0
  Accesso
Guida alla sicurezza di WordPress

Guida alla sicurezza di WordPress

La sicurezza di WordPress è un argomento di enorme importanza per ogni proprietario di siti web. Ogni settimana, Google trova circa 20.000 siti Web con malware e circa 50.000 che fanno phishing. Se sei seriamente interessato al tuo sito web, devi prestare attenzione alle migliori pratiche di sicurezza di WordPress. In questa guida condivideremo tutti i principali suggerimenti sulla sicurezza di WordPress per aiutarti a proteggere il tuo sito web da hacker e malware.

Migliorare la sicurezza di WordPress

Mentre il software di base di WordPress è molto sicuro, ed è controllato regolarmente da migliaia di sviluppatori, c’è molto da fare per rafforzare il tuo sito Web creato con WordPress, temi, plugin, integrati tra loro.

Noi di WPAssistenza crediamo che la sicurezza non riguardi solo l’eliminazione del rischio. Si tratta infatti anche della riduzione del rischio. Come proprietario di un sito web, ci sono molte cose che puoi fare per migliorare la sicurezza di WordPress (anche se non sei esperto di tecnologia).

Qui trovi una serie di misure che è possibile adottare per migliorare la sicurezza di WordPress.

Per semplificare, abbiamo creato una tabella di contenuti per aiutarti a navigare facilmente attraverso la nostra guida alla sicurezza di WordPress.

La sicurezza del sito Web è importante?

Un sito WordPress compromesso può causare gravi danni al fatturato e alla reputazione della tua azienda. Gli hacker possono rubare informazioni sugli utenti, password, installare software dannosi e persino distribuire malware ai tuoi utenti.

Peggio, potresti ritrovarti a pagare il ransomware agli hacker solo per riacquistare l’accesso al tuo sito web.

Perché la sicurezza di WordPress è importante

A marzo 2016, Google ha riferito che oltre 50 milioni di utenti di siti Web sono stati avvisati della presenza di un malware o rubare informazioni nel sito che stanno per visitare.

Inoltre, Google inserisce in una lista nera circa 20.000 siti Web per malware e circa 50.000 per il phishing ogni settimana.

Se il tuo sito web è un azienda, devi prestare particolare attenzione alla sicurezza di WordPress.

Un pò  come è responsabilità dei proprietari di un attività commerciale proteggere il proprio negozio fisico, come titolare di un’attività commerciale online è responsabilità del titolare proteggere il proprio sito web aziendale.

aggiornamenti wordpress

Mantenere aggiornato WordPress

WordPress è un software open source che viene regolarmente manutenuto e aggiornato. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori. Per le versioni principali, è necessario avviare manualmente l’aggiornamento.

WordPress ha anche migliaia di plugin e temi che puoi installare sul tuo sito web. Questi plugin e temi sono gestiti da sviluppatori di terze parti che rilasciano regolarmente aggiornamenti.

Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del tuo sito web WordPress. È necessario assicurarsi che il core, i plugin e il tema di WordPress siano aggiornati.

[Torna all’inizio ↑]

creare password forti

Password complesse e autorizzazioni utente

I più comuni tentativi di hacking di WordPress utilizzano password rubate. Puoi rendergli la vita difficile utilizzando password più forti che sono uniche per il tuo sito web. Non solo per l’area admin di WordPress, ma anche per account FTP, database, account di hosting WordPress e il tuo indirizzo email professionale.

Il motivo principale per cui ai principianti non piace l’utilizzo di password complesse è perché sono difficili da ricordare. La cosa buona è che non hai più bisogno di ricordare le password. È possibile utilizzare un sistema di gestione di password.

Un altro modo per ridurre il rischio è quello di non concedere alcun accesso al proprio account admin di WordPress a meno che non sia assolutamente necessario. Se hai un grande team o autori ospiti, assicurati di comprendere i ruoli utente e le funzionalità in WordPress prima di aggiungere nuovi utenti e autori al tuo sito WordPress.

Importanza di un Hosting solido

Il tuo servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del tuo sito WordPress. Un buon provider di hosting condiviso come WP-Hosting o Siteground prende le misure extra per proteggere i server contro le minacce comuni.

Tuttavia, su hosting condiviso condividi le risorse del server con molti altri clienti. Ciò apre il rischio di contaminazione tra siti.  Un hacker può utilizzare un sito limitrofo per attaccare il tuo sito web.

