WordPress è un CMS popolare non solo tra i semplici utenti ma anche tra gli hacker. Ed oltre ad eventuali vulnerabilità dei plugin, i malintenzionati possono puntare anche all’area di amministrazione della piattaforma, centro nevralgico dell’intera installazione.
In generale solo gli amministratori possono accedervi mentre contributor, autori ed altre categorie di utenti hanno un accesso limitato. Nella breve guida pratica di oggi vedremo proprio come mettere al sicuro la cartella wp-admin.
Per prima cosa accediamo al portale via FTP (come sempre consigliamo di utilizzare il client open source Filezilla) ed apriamo la directory principale del CMS (root). A questo punto dobbiamo aprire e modificare il file .htaccess, operazione che è possibile portare a termine con un qualsiasi editor di testo (es: blocco note su sistemi Windows).
Creare una whitelist
Le linee di codice da incollare sono le seguenti:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist user1's IP address allow from xx.xx.xx.xxx # whitelist user2's IP address allow from xx.xx.xx.xxx # whitelist user2's IP address allow from xx.xx.xx.xxx # whitelist Muhammad's IP address </LIMIT>
I vari xx.xx.xx.xxx, evidenziati per comodità in rosso, andranno sostituiti con gli indirizzi IP degli utenti ai quali vogliamo consentire l’accesso all’area di amministrazione. Da notare che ciascun indirizzo IP è preceduto da una breve descrizione che indica l’utente autorizzato (user1, user2 etc.).
L’unico aspetto negativo di questa ulteriore misura di sicurezza è che se dovremo collegarci al portale durante un soggiorno all’estero (o da una connessione diversa dal solito) bisognerà ripetere la procedura di modifica appena descritta (anche se dovranno essere digitate solo le linee inerenti l’utente e l’indirizzo IP autorizzato).
Appuntamento alla prossima guida.