Archives For index.php

Rispondo a una domanda abbastanza comune che viene generalmente rivolta a mezzo mail o tra una chiacchiera e l’altra quando ci si trova con conoscenti che muovono passi autonomi sul web. WordPress è meraviglioso, è adatto a qualsiasi tipo di sito web e sì, può contare su una miriade di temi e plugin disponibili gratuitamente e a pagamento.

Quali sono però i 5 passi comuni per evitare che qualcosa vada storto esponendosi a un attacco dall’esterno? Provo a darti una base –spero– solida.

WordPress: 5 step per la sua (e tua) sicurezza

Questo nuovo articolo va a riprendere (parzialmente) e fare coppia con uno più vecchio, che trovi ancora qui. Cominciamo?

Occhio a username e password

Che vuol dire tutto e nulla.

WordPress: 5 step per la sua (e tua) sicurezza 3

Ciò che intendo è, per esempio, non utilizzare l’account amministrativo di default (che va quanto prima degradato a semplice utente, se non addirittura eliminato), in favore di un nuovo account da te appositamente realizzato, amministrativo, con username non facilmente indovinabile e con una password complessa (parleremo anche di password robuste quanto prima, ma ti porto a questa vignetta, che tanto spiega in merito). Non utilizzare la stessa password che hai già usato in passato per altri servizi. Fatti aiutare da un buon password manager se ti serve.

Inutile dire che l’autenticazione e due fattori è ormai una cosa fondamentale. Dai un’occhiata qui per capire di cosa sto parlando: gioxx.org/2016/09/01/wordpress-e-authy-autenticazione-onetouch.

Verifica i plugin installati

Che si traduce con:

  • utilizza dei plugin costantemente mantenuti, che non superino (se possibile) i 6 mesi dall’ultima data di aggiornamento;
  • cancella quelli non più utilizzati, che non ti servono, non pensare che un domani possano tornarti utili ancora, perché si fa sempre in tempo a ricercarli nuovamente e reinstallarli;
  • cerca di rimanere informato in merito ai loro cambiamenti, perché è facile che un attacco possa sfruttare falle in loro integrate (oppure in servizi a cui si appoggiano).

Capisco che spesso non è cosa semplice, però potrai sempre chiedere un aiuto alle community di condivisione e assistenza sul mondo WordPress in giro per il web, già più approcciabile per chiunque.

Aggiorna WordPress

Ma anche i plugin, che poi potrebbe ricadere nella voce precedente.

WordPress: 5 step per la sua (e tua) sicurezza 2

Tenere aggiornato ogni sistema (non solo operativo) è fondamentale per tappare falle scoperte e dichiarate, prima che qualcuno le sfrutti nella peggior maniera possibile. Quando viene pubblicata una nuova versione di WordPress, questa va a correggere problemi e anomalie generalmente importanti, che ti permettono di dormire sonni tranquilli. Per fortuna, salvo problemi o limitazioni imposte, WordPress aggiorna automaticamente ogni minor release, lasciando a te l’onere di pensare alle major.

Aggiornare costa solo un paio di clic, ma prima di farlo ricorda di verificare che non ci sia del codice personalizzato che possa smettere di funzionare in seguito all’operazione (chiedi aiuto al tuo sviluppatore nel caso non sia tu direttamente a occuparti del tuo blog).

Tieni sempre un backup aggiornato

WordPress: 5 step per la sua (e tua) sicurezza 4

Sia del database, sia dei file salvati sullo spazio disco del server. Se i secondi cambiano forse meno spesso (occhio però alle immagini e più in generale ai media caricati online), il primo è in costante crescita e modifica. Avere una copia di backup aggiornata è fondamentale per evitare di incorrere in possibili disastri (causati da te, dal tuo provider o da qualcuno di completamente estraneo).

Per portare a termine questa operazione esistono decine di plugin, sia gratuiti che a pagamento. Io ho scelto di affidarmi a BackUpWordPress della Human Made.

BackUpWordPress
BackUpWordPress
Price: Free

Comodo, molto personalizzabile e disponibile anche in versione gratuita limitata (io uso questa), lasciando fare poi a SyncBack il lavoro sporco (quello del download totale di tutti i file, backup compresi). Ce ne sono anche altri (di plugin, intendo), magari prova a dare un’occhiata a questo articolo di ThemeTrust pubblicato qualche tempo fa: themetrust.com/wordpress-backup-plugins (e provali sempre in ambiente di test, mai di produzione!)

Utilizza un plugin di sicurezza

WordPress: 5 step per la sua (e tua) sicurezza 1

Che sembra una sciocchezza, forse, ma non lo è. Un plugin di sicurezza ti aiuta a prenderti cura della tua installazione WordPress, suggerendoti dove mettere mano per evitare sgradite sorprese. Ne esistono di ogni tipo, e generalmente sono tutti in grado di suggerire buone strategie di protezione della propria area amministrativa, fare scansioni alla ricerca di possibili anomalie (sfruttabili dall’esterno), limitare gli accessi di ogni utente conosciuto (e non, soprattutto).

Io utilizzo da tempo iThemes Security (ex Better WP Security). Ne ho parlato in maniera approfondita in un precedente articolo disponibile qui:

Proteggere WordPress da login non autorizzati

Tutto chiaro? Al solito: per consigli, suggerimenti e critiche costruttive, l’area commenti è a tua totale disposizione, sempre ben felice di leggere cose nuove e interessanti! Per il supporto, invece, vi rimando al forum di ogni singolo plugin, o genericamente al forum della community italiana di WordPress.

