Vi parliamo adesso del blog WordPress e delle principali tecniche per impedire ad hacker di causare danni e prelevare informazioni. Agiremo su .htacces, permesso dei file , robots.txt. Partiamo subito da un minimo di spiegazione , ossia di cosa è WordPress e i blog. I blog letteralmente tradotti sono diaro o blogs diari , ossia sono nati proprio cosi’ come dei diari personali che agli albori utenti internettiani scrivevano raccontando un po’ della loro vita, per l’esigenza di comunicare qualcosa di se stessi al prossimo, adesso i blogger sono invece figure ultra professionali che vi possono parlare di tutto dalla medicina, alla cronaca, politica, scienza tecnologie e altro ancora, non è un mistero infatti che le parole più ricercate su google siano proprio Uomini e donne e che sulle loro parole chiave la facciano da padroni blog ormai affermatissimi. Ma non finisce qui, negli anni molte piattaforme , per la maggior parte open source si sono cimentate nella realizzazione di software di semplice utilizzo che permettano appunto a bloggher , che non sono webmaster e quindi non hanno una conoscenza specifica , di potere scrivere senza grossa difficoltà il loro diaro, fra i molti il piu’ utilizzato è il WordPress che era nato un po’ come un progetto in sordina rispetto ai piu’ faraonici Drupal e Joomla, ma che grazie alla sua semplicità di utilizzo ormai è come il php per i programmatori..lo sanno utilizzare anche quelli che non lo hanno mai visto. E proprio di questo CMS andremo in questo articolo ad analizzare la sicurezza, ma vedrete che i consigli che vi daremo potranno poi essere anche riutilizzati per le altre piattaforme CMS. Precisiamo che questa guida non è esattamente rivolta a tutti , ma solamente a coloro che hanno già un’infarinatura di Worpdress , Apache e php, insomma non ci soffermeremo a rispiegare i rudimenti.
I Permessi sui File
I permessi sui file sono semplicemente il numero che viene attribuito ai vari file e directory e che ne determinano la sicurezza, ad esempio aprite Filezilla , se non lo avete ve lo consigliamo è un’applicazione open source veramente molto pratica, lo potete trovare sulla pagina ufficiale di Filezilla, come potete vedere da questa immagine qui sotto potete avere varie combinazioni numeriche il massimo che potete raggiungere è CHMOD 777, ma vi spieghiamo un attimo come funziona
CHMOD 755 vuol dire che tutti possono leggere e tutti possono eseguire file all’interno del vostro host, ma soloo voi che siete i proprietari potete scrivere, ossia fare il caricamento dei file stessi, è questa la massima soluzione di sicurezza.
CHMOD 644 e’ come il 755 con l’unica differenza che nessuno puo’ eseguire file all’interno della vostra soluzione hosting, nemmeno voi.
CHMOD 444 come 644 con l’unica differenza che nessuno puo’ caricare nulla nemmeno voi.
CHMOD 440 come 444 con la differenza che potete leggere i dati solo voi e gli user/group
Queste ovviamente sono uncamente degli esempi piu’ significativi per farvi comprendere il funzionalmente dei CHMOD.
Il file di configurazione di WordPress wp-config.php
Il wp-config è proprio quello che vi abbiamo detto è il file dove sono configurati i dati di accesso al vostro blog, ci riferiamo ossia alla configurazione del database mysql, premettiamo che consideriamo che voi abbiate già configurato , se nel caso avete qualche difficoltà non esitate a contattarci. In ogni modo questo è quello che grosso modo troverete
// ** MySQL settings – You can get this info from your web host ** //
/** The name of the database for WordPress */
define(‘DB_NAME’, ‘database_name_here’);
/** MySQL database username */
define(‘DB_USER’, ‘username_here’);
/** MySQL database password */
define(‘DB_PASSWORD’, ‘password_here’);
/** MySQL hostname */
define(‘DB_HOST’, ‘localhost’);
/** Database Charset to use in creating database tables. */
define(‘DB_CHARSET’, ‘utf8’);
/** The Database Collate type. Don’t change this if in doubt. */
define(‘DB_COLLATE’, ”);
$table_prefix=”‘wp_’;
ma trovate anche le chiavi di accesso di sicurezza che sono le seguenti
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);
/**#@-*/
e che vi raccomandiamo di configurare assolutamente seguendo le https://api.wordpress.org/secret-key/1.1/salt/
