WordPress Security Scan è un plugin per WordPress che ha un compito ben preciso: segnalare i potenziali rischi del nostro blog basato su piattaforma WP.
WPSS infatti controlla se alcune voci sono come dovrebbero essere, in caso contrario ce lo segnala per farcele correggere.
Installazione:
Scarichiamo l’archivio da qui, dopodichè uploadiamola nella cartella wp-contents/plugins del nostro blog e attiviamo il plugin dall’apposito pannello
Ecco come appare ad esempio il mio box:
WordPress version: 2.7.1 You have the latest stable version of WordPress.
Your table prefix is not wp_.
Your WordPress version is successfully hidden.
WordPress DB Errors turned off.
WP ID META tag removed form WordPress core
No user “admin”.
.htaccess exists in wp-admin/
I principali problemi che potremmo avere sono due, vediamo come fare per risolverli:
#4 Utente admin
Se questa voce è in rosso ci dirà sostanzialmente che abbiamo ancora l’utente “admin” nel database di wordpress, e questo costituisce un rischio per la sicurezza in quanto è un nick standard inserito da WordPress stesso. Eliminiamolo:
- Accediamo a PhpMyAdmin
- Selezioniamo il database di WordPress
- Localizziamo la tabella dedicata agli utenti (solitamente qualcosa_users)
- Modifichiamo ‘user login’, ‘user nickname’
- Clickiamo su Esegui.
Ora ci verrà chiesto di eseguire di nuovo il login
#1 Prefisso tabelle wp_
Anche questa è un’impostazione standard di wp, quindi cambiamola:
- Scarichiamo una copia del database usando PhpMyAdmin in un file .SQL.
- Sostituiamo tutti i wp_ con qualcosa a nostro piacimento
- Cancelliamo tutte le tabelle, non il database da PhpMyAdmin
- Uploadiamo il file .SQL precedentemente modificato
- Modifichiamo il file wp-config.php, alla voce $table_prefix = ‘wp_’; mettiamo il nostro prefisso, esempio $table_prefix = ‘qualcosa_’;
#6 Nessun .htaccess in wp-admin/
Creiamolo:
- Nella root del blog creiamo il file info.php contenente: < ?php phpinfo() ; ?>
- Andiamo via browser al vostro indirizzo, es: http://vostrodominio.it/blog/info.php
- Localiziamo la voce SCRIPT_FILENAME e scriviamoci il percorso
- Andiamo su questo sito, inseriamo uno username e password e come path il percorso scritto prima più /wp-admin/
- Verranno ora generati i file .htaccess e .htpasswd, copiamoli nella cartella wp-admin/
Fine, godetevi il vostro WordPress molto più sicuro di prima!
