Sicurezza per il tuo WordPress all’interno di un webserver Apache

Personalmente non amo WordPress e sinceramente non amo neanche i suoi plugins.
Però visto che mi ritrovo spesso a lavorare su progetti che utilizzano WordPress ecco che condivido nel mio blog alcuni accorgimenti di sicurezza che utilizzo per rendere un pò più sicuro il sistema.

E’ importante precisare che è NECESSARIO mantenere core e plugins aggiornati per non rischiare attacchi hacker.

Per quanto riguarda i miei accorgimenti all’interno di un’installazione WordPress in webserver Apache, consiglio vivamente di aggiungere queste istruzioni nel file .htaccess nella document root del sito sostituendo YOUR-WEB-SITE-URL e YOUR-DOMAIN-LTD con il tuo sito e la tua estensione di dominio:

## APPEND THESE ROWS AT THE END OF .htaccess
## IMPORTANT: YOU HAVE TO MODIFY THE YOUR-WEB-SITE-URL string with your URL AND YOUR-DOMAIN-LTD with your domain LTD extension!


	RewriteCond %{QUERY_STRING} ^author=([0-9]*) [NC]
	RewriteRule .* https://YOUR-WEB-SITE-URL [L,R=302]


Redirect 301 /author  		https://YOUR-WEB-SITE-URL
Redirect 301 /readme.txt	/
Redirect 301 /readme.html	/
Redirect 301 /license.txt	/
Redirect 301 /license.html	/


RewriteEngine on
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^https://(.*)?YOUR-WEB-SITE-URL\.YOUR-DOMAIN-LTD [NC]
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteRule ^(.*)$ - [F]


ErrorDocument 404 /

Inoltre consiglio di aggiungere in fondo al file wp-config.php le seguenti righe:

function remove_version_info() { return ''; }
add_filter('the_generator', 'remove_version_info');
remove_action('wp_head', 'wp_generator');

Infine… l’unico plugin che mi sento di consigliare di installare per una maggiore sicurezza è: “Limit Login Attempts Reloaded” di “wpchefgadget