Proteggere la sicurezza di Wordpress

Un interessantissimo post di Giuseppe Surace mostra alcuni trucchi per mettere in sicurezza i blog basati su Wordpress.

photo credit: miskan

Uno dei tricks più importanti penso sia quello di inserire un file vuoto index.html nella cartella wp-content/plugins, per evitare che chiunque possa vedere quali plugins stiamo usando e capire quale versione è installata, per sfruttare eventuali bugs conosciuti.

Ho trovato un ragazzo cinese su Digg che si lamentava che il suo sito era stato attaccato, ho provato ad accedere alla sua cartella wp-content/plugins e mi ha visualizzato tutti i suoi plugins:

* akismet/
* audio-player.php
* audio-player/
* coolcode/
* dashboard_chinese.php
* dd-sitemap-gen/
* google-sitemap-generator/
* hello.php
* nopingwait2.php
* pagenavi/
* pinyin-slug/
* show_top_commentators.php
* simple-tags/
* srg_clean_archives/
* sticky/
* wp-23-statistics/
* wp-sofa.php

Oltre a queste utili (per un cracker) informazioni sul server:

Apache/2.2.6 (Unix) mod_ssl/2.2.6 OpenSSL/0.9.8g DAV/2 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635 Server at www.fbics.org Port 80

Più informazioni si forniscono ai possibili attacker, più possibilità ci sono che riescano nell'intento!

Tags: apache, Blog, PHP, Plugin-Wordpress, Sicurezza, Wordpress
Articoli correlati:

• Wordpress, i migliori plugins per gestire i commenti (3)
• Wordpress Related Items con Ultimate Tag Warrior 3 (2)
• Wordpress Plugin: Search Engine Keywords (5)
• Ultime dal fronte WordPress 18-2008 (0)
• Social Networking in Italia (0)

Questo post è stato scritto Saturday, February 23rd, 2008 alle 8:23 am ed è appartiene alle seguenti categorie: Wordpress. Puoi seguire i commenti di questo post grazie al feed RSS 2.0. Puoi lasciare un commento, o farmi un link dal tuo sito.