Limitare l'esecuzione di codice PHP malevolo in WordPress.

MondoServer
07-12-2018 11:45

Questa procedura non evita attacchi ma ne limita gli effetti. In base alla nostra esperienza nei servizi Hosting, possiamo affermare che nella maggior parte dei casi in cui si è verificata una violazione di una installazione WordPress affetta da bug di sicurezza (in presenza di plugin, temi o lo stesso "core" di WP non aggiornati e affetti da vulnerabilità non risolte), gli attaccanti effettuano un upload di codice in determinate cartelle dell'installazione di WordPress. Tale codice, una volta caricato sul server sfruttando vulnerabilità del sito, consente agli attaccanti di svolgere attività di vario tipo (pishing, scansioni di altri sistemi, etc).

Limitando l'esecuzione di script PHP all'interno di determinate cartelle di WordPress, nelle quali non ve ne è effettiva necessità in generale, si possono limitare gli effetti di un attacco.

Non tutte le cartelle infatti necessitano dei permessi all’esecuzione di script PHP. Ad esempio la cartella wp-content/uploads/ in cui vengono salvate le proprie immagini, file di log o altri, non dovrebbe necessitare dell'esecuzione di codice PHP

Per limitare l'esecuzione di PHP in tali cartelle è sufficiente caricare sul server, all'interno della cartella ./wp-content/uploads/ della tua installazione WordPress, un file .htaccess con al suo interno il seguente contenuto:

<Files *.php>

deny from all

</Files>

Tale intervento non risolverà eventuali vulnerabilità della tua installazione WordPress, ma ne limiterà in parte gli effetti in caso di intromissione.

Tale file .htaccess potrà essere pubblicato in tutte le cartelle nella quali vi è certezza che non debbano essere pubblicati script PHP.

Tags: htaccess, sicurezza, wordpress
Valutazione media: 0 (0 Voti)

Non puoi commentare questa FAQ