a questo punto con Filezilla o un ‘altra applicazione che permetta di effettuare questa configurazione andate sul file e mettete un 440 0 400 che stiamo tutti piu’ sicuri, insomma questo file puo’ essere solamente letto e non da tutti, con questa direttiva vi evitate parecchie rogne e vi posso garantire che avete reso il vostro blog ad uno dei piu’ alti gradi di sicurezza, insomma i vostri dati del database non saranno di cosi’ facile accesso per i malintenzionati…vogliamo adesso soffermare la vostra attenzione sulal variabile di ambiente
$table_prefix=”‘wp_’;
E’ uno degli errori piu’ comuni che si commettono e che aprono le porti agli Hacker questo valore va assolutamente modificato, nel caso che non lo abbiate fatto in fase di installazione e ricreate le tabelle su mysql con il nuovo nome, possibilmente se il vostro blog si chiama pippo, non mettete pippo o pluto per intendersi, buona regola è mettere qualcosa di assolutamente impensabile tip hc17, cose del genere che non siano identificabili…
Aggiornamento Blog
Un altro degli errori piu’ comuni che viene fatto è quello di non aggiornare sempre il wordpress, come mai vi diciamo questo, semplicemente perchè wordpress rilascia in continuazione nuove versione del suo CMS onde eliminare tutti i bugs, insomma se voi avete una vecchia versione di wordpress, allora avete un numero maggiori di bugs o bachi, insomma falle che gli hacker possono sfruttare per hacherare il vostro sistema. Quindi aggiornate sempre non appena disponibili, se siete inoltri iscritti a google webmaster , se non lo siete vi consigliamo di farlo subito
Sicurezza nei Plugins e Temi WordPress
Prendete i plugins e i template per il vostro sito solo ed unicamente nel file ufficiale (li trovate cliccando sulle parole stesse che vi abbiamo indicato). Spesso girovagando per la rete troviamo annunci il cui utilizzo vi promette di ricevere aumento sproporzionato o temi bellissimi e stupendi, innanzitutto non fanno quello che dicono , ma sopratutto sono pieni di bugs, terreno fertile per chi vuole violare la vostra sicurezza informatica, quindi se vi consigliano un bellissimo tema o un bellissimo plugins verificate prima che faccia parte di quelli ufficiali consigliati da wordpress nei collegamenti che vi abbiamo indicato oppure stesso confronto ormai lo potete fare anche nel back end del vostro blog.
Ruoli Utenti WordPress
Come vi dicevamo prima wordpress è partito con l’idea di essere poco piu’ che un diario personale, ma con delle ampie possibilità di sviluppo una di queste è la possibilità di fare loggare altri utenti al vostro blog, con vari ruoli , come sottoscrittore, editore, amministratore etc. Ecco se proprio dovete , per quanto fidarsi è bene, non fidarsi è sempre molto meglio, quindi levando voi che siete amministratori, non conferite mai a nessun altro un ruolo superiore all’Editor che già permette di fare tutto il necessario e anche di piu’. Inoltre cambiate la vostra password di accesso che generalmente viene autogenerata e quindi identificabile con particolari software. Se volete in rete trovare anche applicazioni come keepass.info che vi permettono di memorizzare nel caso abbiate molte password.
Ricorrere al file .htaccess per la sicruezza del wp
Un altro passo fondamentale per la comprensione su come rendere sicuro il vostro blog passa senza ombra di dubbio da questo file che è essenzialmente una lunga sequenze di direttive che il Web Server Apache deve eseguire. Stop, prima di proseguire fate una copia di questo file , perchè eventuali errori potrebbero causare il mal funzionamento dello stesso quindi effettuato il back up andiamo avanti con molta cautela, all’inizio, al momento dell’installazione trovate solamente qualcosa del genere
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Dove mod_rewrite.c è un modulo che se presente, e generalmente ormai lo è quasi sempre, almeno che non abbiate soluzioni hosting di paranoici…vi permetterà di potere utilizzare le direttive presenti dentro l’IF, Vediamo adesso come inibire l’accesso al file .htaccess tramite l’inserimento di questo semplice righe di codice
order allow,deny
deny from all
L’inserimento di questo semplice codice impedisce a chiunque di accedere a questo file dall’esterno, con questa logica si puo’ proteggere anche il vostro wp-config.php facendo
order allow,deny
deny from all
un’altro buon passo da fare è cancellare il numero di versione che state utilizzando in quanto gli hacker sono conoscenza di tutte le falle di ogni versione di wordpress, fatelo con questo plugins, che vi fornirà altre dritte , oltre quelle che vi stiamo dando noi, su come migliorare la vostra sicurezza e si chiama secure-wordpress.