L’utilizzo di un servizio di hosting WordPress gestito offre una piattaforma più sicura per il tuo sito web. Le società  che forniscono Hosting managed WordPress, offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate per proteggere il proprio sito web

[Torna all’inizio ↑]

Sicurezza di WordPress in semplici passaggi (senza codifica)

Sappiamo che migliorare la sicurezza di WordPress può essere un pensiero terrificante per i principianti. Specialmente se non sei un tecnico. Indovina un pò  non ti lasciamo solo.

Abbiamo aiutato migliaia di utenti di WordPress a rafforzare la sicurezza di WordPress.

Ti mostreremo come migliorare la sicurezza di WordPress con pochi clic (nessuna codifica richiesta).

Se riesci a puntarci il mouse e fare clic, puoi farlo!

fare backup wordpress

Installa una soluzione di backup di WordPress

I backup sono la tua prima difesa contro qualsiasi attacco a WordPress. Ricorda, nulla è sicuro al 100%. Se i siti web governativi possono essere violati, allora anche i tuoi possono.
I backup consentono di ripristinare rapidamente il tuo sito Web nel caso in cui dovesse accadere qualcosa di brutto.

Esistono molti plug-in di backup WordPress gratuiti e a pagamento che è possibile utilizzare. La cosa più importante che devi sapere quando si tratta di backup è che devi salvare regolarmente i backup di tutto il sito in una posizione remota (non dentro il tuo account di hosting).

Ti consigliamo di archiviarlo su un servizio cloud a se stante, come Amazon, Dropbox o cloud privati ​​come Stash.

In base alla frequenza con cui si aggiorna il sito Web, l’impostazione ideale potrebbe essere una volta al giorno o backup in tempo reale.

Per fortuna questo può essere fatto facilmente usando plugin come VaultPress o BackupBuddy. Sono entrambi affidabili e soprattutto facili da usare (non è necessaria alcuna conoscenza del codice).

[Torna all’inizio ↑]

Il miglior plugin per la sicurezza di WordPress

Dopo i backup, la prossima cosa che dobbiamo fare è impostare un sistema di controllo e monitoraggio che tenga traccia di tutto ciò che accade sul tuo sito web.

Ciò include il monitoraggio dell’integrità dei file, i tentativi di accesso non riusciti, la scansione di malware, ecc.

Per fortuna, tutto questo può essere preso in carico dal miglior plugin di sicurezza gratuito per WordPress, Sucuri Scanner.

È necessario installare e attivare il plug-in gratuito di Sucuri Security. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin per WordPress.

Dopo l’attivazione, devi accedere al menu Sucuri nel tuo pannello di amministrazione WordPress.

sucuri menu amministratore

La prima cosa che ti verrà chiesto di fare è generare una chiave API gratuita. Ciò consente la registrazione di controllo, il controllo dell’integrità, gli avvisi di notifica e-mail e altre importanti funzionalità.

La seconda cosa che devi fare è cliccare sulla scheda “Harden”dal menu Sucuri. Tralascia ogni opzione e fai clic sul pulsante “Harden”.

sucuri rafforzare

Queste opzioni ti aiutano a sbarrare le aree chiave che gli hacker spesso usano nei loro attacchi per bucare un sito web. L’unica opzione di Hardening che ha un aggiornamento a pagamento è il Web Application Firewall che spiegheremo nel passaggio successivo, quindi saltalo per ora.

Abbiamo anche trattato molte di queste opzioni di “Hardening” (che sta per rendere solido )più avanti in questo articolo per coloro che vogliono farlo senza utilizzare un plug-in o quelli che richiedono passaggi aggiuntivi come la “Modifica del prefisso del database” o “Modifica del nome utente dell’amministratore”.

Dopo la parte di hardening, la maggior parte delle impostazioni di default di questo plugin sono buone e non necessitano di modifiche. L’unica cosa che raccomandiamo di personalizzare è l’Email Alert.

Le impostazioni di avviso predefinite possono ingombrare la tua casella di posta con e-mail. Ti consigliamo di ricevere solo avvisi per azioni chiave, come modifiche ai plug-in, nuove registrazioni utente, ecc. Puoi configurare gli avvisi andando su Impostazioni Sucuri »Alert.

Questo plugin per la sicurezza di WordPress è molto potente, quindi sfoglia tutte le schede e le impostazioni per vedere tutto ciò che fa, come la scansione dei malware, i registri di controllo, il tentativo di accesso fallito, il monitoraggio, ecc.

Attiva Web Application Firewall (WAF)

Il modo più semplice per proteggere il tuo sito Web e avere fiducia nella sicurezza di WordPress è utilizzare un firewall per applicazioni Web (WAF). Il firewall blocca tutto il traffico malevolo prima ancora che raggiunga il tuo sito web.

sucuri waf

Usiamo e raccomandiamo Sucuri come il miglior firewall per applicazioni Web per WordPress. Puoi leggere come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in un mese.

