Come proteggere il tuo sito WordPress con WP-Config?
· Время на чтение: 6мин · di · Pubblicato · AggiornatoOgni sito WordPress contiene un file chiamato "wp-config.php". Questo particolare file di configurazione di WordPress è uno dei più importanti file di WordPress. Il file contiene molte impostazioni di configurazione che puoi modificare per migliorare la sicurezza del sito. In questo post, ti mostrerò come proteggere il tuo sito WordPress con un file di configurazione di WordPress.
Il contenuto dell'articolo:
- 1. Modificare il prefisso del database
- 2. Disabilita la modifica dei file tema/plugin
- 3. Impedisci agli utenti di installare o aggiornare plugin e temi
- 4. Applicare FTP per la sicurezza
- 5. Cambia le tue chiavi di sicurezza
- 6. Nascondi "wp-config.php"
- 7. Proteggi il tuo file wp-config.php
Come proteggere un sito WordPress con il file wp-config?
1. Modificare il prefisso del database
Hai mai visto le tabelle del tuo database WordPress? (Puoi accedervi tramite il tuo account di web hosting) Per impostazione predefinita, il database ha undici tabelle. Ogni tavolo ha una funzione specifica. Ad esempio, wp_posts memorizza informazioni da post, pagine e menu di navigazione. Poiché le funzioni di ogni tabella sono predefinite, l'hacker sa dove sono archiviati i dati del tuo sito web. Ad esempio, se desiderano utilizzare gli utenti del tuo sito, possono scegliere come target la tabella "wp_users".
WordPress utilizza il prefisso "wp_" per tutte le tabelle per impostazione predefinita. La modifica di questo prefisso in univoco può aiutare a nascondere i nomi delle tabelle e proteggere il tuo sito WordPress. Per fare ciò, apri il file "wp-config".
Passo 1: Per accedere a wp-config.php, apri il tuo account di web hosting e vai al pannello di controllo del tuo hosting. Seleziona "File Manager" e verrai indirizzato a una pagina simile a questa:
Passo 2. Sul lato sinistro c'è una cartella public_html. In questa cartella troverai il file wp-config.
Nel file wp-config, modifica la seguente riga:
$table_prefix = ‘wp_’;
Devi cambiarlo in qualcosa di casuale come:
$table_prefix = ‘gibrid_’;
Questo cambierà il nome delle tabelle nel database da "wp_users" a "hybrid_users", "wp_posts" a "hybrid_posts", ecc.
2. Disabilita la modifica dei file tema/plugin
Il pannello di controllo di WordPress ha la possibilità di modificare il file del plugin/tema. Ciò significa che con l'accesso alla barra degli strumenti e autorizzazioni sufficienti, chiunque può modificare i tuoi temi o plug-in.
Sebbene questo sia uno strumento utile, se desideri riconfigurare qualsiasi plug-in, diventa pericoloso nelle mani di un hacker. Ad esempio, supponiamo che un hacker sia riuscito a penetrare nel tuo sito Web con un exploit. È facile per loro aggiungere malware a un plug-in o tema esistente. Possono nascondere una backdoor che possono utilizzare in seguito per ottenere l'accesso al tuo sito ogni volta che lo desiderano. Puoi impedirlo e proteggere il tuo sito WordPress disabilitando la possibilità di modificare questi file. Basta inserire il seguente codice nel file di configurazione di WordPress:
define(‘DISALLOW_FILE_EDIT’,true);
3. Impedisci agli utenti di installare o aggiornare plugin e temi
Impedire agli utenti di modificare questi file offre solo un livello di sicurezza. Ciò non impedisce agli hacker di installare un plug-in dannoso che possono utilizzare per dirottare il tuo sito. Ottenendo l'accesso al pannello di amministrazione insieme ai diritti utente, possono installare un tema o un plug-in canaglia. Se non installi plugin spesso, puoi disabilitare questa opzione aggiungendo il seguente codice al file di configurazione di WordPress:
define(‘DISALLOW_FILE_MODS’,true);
4. Uso forzato di "FTP"
Impedire agli utenti di installare e aggiornare plugin e temi può essere restrittivo e persino poco pratico per i siti che installano plugin abbastanza frequentemente. Inoltre, l'aggiornamento di temi e plugin è molto importante per la sicurezza del sito web. Un metodo alternativo per garantire che i plug-in vengano installati da un utente valido consiste nel forzare gli utenti a fornire dati "FTP". Anche se il tuo pannello di amministrazione è compromesso, gli hacker non saranno in grado di installare un plug-in canaglia se non hanno le tue credenziali FTP.