Un’altra utile applicazione che puo’ essere fatta con il wordpress è bloccare gli accessi al vostro sito introducendo queste semplici righe di codice
order allow, deny
allow from all
deny from 100.100.100.100
deny from 101.101.101.101
Se volete potete utilizzare anche gli apici e realizzare qualcosa del genere
order allow, deny
allow from all
deny from 100.100.*.*
oppure potete bloccare un dominio
order allow, deny
allow from all
deny from .*dominio\.com.*
una soluzione più elegante per raggiungere questo obbiettivo è farlo con i referrer
ossia
RewriteEngine On
RewriteCond %{HTTP_REFERRER} website1.com[NC,OR]
RewriteCond %{HTTP_REFERRER} website2.com[NC,OR]
RewriteRule .*-[F]
Facciamo una piccola precisazione che ci viene buona anche per quello che vi andremo a spiegare adesso ossia tutti questi blocchi che vedete sopra erano ottenibili anche tramite plugins di wp, ma è evitabile, in quanto i plugins che sono molto utili rallentano sempre il caricamento delle pagine del blog, quindi se dalle parti aiutano dall’altra creano problemi, lo stesso discorso si puo’ fare nel caso di spam esistono plugins veramente ottimi come Akismet (ormai a pagamento…) o altri che invece si basano sul farvi fare una somma o farvi dare qualche risposta. Come mai? Semplice questi spam bot sono dei veri e propri web server che inviano nel vostro db il commento di spam ma non dalla pagina della vostra soluzione hosting, ma dalla loro, possiamo quindi impedire che venga resa accessibile la directory dei commenti nel caso non sia spedita dalla vostra pagina , in questo semplice modo
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\. php*
RewriteCond %{HTTP_REFERER} |.*nomevostrosito.estensione.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule(.*) ^http://% {REMOTE_ADDR}/$
[R=301,L]
Ma non solo se siete a conoscenza di qualche bot che viene a scansionare il vostro sito a fini prelevare informazioni etc.etc, allora vi conviene bloccarli fate come vi indichiamo qui sotto, dove potete vedere vi diamo anche tutta una serie di bad bot, per bloccarli altri prendete esemppio da come abbiamo fatto noi.
# Added by HackRepair.com, for Bad Bot protection
Options -Indexes
RewriteEngine on
#Block comment spammers, bad bots and some proxies
RewriteCond %{REMOTE_HOST} 12.226.240.248 [OR]
RewriteCond %{REMOTE_HOST} 24.111.102.26 [OR]
RewriteCond %{REMOTE_HOST} 24.117.121.113 [OR]
RewriteCond %{REMOTE_HOST} 65.30.216.140 [OR]
RewriteCond %{REMOTE_HOST} 67.87.64.23 [OR]
RewriteCond %{REMOTE_HOST} 68.12.149.198 [OR]
RewriteCond %{REMOTE_HOST} 69.139.167.203 [OR]
RewriteCond %{REMOTE_HOST} 74.95.182.57 [OR]
RewriteCond %{REMOTE_HOST} 91.121.3.29 [OR]
RewriteCond %{REMOTE_HOST} 203.94.229.227 [OR]
RewriteCond %{REMOTE_HOST} 208.96.122.142 [OR]
RewriteCond %{REMOTE_HOST} 210.0.141.247 [OR]
RewriteCond %{REMOTE_HOST} 210.197.97.67 [OR]
RewriteCond %{REMOTE_HOST} 212.179.127.188 [OR]
RewriteCond %{REMOTE_HOST} 216.246.60.183 [OR]
RewriteCond %{REMOTE_HOST} 220.156.189.233 [OR]
RewriteCond %{REMOTE_HOST} 222.36.12.42 [OR]
# Abuse Agent Blocking
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Bolt\ 0 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:craftbot\@yahoo\.com [NC,OR]
RewriteCond %{HTTP_USER_AGENT} CazoodleBot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Custo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Default\ Browser\ 0 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^DIIbot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^DISCo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} discobot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^eCatch [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ecxi [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailCollector [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^FlashGet [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^GetRight [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^GrabNet [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Grafula [NC,OR]
RewriteCond %{HTTP_USER_AGENT} GT::WWW [NC,OR]
RewriteCond %{HTTP_USER_AGENT} heritrix [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^HMView [NC,OR]
RewriteCond %{HTTP_USER_AGENT} HTTP::Lite [NC,OR]
RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ia_archiver [NC,OR]
RewriteCond %{HTTP_USER_AGENT} IDBot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} id-search [NC,OR]
RewriteCond %{HTTP_USER_AGENT} id-search\.org [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^InterGET [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^InternetSeer\.com [NC,OR]
