9 trucchi di sicurezza WordPress con il file HTACCESS – I parte

Il file HTACCESS può essere un valido aiuto nella configurazione della sicurezza di WordPress. Ecco come modificarlo con nove consigli a pillole

Molti utenti WordPress sono abituati a lavorare sul file HTACESS solo per sistemare alcuni piccoli problemi che si possono verificare con i permalink. In realtà, con il file HTACCESS si può fare molto più della semplice correzione dei permalink e nel prosieguo voglio suggerirti nove metodi utili di configurazione del file HTACCESS, che possono servirti in varie occasioni durante l’amministrazione e l’utilizzo di WordPress.Come configurare HTACCESS per la sicurezza di WordPress

Prima di addentrarci nella descrizione di questi nove trucchi, devi ricordarti di fare un backup del file HTACCESS eventualmente già disponibile sul tuo spazio FTP. Per raggiungere questo obiettivo, collegati allo spazio FTP su cui ospiti il tuo sito WordPress (se non ne hai ancora uno, prova a valutare l’hosting WordPress che ti proponiamo qui dalla centrale Hosting Solutions) e copia il file .htacccess sul tuo PC. In questo modo, qualsiasi operazione dovesse andare storta hai la versione originale del file subito pronta a entrare in uso. Se non vedi il file .htaccess sul tuo spazio FTP, possono esserci due motivi:

  • il tuo client FTP non mostra i file nascosti, per cui devi attivare la visualizzazione dei file nascosti nel programma che usi per collegarti al tuo servizio hosting;
  • il tuo hosting non ha un file HTACCESS già configurato, ma non è un problema, perché il file lo puoi creare sempre tu, utilizzando un editor testuale e salvando il file come .htaccess.

HTACCESS utile per… proteggere l’area amministrativa di WordPress

Puoi fare in modo che alla tua area di accesso WordPress possano accedere solo alcuni indirizzi IP selezionati. Per ottenere questo risultato devi semplicemente copiare, incollare e personalizzare la seguente porzione di codice nel tuo file HTACCESS:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Controllo di accesso all’area WordPress”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist indirizzo IP casa
allow from xx.xx.xx.xxx
# whitelist indirizzo IP Davide
allow from xx.xx.xx.xxx
# whitelist indirizzo IP Amanda
allow from xx.xx.xx.xxx
# whitelist indirizzo IP Andrea
allow from xx.xx.xx.xxx
# whitelist indirizzo IP ufficio
allow from xx.xx.xx.xxx
</LIMIT>

Ricordati di sostituire le x con i numeri degli indirizzi IP autorizzati all’accesso.

HTACCESS utile per… richiedere la password per l’accesso a WordPress

Per prima cosa devi creare un file HTPASSWDS, operazione che puoi portare a termine usando un comodo generatore online. Dopo, effettua l’upload del file HTPASSWDS via FTP in una cartella del tipo:

/public_html/wp-admin/passwd/

Ricordati o appunta il percorso perchè ti serve fra un po’.  Al tuo file .htaccess aggiungi:

AuthName “Accesso consentito solo al personale autorizzato”
AuthUserFile /public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user mettiquiiltuousername
<Files admin-ajax.php>

Order allow,deny
Allow from all
Satisfy any
</Files>

A questo punto, salva ed effettua l’upload del file sul tuo spazio FTP dove risiede l’hosting WordPress.

HTACCESS utile per… disabilitare il Directory Browsing

È sempre meglio disabilitare l’opportunità di navigare fra le cartelle del tuo spazio hosting via browser, agendo sulla proprietà del Directory Browsing. Per disabilitare il Directory Browsing, aggiungi questo:

Options – Indexes

al tuo file HTACCESS.

HTACCESS utile per… disabilitare l’esecuzione dei file PHP

Molte delle azioni di hacking ai siti WordPress partono dall’esecuzione di backdoor PHP posizionate nella cartella wp-includes e /wp-content/uploads/. Un modo per migliorare la sicurezza di un’installazione WordPress è quello di disabilitare l’esecuzione dei file PHP in alcuni percorsi come quelli citati. Per ottenere questo risultato, crea un file HTACCESS nuovo e copia al suo interno il seguente codice:

<Files *.php>deny from all</Files>

Salva ed effettua l’upload del file via FTP nei percorsi suddetti.

Mancano all’appello altri cinque trucchi, che ti svelerò nel corso di un prossimo post.

Resta sintonizzato!

  • Alberto

    Ciao!
    Una domanda…essendo alle prime armi.

    In che posizione, e come, del file htaccess, devo inserire Options – Indexes e
    deny from all ?

    Avendoli inseriti alla fine, non mi permetteva piu di accedere al pannello di amministrazione in quanto mi dava errore al server.

    Grazie per il chiarimento.

    Alberto

    • internetpost

      Ciao Alberto
      grazie intanto per avere postato, ora vediamo di rispondere al tuo quesito.

      Se rileggi il nostro post vedrai che per ogni
      sezione abbiamo indicato dei percorsi specifici.
      Il file HTACCESS è valido per le cartelle e le sottocartelle in cui è memorizzato. Questo significa che il comando indicato nell’esempio, va inserito sì in un file HTACCESS, che però poi deve essere memorizzato solo nei percorsi indicati, ossia solo nelle cartelle wp-includes e /wp-content/uploads

      Se il file HTACCESS con il comando deny from all dovesse finire nella cartella principale del sito (root) o nella cartella wp-admin, verrebbe impedita l’esecuzione di tutti i file PHP, fra cui, per l’appunto, l’accesso al pannello di amministrazione, come è accaduto nel tuo caso.

      Facci sapere se hai altri dubbi.