[grimreaper]

Buongiorno a tutti,

un argomento che mi sta molto a cuore è la sicurezza di worpress non tanto per i commenti spam ma per la possibilità di un eventuale "malintenzionato" ad entrare nel sistema e a pubblicizzare Viagra et similia in post veri e propri. Tutti dicono che basta aggiornare all'ultima versione ma se la vulnerabilità del sistema viene testata sulla mia installazione tra le prime sono comunque a rischio.

Ho letto un po' di articoli con numerosi consigli. La mia domanda è: secondo voi le vulnerabilità di WP sono dovute principalmente alla cartella wp-admin? Sarebbe possibile in qualche modo separare le due cartelle e fare in modo che rispondano su porte diverse?
Wordpress credo sia il massimo in fatto di usabilità e personalizzazione... ma...
In alternativa che CMS consigliate? Ce ne sono di piu "sicuri"?

Grazie,

Saluti,

[cionfs]

La sicurezza non esiste.

Si può fare di tutto per bloccare gli attacchi ma più di tanto non si può fare.

Potresti sempre bloccare l'accesso a wp-admin con l'htaccess.

Vedi quì: Hardening WordPress with htaccess

[RedBlue]

Ti dico che la settimana scorsa ho aggiornato WP all'ultima versione e il giorno dopo sono stato vittima di un defacement con annesso cambio della password dell'account amministratore..

Questo per dire che condivido ciò che dice Cionfs, la sicurezza totale non esiste..

Cionfs sull'uso di htaccess ho letto pareri discordanti.. Tu che ne pensi??

	Cionfs Cionfs è l'admin di Cionfs'Forum CMS

[cionfs]

Io lo evito.

Nel 90% dei casi dipende tutto dai permessi dati a file e cartelle.

Io mi trovo bene con questi:

- 755 cartelle
- 644 files
- 400 files di configurazione

Inoltre uso username e password inverosimili

[RedBlue]

Mmm.. E nel caso di WP come imposteresti questi permessI?? Ad esempio 400 a tutta la directory wp-admin??

[Mikelito]

Con filezilla tasto destro sulla carella...permessi file....e li modifichi

[RedBlue]

Si si.. Non intendevo questo, so benissimo come modificare i permessi..

Chiedevo se secondo voi converrebbe impostare a 400 (per chi non lo sapesse, questo codice indica permesso di accesso in sola lettura per il proprietario del file e nessun accesso per chiunque altro) l'intera directory wp-admin (contenuto ovviamente compreso)..

[grimreaper]

Citazione:

Originariamente scritto da cionfs

Io lo evito.

Ehm.. e perche di grazia?
Scusate ripeto la domanda... secondo voi le vulnerabilita dipendono dall'esposizione di wp-admin?

PS: Grazie a tutti per le risposte.

Ciao

[RedBlue]

Credo che lo evita per il semplice motivo che, almeno a quanto ho potuto raccogliere in giro per la rete, un minimo errore nell'uso del file htaccess porta tranquillamente a casini belli grossi, tipo intero sito apparentemente down..

[cionfs]

Citazione:

Originariamente scritto da RedBlue

Credo che lo evita per il semplice motivo che, almeno a quanto ho potuto raccogliere in giro per la rete, un minimo errore nell'uso del file htaccess porta tranquillamente a casini belli grossi, tipo intero sito apparentemente down..

Exactly

[RedBlue]

Ehm.. E riguardo i permessi?? Tu imposteresti l'intera dir wp-admin a 400?? Lo chiedo perchè mi viene il dubbio che poi si potrebbero avere problemi con gli aggiornamenti di WP..

[cionfs]

No, la cartella 755 i files 644 ecc ecc.

Uso "solo" username e password complicate.