Come mettere in sicurezza un sito Wordpress

Come disabilitare esecutivi PHP nelle cartelle WordPress tramite file Htaccess

Ciro Scopece

Data di pubblicazione: 24 Ottobre 2019 Ultimo aggiornamento: 24 Ottobre 2019

In questo articolo ti spiegherò come mettere in sicurezza un sito WordPress da malware o esecutivi PHP.
Wordpress per impostazione predefinita rende alcune cartelle scrivibili in modo che sia tu o altri utenti che gestiscono il sito possono facilmente caricare temi, plugin, immagini e video.
Niente di tutto sbagliato fin qui. Ma questa funzionalità spesso però capita in mani sbagliate (hacker), che possono utilizzarla per poter caricare file di accesso backdoor o malware.
Non è facile trovare questi file, perché spesso sono mascherati da file WordPress di base scritti in PHP e possono essere eseguiti tranquillamente in background e accedere a tutti gli aspetti del tuo sito WordPress.
Tranquillo nessuna paur! A tutto c’è una soluzione.
La soluzione per disabilitare l’esecuzione di PHP in WordPress è usare un file nominato .htaccess.

Come Disabilitare l’esecuzione di PHP usando il file .htaccess

Il 90% dei siti sviluppati in WordPress ha un file .htaccess nella root principale del sito in FTP. Il file htaccess è un file che permette non solo di generare le URL SEO Frinedly, ma anche di proteggere con password l’area di amministrazione, disabilitare la navigazione di alcune cartelle WordPress e tanto altro ancora.
Se al momento il tuo sito WordPress non presenta nessun file .htaccess, puoi sempre crearne uno tu con un semplice file di blocco note di windows o textedit se usi mac e salvare il file in .htaccess
Per proteggere il tuo sito dai file di accesso backdoor devi caricare il file htaccess nelle cartelle
/wp-include/ e /wp-content/uploads/.
Se ancora non hai creato il tuo file htaccess, crealo e copia queste due righe che vedi nell’immagine.

Ora non ti resta che salvare il file sul tuo computer e caricare il file utilizzando un client FTP oppure tramite file manager nella dashboard del tuo Cpanel del tuo account hosting dove è ospitato il tuo sito wordpress.
Attenzione però. Questo non è un FIX se il tuo sito WordPress è stato già compresso, aiuta solo a rafforzare la sicurezza.
Attenzione però, le backdoor sono mascherate molto bene e non essere in bella vista, quindi se il tuo sito è già compresso l’utilizzo di questo file è completamente inutile.
Se il funzionamento del sito viene interrotto, riapri il file htaccess e inserisci questo codice:
nuovo htaccess
Se desideri effettuare una scansione al tuo sito WordPress, per verificare che non ci siano backdoor o malware, ci sono alcuni plugin che fanno al caso tuo.
Sucuri Security
Ithemes Secutiry
Wordfence Security
WP fail2ban
SecuPress

Ora spero che questo articolo si stato di tuo gradimento e che ti abbia aiutato a capire come mettere in sicurezza wordpress tramite file htaccess.