Contatta il reparto vendite 800 13.40.41 | Richiedi il Supporto Partner EN flag

KNOWLEDGE BASE

Knowledge Base

Come eseguire il Security Check con Wordpress Toolkit

Un’utilissima funzione offerta dal Toolkit Wordpress, ossia quella console centralizzata per la gestione delle installazioni Wordpress presente in Plesk, è il security check: un controllo sullo stato generale della sicurezza del vostro sito che permette di evidenziare eventuali situazioni critiche e propone delle correzioni per sistemarle.

Accedete al Toolkit dal menù laterale tramite Hosting Services>Domains e selezionate il sito; clickate Security Scan per far eseguire una scansione che rileva eventuali criticità. Al termine dell’operazione vi verrà presentata una lista completa di situazioni da correggere e situazioni già corrette.

Plesk - Wordpress Security Check 1

 


Selezionate le voci da correggere e clickate Secure per metterle in sicurezza.

 

Plesk - Wordpress Security Check 2


Attenzione: alcune modifiche sono irreversibili (mentre altre possono essere fatte ritornare allo stato precedente in caso di bisogno), per cui documentate le operazioni fatte e soprattutto valutate l’impatto che la correzione può avere.

Banner

Consigliamo di effettuare un backup completo del sito prima di eseguire il Security Check (guida di riferimento).

Questa è la lista dei miglioramenti alla sicurezza di Wordpress che Plesk propone:

  • Cartella wp-content - questa cartella potrebbe contenere dei file php la cui esecuzione può compromettere Wordpress; Security Check verifica che nessun file php presente in questa cartella possa essere eseguito. Attenzione: alcuni plugin potrebbero non funzionare, le direttive contenute nel file .htaccess hanno la precedenza.
  • Cartella wp-includes - come per la cartella wp-content.
  • File di configurazione - questo file contiene delle informazioni importanti come le credenziali d’accesso al database. Security Check verifica che siano negati gli accessi non autorizzati.
  • Permessi browsing cartelle - Security Check controlla che il browsing delle cartelle sia disabilitato, in modo che gli hacker non possano risalire ad importanti informazioni come i plugin utilizzati.
  • Prefisso database - di default tutte le tabelle del database hanno il prefisso wp_, quindi la struttura è nota anche agli hacker. Security Check cambia il prefisso delle tabelle. Durante il procedimento, il sito viene messo in modalità Manutenzione.
  • Chiavi sicurezza - le chiavi di sicurezza (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, and NONCE_KEY) -security keys- sono utilizzate per cifrare le informazioni contenute nei cookie degli utenti e devono avere dei requisiti come lunghezza (almeno 60 caratteri), complessità e casualità. Security Check controlla che i requisiti vengano rispettati ed includano almeno caratteri alfanumerici.
  • Permessi file e cartelle - Security Check controlla che i valori dei permessi siano 755 per le cartelle, 644 per i file e 600 per il file wp-config.php. Riguardo l’importanza dei permessi, che ricordiamo può lasciare piede libero agli hacker, abbiamo scritto una guida dedicata.
  • Username amministratore - Wordpress crea un utente chiamato admin che ha permessi amministrativi. Gli hacker hanno così la garanzia di sapere almeno un utente amministratore e possono concentrarsi sull’indovinare la password relativa ad admin tramite attacchi brute force; Security Check controlla che non esiste un utente con tale nome e con permessi amministrativi. Abbiamo scritto una guida sull’argomento disponibile qui.
  • Informazioni sulla versione di WP - ogni versione di Wordpress ha delle vulnerabilità note che possono essere sfruttate dagli hacker. Security Check verifica che ogni tema abbia un file functions.php con questo comando (remove_action(\'wp_head\', \'wp_generator\');) e che i file readme.html siano vuoti.
Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft