KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più

Come eseguire il Security Check con Wordpress Toolkit

Un’utilissima funzione offerta dal Toolkit Wordpress, ossia quella console centralizzata per la gestione delle installazioni Wordpress presente in Plesk, è il security check: un controllo sullo stato generale della sicurezza del vostro sito che permette di evidenziare eventuali situazioni critiche e propone delle correzioni per sistemarle.

Accedete al Toolkit dal menù laterale tramite Hosting Services>Domains e selezionate il sito; clickate Security Scan per far eseguire una scansione che rileva eventuali criticità. Al termine dell’operazione vi verrà presentata una lista completa di situazioni da correggere e situazioni già corrette.

Plesk - Wordpress Security Check 1

Banner

 


Selezionate le voci da correggere e clickate Secure per metterle in sicurezza.

 

Plesk - Wordpress Security Check 2


Attenzione: alcune modifiche sono irreversibili (mentre altre possono essere fatte ritornare allo stato precedente in caso di bisogno), per cui documentate le operazioni fatte e soprattutto valutate l’impatto che la correzione può avere.

Consigliamo di effettuare un backup completo del sito prima di eseguire il Security Check (guida di riferimento).

Questa è la lista dei miglioramenti alla sicurezza di Wordpress che Plesk propone:

  • Cartella wp-content - questa cartella potrebbe contenere dei file php la cui esecuzione può compromettere Wordpress; Security Check verifica che nessun file php presente in questa cartella possa essere eseguito. Attenzione: alcuni plugin potrebbero non funzionare, le direttive contenute nel file .htaccess hanno la precedenza.
  • Cartella wp-includes - come per la cartella wp-content.
  • File di configurazione - questo file contiene delle informazioni importanti come le credenziali d’accesso al database. Security Check verifica che siano negati gli accessi non autorizzati.
  • Permessi browsing cartelle - Security Check controlla che il browsing delle cartelle sia disabilitato, in modo che gli hacker non possano risalire ad importanti informazioni come i plugin utilizzati.
  • Prefisso database - di default tutte le tabelle del database hanno il prefisso wp_, quindi la struttura è nota anche agli hacker. Security Check cambia il prefisso delle tabelle. Durante il procedimento, il sito viene messo in modalità Manutenzione.
  • Chiavi sicurezza - le chiavi di sicurezza (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, and NONCE_KEY) -security keys- sono utilizzate per cifrare le informazioni contenute nei cookie degli utenti e devono avere dei requisiti come lunghezza (almeno 60 caratteri), complessità e casualità. Security Check controlla che i requisiti vengano rispettati ed includano almeno caratteri alfanumerici.
  • Permessi file e cartelle - Security Check controlla che i valori dei permessi siano 755 per le cartelle, 644 per i file e 600 per il file wp-config.php. Riguardo l’importanza dei permessi, che ricordiamo può lasciare piede libero agli hacker, abbiamo scritto una guida dedicata.
  • Username amministratore - Wordpress crea un utente chiamato admin che ha permessi amministrativi. Gli hacker hanno così la garanzia di sapere almeno un utente amministratore e possono concentrarsi sull’indovinare la password relativa ad admin tramite attacchi brute force; Security Check controlla che non esiste un utente con tale nome e con permessi amministrativi. Abbiamo scritto una guida sull’argomento disponibile qui.
  • Informazioni sulla versione di WP - ogni versione di Wordpress ha delle vulnerabilità note che possono essere sfruttate dagli hacker. Security Check verifica che ogni tema abbia un file functions.php con questo comando (remove_action(\'wp_head\', \'wp_generator\');) e che i file readme.html siano vuoti.