Quando si cercano tutti i potenziali plugin da installare su un sito WordPress, è possibile notare che molti dei plugin tra i più popolari hanno a che fare con la sicurezza. Tali plugin attirano sempre l'attenzione di chi ha un sito Wordpress ed appare molto allettante affidare ad un plugin il compito di gestire  tutte le esigenze di gestione della sicurezza del vostro sito WordPress.
 Purtroppo detti plugin sono sviluppati non tenedo conto di un fatto molto importante per un sito web: ovvero se il sito è troppo lento i visitatori abbandonerebbero la navigazione in breve tempo.

La maggior parte dei plugin sulla sicurezza aggiunge un sacco di regole nel file .htaccess del sito WordPress che il server deve  analizzare per ogni pagina caricata (anche per la pagine statiche come i files .html). Più grande è il file .htaccess più lento sarà il sito web. Mi è capitato di vedere siti web che utilizzano tali plugin con più di 900 regole in un singolo file .htaccess, inutile dire che tali siti web risultavano incredibilmente lenti. Quando un plugin scrive centinaia di regole nel file .htaccess, molte di queste regole provocano un elevato utilizzo di CPU per cercare in apposite liste gli IP di potenziali hackers, inoltre scrivono continuamente sui files di logs e ciò provoca la conseguente riduzione delle prestazioni del server.
Pertanto quando trovate un plugin per WordPress che viene decantato come risolutore dei vostri problemi di sicurezza state pur certi che questo darà un elevato contributo nella riduzione delle prestazioni del vostro sito web.

Allora come mettere in sicurezza il vostro sito WordPress senza utilizzare tali plugin?

Uno delle regole semplice ed efficace per proteggere il vostro sito è quello di utilizzare una username che non sia admin, e una password forte  che contenga caratteri numeri e caratteri speciali. Nella maggior parte dei casi abbiamo riscontrato che il nome utente per l'amministratore del sito è "Admin" e spesso la password è "pass" o "password". appare ovvio che in tale situazione si rende facile ai potenzial botnet avere accesso al vostro sito.

La seconda regola per prevenere la ricerca da parte di bot malevoli, è quella di rinominare il file "wp-login.php" in modo da cambiare l'URL della pagina di login, cosi facendo un eventuale bot malevolo non saprebbe dove cercare la pagina di login per tentare l'accesso alla vostra pagina di amministrazione. Si può anche cambiare il nome della pagina di login accedendo alla pagina di amministrazione WordPress e fare tale operazione da: Settings -> Permalinks -> Login Url, cambiando l'url della pagina di login WordPress (ad esempio in;  http://www.miosito.com/antihackersloginpage/

Per ulteriori informazioni sulla sicurezza raccomandiamo il nostro articolo al seguente link:
http://www.hostingpartner.it/whmcs/knowledgebase.php?action=displayarticle&id=26

Venerdì, Settembre 19, 2014

« Indietro