Basta aggiungere le seguenti righe al tuo "wp-config.php":
define(‘FS_METHOD’, ‘ftpext’);
Se il tuo host web o server supporta FTPS, aggiungi le seguenti righe al file di configurazione:
define(‘FTP_SSL’, true);
Se il tuo host web o server supporta "SFTP", aggiungi le seguenti righe:
define(‘FS_METHOD’, ‘ssh2’);
5. Modifica chiavi di sicurezza
Non devi inserire le tue credenziali ogni volta che devi accedere al tuo sito. Ti sei mai chiesto come il tuo browser memorizza queste credenziali? Dopo aver effettuato l'accesso al tuo account, le tue informazioni di accesso vengono memorizzate crittografate in un cookie del browser. Le chiavi di sicurezza sono variabili casuali che aiutano a migliorare questa crittografia. Se il tuo sito viene violato, la modifica delle chiavi segrete invaliderà i cookie e costringerà ogni utente attivo a disconnettersi automaticamente. Dopo il ripristino, l'hacker perde l'accesso al tuo amministratore di WordPress. Puoi generare un nuovo set di chiavi di sicurezza e inserirle nel file "wp-config". Ciò contribuirà a proteggere il tuo sito WordPress.
6. Nascondi "wp-config.php"
Su qualsiasi sito WordPress, il file wp-config ha una posizione predefinita. Pertanto, la modifica della posizione del file può impedire che cada nelle mani degli hacker. Per fortuna, WordPress consente alla cartella "wp-config" di risiedere al di fuori dell'installazione di WordPress. Ad esempio, se il tuo WordPress è installato nella cartella public_html, il file di configurazione sarà presente nella cartella public_html per impostazione predefinita. Ma puoi spostare wp-config fuori dalla cartella public_html e funzionerà comunque.
7. Proteggi il file wp-config.php
La configurazione è vulnerabile agli attacchi, rendendone obbligatoria la protezione. Un modo per farlo è cambiare la sua posizione in modo che gli hacker non possano trovarlo nella posizione predefinita. Mentre alcuni sviluppatori potrebbero obiettare a questo, molte persone pensano che sia una buona idea.
Un'altra misura di sicurezza che puoi adottare è limitare i permessi dei file. Imposta i permessi del file su 600 in modo che solo i proprietari originali possano modificare il file wp-config. Per modificare l'autorizzazione del file wp-config, selezionare il file e quindi selezionare l'opzione Autorizzazione.
Devi quindi includere le seguenti righe nel tuo file .htaccess per impedire agli hacker di caricare il file wp-config direttamente dal browser.
# protegge wpconfig.php ordinare consentire, negare negare da tutti
Infine
Qui è dove ho esaminato come proteggere il tuo sito WordPress con un file wp-config, ma questo è solo uno dei tanti modi per aumentare la sicurezza del tuo sito. Alcune altre misure di sicurezza che puoi adottare includono l'utilizzo di un plug-in di sicurezza, l'utilizzo di un certificato SSL, l'utilizzo di un nome utente e una password univoci e complessi, l'implementazione dell'autenticazione HTTP e l'autenticazione a due fattori, tra gli altri. Ma prima di applicare uno di questi metodi, dovresti eseguire il backup del tuo sito. Se qualcosa va storto, puoi semplicemente ripristinare il backup e far funzionare rapidamente il nostro sito.
Leggendo questo articolo:
Grazie per aver letto: AIUTO SEO | NICOLA.TOP