>
 +define('AUTH_KEY', 'put your unique phrase here');
 +define('SECURE_AUTH_KEY', 'put your unique phrase here');
 +define('LOGGED_IN_KEY', 'put your unique phrase here');
 +define('NONCE_KEY', 'put your unique phrase here');
 +</code>
 +
 +deve essere rimpiazzato con quello fornito dalla chiamata al sito
 +
 +<code php>
 +define('AUTH_KEY',        '>hOYr+;-|U%2T&kB^vR<I5=y|9);eh#!a|=-*?7@O5./8-#)4Fe.+~?eLC/0Mm#)');
 +define('SECURE_AUTH_KEY', '@2fY2yVY[!<+q_^+XwbCUcJvFUUL#;Fm}iFlABc7%z&34ZHK9me;cWc48Gsm-}LD');
 +define('LOGGED_IN_KEY',   '4bqA[kQuH@che+^:mf(zDnUn&50*N+ 0D-JL~HP2GfWOXX9#b_|faq6]H#LVhLyV');
 +define('NONCE_KEY',       'a=wfN+C|b8-Tl/X.l-)pz~Y+TigF[m>$Nu9Urp!D{/+6|ppA eX1Zt,` YUQPcs7');
 +</code>
 +
 +===== Post Installazione =====
 +
 +==== 6. Nascondere la versione di WordPress ====
 +=== 6.1 Eliminazione dal Codice ===
 +Ispezionando il codice di un sito WordPress è possibile vedere la versione installata, 
 +questo può facilitare il lavoro degli hackers che sapendo il numero della versione potrebbero, se il cms non è aggiornato, risalire a eventuali bug. 
 +Per nascondere la versione di WordPress si consiglia di aggiungere il seguente codice nel file ''/wp-includes/functions.php'':
 +
 +<code php>
 +/* Hide Version Number */
 +/* Hide WP version strings from scripts and styles
 +* @return {string} $src
 +* @filter script_loader_src
 +* @filter style_loader_src
 +*/
 +function fb_remove_wp_version_strings( $src ) {
 +global $wp_version;
 +parse_str(parse_url($src, PHP_URL_QUERY), $query);
 +if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
 +$src = remove_query_arg('ver', $src);
 +}
 +return $src;
 +}
 +add_filter( 'script_loader_src', 'fb_remove_wp_version_strings' );
 +add_filter( 'style_loader_src', 'fb_remove_wp_version_strings' );
 +/* Hide WP version strings from generator meta tag */
 +function fb_remove_version() {
 +return '';
 +}
 +add_filter('the_generator', 'fb_remove_version');
 +</code>
 +
 +=== 6.2 Eliminare i files inutili che riportano la versione ===
 +Nella cartella di WordPress si trovano alcuni files che possono rivelare la versione in uso. \\
 +Si consiglia di eliminare i files:
 +  * readme.html
 +  * licenza.html
 +  * license.txt
 +  * LEGGIMI.txt
 +
 +==== 7. Cancellare i temi e i plug-ins non utilizzati ====
 +È importante cancellare temi e plugin che non utilizziamo per diminuire la possibilità di falle nel codice. \\
 +I plugin e i temi utilizzati devono essere, se possibile, sempre aggiornati all’ultima versione. \\
 +Questo è uno dei maggiori fattori di rischio in una installazione WordPress. \\
 +Si ricorda che due plug-ins che fanno le medesime funzioni possono andare in conflitto fra loro anche se uno dei due è disattivo su WordPress causando errori interni che possono compromettere la fruizione del sito.
 +
 +==== 8. Utilizzare i permessi corretti ====
 +Per quanto riguarda i permessi di file e cartelle, tutte le cartelle dovrebbero essere **755** e i file **644**, il ''wp-config.php'' dovrebbe essere settato con permessi **600** come mostrato di seguito:
 +
 +^File^Percorso^permessi^
 +|root directory|www.miosito.com/|0755|
 +|wp-admin|www.miosito.com/wp-admin|0755|
 +|wp-content|www.miosito.com/wp-content|0755|
 +|wp-includes|www.miosito.com/wp-includes|0755|
 +|.htaccess|www.miosito.com/.htaccess|0644|
 +|wp-config.php|www.miosito.com/wp-config.php|0600|
 +
 +
 +===== Reference =====
 +
 +<spoiler>
 +http://www.marchettidesign.net/2015/05/come-rendere-wordpress-piu-sicuro-in-10-step-e-con-i-migliori-plugin/
 +</spoiler>
  
wordpress/install_best_practice.1484848123.txt.gz · Ultima modifica: 2017/01/19 17:48 da apressato
Torna su
CC Attribution-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0