Intr-o discutie cu un prieten, am aflat ca el prefera sa faca instalarile de WordPress automat, cu ajutorul programului Softaculous. Un click, doua si e gata instalarea in forma default. Din pacate, modul acesta de a instala WP poate crea probleme ulterior.
Softaculous se gaseste in majoritatea softurilor de administrare a contului de gazduire web (CPanel, Plesk etc.). Predecesorul sau, Fantastico, era si mai rudimentar, dar a fost destul de utilizat la vremea lui. In prima faza e mai usor sa instalezi din cateva click-uri, dar exista posiblitatea sa apara probleme mai tarziu.
1. Curatarea kit-ului WP de pluginuri si teme inutile
Hello Dolly este un plugin omniprezent in kit-ul de WordPress, inca de la primele versiuni. Desi nu constituie o posibila bresa de securitate, e pur si simplu gunoi digital si ar trebui indepartat inainte de instalare.
Plugin-ul Akismet a fost, mult timp, liderul in lupta impotriva spam-ului din comentarii. In ultimii ani, site-uri pe WordPress au fost mai mult orientate pe site-uri de prezentare sau magazine online si nu au necesitate prezenta comentariilor, deci Akismet nu mai este atat de important. Iar daca este neaparat nevoie de un plugin care sa lupte cu comentariile nedorite, va recomand Antispam Bee, care s-a dovedit mult mai eficient impotriva spam-ului si in utilizarea resurselor alocate.
Fiecare pachet de instalare de la WordPress vine cu trei teme concepute de autorii WP. Denumite sugestiv, in 2021 acestea sunt Twentynineteen, Twentytwenty si Twentytwentyone. Niciodata aceste teme nu au fost de mare utilitate si de aceea obisnuiesc sa elimin doua dintre ele, pastrand-o pe cea mai noua. Iar asta o fac inainte de instalarea manuala a WordPress-ului.
2. Instalarea unor salt keys personalizate
Despre salt keys se poate discuta foarte mult, dar cel mai important aspect este setarea acestora in mod corect la instalarea WordPress-ului. Desi este un pas optional, acest aspect trebuie luat in calcul pentru a pastra un as in maneca in cazul ca site-ul va fi compromis. Acestea se pot genera usor aici si apoi se introduc in fisierul wp-config.php.
3. Eliminarea fisierelor readme.html si license.txt
Pe langa faptul ca reprezinta, la randul lor, gunoi digital, aceste fisiere pot oferi unor posibili atacatori mai multa informatie decat ti-ai dori. Intr-adevar, ele pot fi sterse si ulterior, dar cei care utilizeaza Softaculous o fac tocmai pentru a-si usura munca si a nu mai curata ulterior prin directoare si fisiere.
4. Instalarea unui fisier .htaccess in wp-content/uploads/
Directorul "uploads" e unul dintre cele mai vulnerabile din WordPress. Din pacate, instalarea de WordPress automata nu poate proteja acest director si este nevoie de un fisier .htaccess pe care sa-l copiati acolo dupa instalare. Continutul sau e simplu:
<FilesMatch "\.(php|pl|py|jsp|asp|htm|shtml|sh|cgi)$">
ForceType text/plain
</FilesMatch>
In felul acesta, fisiere executabile cu extensii nedorite (php, jsp, asp etc.) nu vor putea fi uploadate.
5. Mutarea fisierului wp-config.php in afara directorului "public_html"
Unul din cei mai importanti pasi la instalarea WordPress-ului o reprezinta mutarea fisierului care contine informatia despre accesul la baza de date, wp-config.php, in afara folder-ului "public_html". In plus, el trebuie setat cu permisiunile 6-0-0, pentru siguranta. Daca exista probleme, in cazurile rare, puteti pastra permisiunile default, dar mutarea fisierului este intotdeauna recomandata.
Suplimentar fata de pasii de mai sus, exista cateva mici optimizari pe care le puteti face pentru a asigura o mai buna securitate pentru instalarea de WordPress,
A. ascunderea versiunii de WordPress si alte informatii irelevante prin plasarea codului de mai jos in fisierul functions.php aferent temei activate.
remove_action('wp_head', 'wp_generator');
remove_action( 'wp_head', 'wlwmanifest_link' ) ;
remove_action( 'wp_head', 'rsd_link' ) ;
remove_action( 'wp_head', 'wc_generator_tag' );
B. ascunderea sugestiilor in cazul parolelor introduse gresit:
add_filter('redirect_canonical', 'stop_guessing');
function stop_guessing($url) {
if (is_404()) {
return false;
}
return $url;
}
C. eliminarea functiei RSS, daca nu aveti nevoie de ea:
function disable_feed() {
wp_die( __('RSS feed disabled.') );
}
add_action('do_feed', 'disable_feed', 1);
add_action('do_feed_rdf', 'disable_feed', 1);
add_action('do_feed_rss', 'disable_feed', 1);
add_action('do_feed_rss2', 'disable_feed', 1);
add_action('do_feed_atom', 'disable_feed', 1);
remove_action( 'wp_head', 'feed_links_extra', 3 );
remove_action( 'wp_head', 'feed_links', 2 );
Mai sunt multe de discutat cand vine vorba de o instalare de WordPress, dar sper ca cele de mai sus sa va determine sa optati pentru instalarea manuala. Pana la urma, nu faceti astat atat de des incat sa necesite un proces automat de instalare.