RewriteCond %{HTTP_USER_AGENT} IRLbot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ISC\ Systems\ iRc\ Search\ 2\.1 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Java [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^JetCar [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^larbin [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} libwww [NC,OR]
RewriteCond %{HTTP_USER_AGENT} libwww-perl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Link [NC,OR]
RewriteCond %{HTTP_USER_AGENT} LinksManager.com_bot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} linkwalker [NC,OR]
RewriteCond %{HTTP_USER_AGENT} lwp-trivial [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Maxthon$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} MFC_Tear_Sample [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^microsoft\.url [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Microsoft\ URL\ Control [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Mister\ PiX [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Missigua\ Locator [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Mozilla\.*Indy [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Mozilla\.*NEWT [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^MSFrontPage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Navroad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^NearSite [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^NetAnts [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^NetSpider [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^NetZIP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Nutch [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Octopus [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [NC,OR]
RewriteCond %{HTTP_USER_AGENT} panscient.com [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^pavuk [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PECL::HTTP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^PeoplePal [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PHPCrawl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PleaseCrawl [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^psbot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^RealDownload [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^ReGet [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Rippers\ 0 [NC,OR]
RewriteCond %{HTTP_USER_AGENT} SBIder [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^SeaMonkey$ [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^sitecheck\.internetseer\.com [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Snoopy [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Steeler [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Toata\ dragostea\ mea\ pentru\ diavola [NC,OR]
RewriteCond %{HTTP_USER_AGENT} URI::Fetch [NC,OR]
RewriteCond %{HTTP_USER_AGENT} urllib [NC,OR]
RewriteCond %{HTTP_USER_AGENT} User-Agent [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Web\ Sucker [NC,OR]
RewriteCond %{HTTP_USER_AGENT} webalta [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^[Ww]eb[Bb]andit [NC,OR]
RewriteCond %{HTTP_USER_AGENT} WebCollage [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WebReaper [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WebSauger [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ Quester [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WebStripper [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WebZIP [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Wells\ Search\ II [NC,OR]
RewriteCond %{HTTP_USER_AGENT} WEP\ Search [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Wget [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Widow [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WWW-Mechanize [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Yandex [NC,OR]
RewriteCond %{HTTP_USER_AGENT} zermelo [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus\.*Webster [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ZyBorg [NC]
RewriteRule ^.* – [F,L]
# Abuse bot blocking rule end
order allow,deny
allow from all
# Start Custom Blocks
# Bluecoat
deny from 8.21.4.254
deny from 65.46.48.192/30
deny from 65.160.238.176/28
deny from 85.92.222.0/24
deny from 206.51.36.0/22
deny from 216.52.23.0/24
# cyveillance (already blocked 38.*)
deny from 38.100.19.8/29
deny from 38.100.21.0/24
deny from 38.100.41.64/26
deny from 38.105.71.0/25
deny from 38.105.83.0/27
deny from 38.112.21.140/30
deny from 38.118.42.32/29
deny from 65.213.208.128/27
deny from 65.222.176.96/27
deny from 65.222.185.72/29
# Cyberpatrol
deny from 38.103.17.160/27
# Internet Identity – Anti-Phishing
deny from 66.113.96.0/20
deny from 70.35.113.192/27