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!

Dopo la sidebar –della quale vi avevo parlato poco tempo fa– si passa alla index.php e la possibilità di non far comparire i post di una specifica categoria nell’insieme degli articoli, mantenendo il tutto in un box che chiameremo “PILLOLE“, proprio come  nella home page del mio blog.

Le modifiche andranno applicate sul tema utilizzato dal blog, inserendo le righe di codice al giusto posto si otterrà il risultato voluto. Ogni tema è però differente dall’altro, bisognerà quindi stare attenti ad individuare la giusta posizione dove piazzare il codice spiegato nei prossimi paragrafi.

ATTENZIONE: Prima di eseguire qualsiasi modifica ai vostri file e/o dispositivi siete pregati di effettuare un backup di questi. Solo così sarete capaci di tornare indietro riparando ad eventuali errori di distrazione. L’articolo e l’autore non possono essere ritenuti responsabili di alcun danno subito dalla vostra strumentazione. Buon lavoro.

Fiato alle trombe quindi, si parte :)

# exclude posts from some category

Ovvero: escludere i post facenti parte della categoria “Pillole” da quelli visualizzati in Home Page, nella lista completa dei post. Se avete già creato la categoria si può procedere, altrimenti fatelo ora e ricavate l’ID attraverso il metodo spiegato nel post precedente. Nel mio caso la categoria Pillole ha ID 2407.

La documentazione che servirà per questo specifico caso riguarda la funzione The Loop di WordPress, disponibile come sempre nel Codex. Nello specifico facciamo riferimento (appunto) all’esclusione di post di una determinata categoria:

codex.wordpress.org/The_Loop#Exclude_Posts_From_Some_Category

La stringa interessata effettua il controllo di categoria subito dopo il ciclo while che calcola il numero di post da mostrare in pagina. Per l’esattezza si occuperà di saltare” la visualizzazione dei post di una determinata categoria solo nel caso in cui ci si trovi in home page, così da non intaccare archivi e altro:

<?php if (in_category('2407') && is_home() ) continue; ?>

Inserendo la stringa prima della visualizzazione del post permetteremo al ciclo di ignorare la categoria Pillole. Occorrerà piazzarla quindi (secondo documentazione) tra:

<?php if ( have_posts() ) : while ( have_posts() ) : the_post(); ?>

Nel mio tema (BigBlue modificato) questo è il risultato:

<?php if (have_posts()) : ?>
 <?php while (have_posts()) : the_post(); ?>
 <?php if (in_category('2407') && is_home() ) continue; ?>
 <div class="entry">

e funziona egregiamente. Il test è stato effettuato su un post in particolare (Aggiorna MfE sul tuo E65) realizzato e pubblicato in Pillole ma mai visto sulla Home Page tra gli articoli disponibili, raggiungibile solo per permalink o dagli archivi di Giugno 2009.

# la creazione del box

Fatta la prima parte dello sporco lavoro si passa alla visualizzazione in box dedicato. Trattandosi di post alla stregua di “un twitter maggiorato ma di un tumblr minorato” basterà un piccolo spazio lungo tanto quanto la colonna che lo ospita ma alto (nel mio esempio) poco, bastano appena 160 pixel. Chiaro che le dimensioni cambiano nel caso in cui si decida di non inserirlo nella home page ma magari in Sidebar ;-)

Il codice? E’ presto realizzato:

 <b>PILLOLE: notizie flash da Gioxx</b>
 <div class="boxpillole" style="border: 1px solid ; padding: 4px 6px 2px; width: 500px; height: 160px;">
 <?php $my_query = new WP_Query('cat=2407&showposts=1');
 while ($my_query->have_posts()) : $my_query->the_post(); ?>
 <b><a href="<?php the_permalink() ?>" rel="bookmark" title="Permanent
 Link to <?php the_title_attribute(); ?>"><?php the_title(); ?></a></b>
 <?php the_content('Read the rest of this entry »'); ?>
 <?php endwhile; ?>
 </div><br />

Differisce da quello visto l’ultima volta per il semplice fatto che stavolta non si visualizzerà il riassunto del post, ma il contenuto completo con tanto di link o immagini magari (anche se sarebbe meglio non metterne per questioni di corretta visualizzazione ;)) … si nota proprio da quel “the_content” come ultima riga prima della chiusura del ciclo While.

Il box va messo (se si sceglie la home page) prima di qualsiasi altro codice, ancora prima del “<?php if (have_posts()) : ?>“, dopo del get_header e del div content. Per farvi capire meglio ecco il suo posizionamento all’interno dell’index.php di BigBlue:

&lt;?php get_header(); ?&gt;
 &lt;div id=&quot;content&quot;&gt;
 &lt;b&gt;PILLOLE: notizie flash da Gioxx&lt;/b&gt;

Il gioco è così fatto. Se pubblicherete qualcosa all’interno della categoria Pillole (e mi raccomando, nessun’altra se volete tenerlo nascosto) lo vedrete solo ed esclusivamente nel box dedicato (e anche in archivio ovviamente o tramite un search, un link diretto), tutti gli altri post continueranno a susseguirsi nel corpo della home page :)

Cheers!

Condividi l'articolo con i tuoi contatti: