Traccia: install_best_practice

Questa è una vecchia versione del documento!

Indice

Best Practice per l'installazione di WordPress

La guida è ancora WIP !!!

La guida seguente serve per rendere l'installazione di WordPress più sicura.

Installazione del Core

1. Non utilizzare l'utente admin

Nell'installazione di default WordPress crea un utente “admin”.
Questo rende un eventuale attacco a forza bruta (Brute Force) più semplice perché basterà variare solo la password per tentare l'ingresso.
E' buona prassi creare un nuovo utente con privilegi amministrativi e cancellare quello di default.

2. Creare una password con livello di sicurezza elevato

La creazione di password a sicurezza elevata è un buon modo per dissuadere i male intenzionati.
Per fare ciò si può ricorrere ad un generatore di password sicure come il seguente:
https://www.nexcess.net/resources/tools/secure-password-generator/
Tramite questo sito si possono generare password “tradizionali” come la seguente:
'pu<lLffT,yZJVu
oppure password “Word-Based” cioè basate sull'agregazione di parole diverse: wing04858north35some99fourwho

3. Cambiare il prefisso delle tabelle nel database

Le versioni “standard” di WordPress hanno come prefisso di default per le tabelle “wp_”. Come tutti i default, se viene mantenuto, è un grande regalo per eventuali attaccanti. Se si cambia il default con qualcosa di “irrazionale” tipo ld1nj9bkj7tw_ la possibilità di attacchi basati sull' SQL Injection diminuisce drasticmaente. Per cambiare il prefisso di defaul su un'istanza già installata si può operare tramite l'uso di PlugIns od “a mano”.

3.1 A Mano

NB: Prima di eseguire le operazioni seguenti è buona cosa porre WordPress in Maintenance Mode ed eseguire un BackUp del DB.

E' necessario intervenire sul wp-config.php, rinominare tutte le tabelle nel database con il nuovo prefisso (anche le tabelle di eventuali plug-in) e aggiornare le referenze delle tabelle usermeta e options.
Di seguito referenzierò come newprefix_ il nuovo prefisso che intendo dare alle tabelle.

3.1.1 Modificare il wp-config.php

Apriamo il file wp-config.php e sostituire 

$table_prefix  = 'wp_';

con 

$table_prefix = 'newprefix_';
3.1.2 Cambiare il prefisso di tutte le tabelle nel database

Utilizzando un qualsiasi strumento di accesso a MYSQL, collegarsi al DB dove risiedono le tabelle di WordPress e, nel tab SQL, incollare quanto segue 

RENAME TABLE `wp_commentmeta` TO `newprefix_commentmeta`;
RENAME TABLE `wp_comments` TO `newprefix_comments`;
RENAME TABLE `wp_links` TO `newprefix_links`;
RENAME TABLE `wp_options` TO `newprefix_options`;
RENAME TABLE `wp_postmeta` TO `newprefix_postmeta`;
RENAME TABLE `wp_posts` TO `newprefix_posts`;
RENAME TABLE `wp_terms` TO `newprefix_terms`;
RENAME TABLE `wp_term_relationships` TO `newprefix_term_relationships`;
RENAME TABLE `wp_term_taxonomy` TO `newprefix_term_taxonomy`;
RENAME TABLE `wp_usermeta` TO `newprefix_usermeta`;
RENAME TABLE `wp_users` TO `newprefix_users`;

ed eseguire.

3.1.3 Aggiornare le referenze nelle tabelle usermeta e options

Sempre dallo strumento di accesso a MYSQL assicurarsi che, ora, le tabelle si chiamino newprefix_NomeTabella poi eseguire quanto segue 

UPDATE `newprefix_usermeta` SET `meta_key` = REPLACE( `meta_key`, 'wp_', 'newprefix_' )
UPDATE `newprefix_options` SET `option_name` = 'newprefix_user_roles' WHERE `option_name` = 'wp_user_roles'

4. Utilizzare il file .htaccess

Sezione in fase di stesura …

Rigerimenti
http://www.creativebloq.com/wordpress/protect-your-wordpress-site-htaccess-4122793
https://www.wpwhitesecurity.com/wordpress-security-hacks/protect-wordpress-wp-config-php-security/
https://codex.wordpress.org/Hardening_WordPress
wordpress/install_best_practice.1484848123.txt.gz · Ultima modifica: 2017/01/19 17:48 da apressato
Torna su
CC Attribution-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0