# Ironport
deny from 204.15.80.0/22
# Lightspeed Systems Security
deny from 66.17.15.128/26
deny from 69.84.207.32/27
deny from 69.84.207.128/25
# Layered Technologies
deny from 72.36.128.0/17
deny from 72.232.0.0/16
deny from 72.233.0.0/17
deny from 216.32.0.0/14
# M86
deny from 67.192.231.224/29
deny from 208.90.236.0/22
# McAfee-Secure-Computing
deny from 69.48.241.64/26
deny from 80.66.0.0/19
deny from 192.55.214.0/24
deny from 207.67.117.0/24
# Phish-Inspector.com
deny from 209.147.127.208/28
# Prescient Software, Inc. Phishmongers
deny from 198.186.190.0/23
deny from 198.186.192.0/23
deny from 198.186.194.0/24
# urlfilterdb
deny from 207.210.99.32/29
# websense-in.car1.sandiego1.level3.net
deny from 4.53.120.22
# Websense
deny from 66.194.6.0/24
deny from 67.117.201.128/28
deny from 69.67.32.0/20
deny from 131.191.87.0/24
deny from 204.15.64.0/21
deny from 208.80.192.0/21
deny from 212.62.26.64/27
deny from 213.168.226.0/24
deny from 213.168.241.0/30
deny from 213.168.242.0/30
deny from 213.236.150.16/28
# Yandex
deny from 77.88.0.0/18
deny from 77.88.22.0/23
deny from 77.88.24.0/21
deny from 77.88.24.0/22
deny from 77.88.28.0/22
deny from 77.88.36.0/23
deny from 77.88.42.0/23
deny from 77.88.44.0/24
deny from 77.88.50.0/23
deny from 87.250.224.0/19
deny from 87.250.230.0/23
deny from 87.250.252.0/22
deny from 93.158.128.0/18
deny from 93.158.137.0/24
deny from 93.158.144.0/21
deny from 93.158.144.0/23
deny from 93.158.146.0/23
deny from 93.158.148.0/22
deny from 95.108.128.0/17
deny from 95.108.128.0/24
deny from 95.108.152.0/22
deny from 95.108.216.0/23
deny from 95.108.240.0/21
deny from 95.108.248.0/23
deny from 178.154.128.0/17
deny from 178.154.160.0/22
deny from 178.154.164.0/23
deny from 199.36.240.0/22
deny from 213.180.192.0/19
deny from 213.180.204.0/24
deny from 213.180.206.0/23
deny from 213.180.209.0/24
deny from 213.180.218.0/23
deny from 213.180.220.0/23
# End Custom Blocks. Add a couple line breaks below this as well.
Dove come potete vedere abbiamo bloccato sia tramite IP che tramite nome del Bot.
Una soluzione alternativa che vi permetterebbe di ottenere lo stesso risultato sarebbe l’utilizzo del modulo SetEnvif ma siccome non lo installano tutte le soluzioni di hosting con il modo sopra , siete ragionevolmente al sicuro…
Ci occupiamo adesso di un file particolare che si presenta come un file di testo robots.txt e sta nella directory radice del vostro blog , tramite il quale potete dare delle indicazioni ai vari robots bot che scansionano il vostro sito, attenzione chiariamo subito che con le direttive di Apache in htaccess imponete voi ai bot , spider, robots, etc. etc. qui nel caso lo ribadiamo è solo un consiglio che date. In ogni modo una possibile implementazione che abbiamo fatto per un cliente molto esigente è la seguente
User-agent: *
Disallow: /cgi-bin/
Disallow: /wp-
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Allow: /wp-content/uploads/
Disallow: /files/
Disallow: /trackback/
Disallow: /comments/
Disallow: */trackback/
Disallow: /*/feed
Disallow: */comments/
Disallow: /*.php$
Disallow: /*.php?$
Disallow: /*.js$
Disallow: /*?*
Disallow: /*?
Disallow: /*.php*
Disallow: */?doing_wp_cron
User-agent: Mediapartners-Google
Allow: /
Disallow: */?doing_wp_cron
Disallow: */?preview*
User-agent: Googlebot
Allow: /
Disallow: */?doing_wp_cron
Disallow: */?preview*
User-agent: Adsbot-Google
Allow: /
Disallow: */?doing_wp_cron
Disallow: */?preview*
User-agent: Googlebot-Image
Allow: /
Disallow: */?doing_wp_cron
Disallow: */?preview*
User-agent: Googlebot-Mobile
Allow: /
Disallow: */?doing_wp_cron
Disallow: */?preview*
E’ tutta abbastanza ovvia quindi evitiamo di commentarvela, nel caso andate alla nostra guida sull‘ottimizzazione dei motori di ricerca dove spieghiamo il funzionalmento
Siccome molte soluzioni hosting oggi lo consentono mettete una PASSWORD nel file wp-admin , che se da un lato vi darà una sicurezza assoluta, dall’altro lato verrà inserita nel file .htaccess e quindi vedrete anche come funziona
spesso per garantire un maggiore grado di sicurezza si mette anche nel file wp-config.php la seguente direttiva
define (‘FORCE_SSL-ADMIN’,true);
dovete metterla sotto a
require_once (ABSPATH,’wp-setting.php’);
fra che ci siamo vi indichiamo anche come proteggervi dagli hotlink, ossia quella simpatica pratica di alcuni bloggher che hanno di prendere immagini dal vostro sito e linkarle nel loro, basta fare
RewriteRule \.(gif|jpeg|png)$ – http://nomevostrodominio.estensione/forbidden.fig [R,L]
in tale maniera pero’ perderete anche un bel pezzo di indicizzazione e redirect nel vostro sito, insomma è un po’ un cane che si morde la coda fate voi quindi