Se come me hai scelto uno dei migliori hosting che utilizza Apache come webserver, ti sarai sicuramente accorto della presenza del file .htaccess. Questo file permette di creare regole per controllare l’accesso ai file e alle cartelle del tuo sito. Vediamo ora come configurare .htaccess al meglio per wordpress per aumentarne la sicurezza e difendersi da attacchi esterni.
In un’installazione standard di wordpress il file .htaccess contiene poche regole prevalentemente relative alla traduzione dei permalink e poche altre cose ancora, ma configurando .htaccess al meglio è possibile fare molto di più. Ecco allora le 7 regole con cui modificare .htaccess per ottimizzare wordpress al meglio.
Configurare .htaccess al meglio
Prima di iniziare ti raccomando di fare una copia del file .htaccess da utilizzare nel caso in cui qualcosa non vada per il verso giusto. Modificare il file .htaccess infatti è una procedura che talvolta fa incappare in banali errori come la mancata chiusura di un tag o un errore di copia incolla. In quei casi la cosa più facile da fare è ripristinare il file originale e ripetere le modifiche. Bene, detto questo è ora di modificare il file .htaccess per wordpress.
1. Disabilitare il directory Browsing in WordPress
Disabilitare la possibilità di elencare il contenuto di una directory è una delle prime modifiche da fare per WordPress. Se il browsing è abilitato tutti i file presenti in una directory vengono esposti e possono essere utilizzati per analizzare l’ambiente per un futuro attacco. I servizi hosting professionali disabilitano il browsing di default, ma molti non lo fanno e questa modifica del file .htaccess è consigliatissima. Per disabilitare il directory browsing aggiungi queste righe al file .htaccess.
#Disabilita il browsing delle directory Options All -Indexes
2. Creare un redirect 301
Ci sono molti plugin che permettono di reindirizzare gli URL, ma se vuoi fare il redirect solamente di un paio di pagine installare un plugin è superfluo. Nel il file .htaccess puoi inserire una riga di redirect per ogni url come quella che segue.
#Crea un redirect 301 Redirect 301 /vecchia-pagina.html http://tuosito.com/nuova-pagina.html
3. Abilitare in Caching del Browser
Modificando il file .htaccess, puoi anche abilitare la cache del browser per rendere più veloce il caricamento delle pagine ai visitatori abituali. Tutto quello che devi fare è aggiungere il seguente codice alla fine del tuo file .htaccess.
#Abilitare la cache del browser <IfModule mod_expires.c> ExpiresActive On ExpiresByType image/jpg "access 1 year" ExpiresByType image/jpeg "access 1 year" ExpiresByType image/gif "access 1 year" ExpiresByType image/png "access 1 year" ExpiresByType text/css "access 1 month" ExpiresByType application/pdf "access 1 month" ExpiresByType text/x-javascript "access 1 month" ExpiresByType application/x-shockwave-flash "access 1 month" ExpiresByType image/x-icon "access 1 year" ExpiresDefault "access 2 days" </IfModule>
4. Abilitare una pagina di Manutenzione quando necessario
Se devi effettuare una manutenzione straordinaria a wordpress, utilizzare un plugin non è una buona idea perché l’utilizzo del plugin dipende sempre da wordpress e se su quest’ultimo devi fare manutenzione, il funzionamento del plugin non è garantito. La soluzione più semplice è creare una pagina che contiene il messaggio di manutenzione e inserire questo codice nel file .htaccess, sostituendo il nome della pagina appena creata.
#Abilitare una pagina di Manutenzione RewriteEngine on RewriteCond %{REQUEST_URI} !/manutenzione.html$ RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123 RewriteRule $ /manutenzione.html [R=302,L]
5. Limitare l’accesso all’interfaccia Admin
Se sei l’unico amministratore del tuo blog e ti colleghi sempre dalla stessa postazione di casa o del tuo ufficio, puoi aumentare la sicurezza di wordpress accettando connessioni all’interfaccia di amministrazione solamente da determinati indirizzi IP. Per farlo ti basta incollare il seguente codice sostituendo l’indirizzo 192.168.0.1 con l’indirizzo ip della tua connessione (puoi scoprire il tuo ip visitando il sito ilmioIP.it)
#restringi l'accesso a wp-login.php <Files wp-login.php> Order Deny, Allow Deny from All Allow from 192.168.0.1 Allow from xxx.xxx.x.x </Files>
6. Bannare un indirizzo IP
Hai notato attività sospette provenienti da un determinato IP? Aggiungi questa regola al file .htaccess per bloccare le connessioni provenienti da uno o più ip. Modifica la regola inserendo gli indirizzi ip dai quali hai ricevuto traffico anomalo.
#Bannare indirizzi IP <Limit GET POST> order allow,deny deny from 192.168.0.1 deny from 192.168.0.2 allow from all </Limit>
7. Proteggere il file .htaccess
L’ultima regola con la quale configurare .htaccess è quella che ti permette di proteggere le modifiche appena fatte. Il file .htaccess infatti è leggibile come qualsiasi file di testo. Poiché contiene informazioni importanti sulla sicurezza, è bene che non venga letto da chiunque. Quello che devi fare è configurare .htaccess inserendo questo codice.
#Proteggi il file htaccess <files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>
Conclusioni
Essendo un file di configurazione di Apache, le potenzialità del file .htaccess sono moltissime, ma queste 7 sono sufficienti ad aumentare la sicurezza di wordpress. Se secondo te esistono ulteriori modifiche da fare a questo file puoi inserire un commento qui sotto con le tue regole per il file .htaccess.
Lascia un commento