La parte migliore del firewall di Sucuri è che include anche una pulizia del malware e la garanzia di rimozione dalla lista nera. Fondamentalmente se dovessi essere hackerato sotto il loro sistema di sicurezza, essi garantiscono che correggeranno il tuo sito web (indipendentemente da quante pagine hai).

Questa è una garanzia piuttosto forte perché la riparazione di siti Web compromessi è costosa. Gli esperti di sicurezza normalmente richiedono circa  250 € all’ora. Mentre puoi ottenere l’intero stack di sicurezza di Sucuri per circa $ 199 all’anno.

Migliora la sicurezza di WordPress con il firewall Sucuri »

Sucuri non è l’unico fornitore di firewall in circolazione. L’altro concorrente popolare è Cloudflare.

[Torna all’inizio ↑]

Sicurezza WordPress per utenti fai-da-te

Se fai tutto ciò che abbiamo menzionato finora, allora sei in una buona forma.
Ma come sempre, puoi fare di più per rafforzare la sicurezza di WordPress.

Alcuni di questi passaggi potrebbero richiedere alcune competenze nella modifica del codice.

Cambia il nome utente “admin” predefinito

In passato, il nome utente admin di WordPress predefinito era “admin”. Poiché i nomi utente rappresentano metà delle credenziali di accesso, questo ha reso più facile agli hacker fare attacchi a forza bruta.

Fortunatamente, WordPress ha cambiato questo e ora richiede di selezionare un nome utente personalizzato al momento dell’installazione di WordPress.

Tuttavia, alcuni programmi di installazione di WordPress con un clic, impostano ancora il nome utente amministratore predefinito su “admin”. Se noti che questo è il caso, allora è probabilmente una buona idea cambiare il tuo hosting web.

Poiché WordPress non ti consente di modificare i nomi utente per impostazione predefinita, sono disponibili tre metodi per modificare il nome utente.

  1. Crea un nuovo nome utente amministratore ed elimina quello vecchio.
  2. Usa il plugin Username Changer
  3. Aggiorna nome utente da phpMyAdmin

Abbiamo esaminato tutti e tre questi aspetti nella nostra guida dettagliata su come modificare correttamente il nome utente di WordPress (passo dopo passo).

Nota: stiamo parlando del nome utente chiamato “admin”, non del ruolo di amministratore.

[Torna all’inizio ↑]

Disabilita modifica file

WordPress è dotato di un editor di codice integrato che ti consente di modificare i tuoi file di temi e plug-in direttamente dall’area di amministrazione di WordPress. Nelle mani sbagliate, questa funzione può rappresentare un rischio per la sicurezza, motivo per cui è consigliabile disattivarla.

file-modifica

Puoi farlo facilmente aggiungendo il seguente codice nel tuo file wp-config.php.

In alternativa, puoi farlo con 1-clic usando la funzione Hardening nel plugin Sucuri gratuito che abbiamo menzionato sopra.

[Torna all’inizio ↑]

Disabilitare l’esecuzione di file PHP in alcune directory di WordPress
Un altro modo per rafforzare la sicurezza di WordPress consiste nel disabilitare l’esecuzione di file PHP nelle directory in cui non è necessario, come / wp-content / uploads /.

Puoi farlo aprendo un editor di testo come Blocco note e incollare questo codice:

1
2
3
<Files *.php>
deny from all
</Files>

Successivamente, devi salvare questo file come .htaccess e caricarlo in / wp-content / uploads / folders sul tuo sito web usando un client FTP.

Per una spiegazione più dettagliata, consulta la nostra guida su come disabilitare l’esecuzione di PHP in determinate directory di WordPress

In alternativa, puoi farlo con 1-clic usando la funzione Hardening nel plugin Sucuri gratuito che abbiamo menzionato sopra.

[Torna all’inizio ↑]

Limitare i tentativi di accesso

Per impostazione predefinita, WordPress consente agli utenti di provare a effettuare il login quante volte desiderano. Questo lascia il tuo sito WordPress vulnerabile agli attacchi di forza bruta. Gli hacker tentano di crackare le password tentando di accedere con combinazioni diverse.

Questo può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può effettuare. Se stai usando il firewall dell’applicazione web menzionato in precedenza, questo verrà automaticamente risolto.

Tuttavia, se non si dispone della configurazione del firewall, quindi procedere con i passaggi seguenti.

Innanzitutto, è necessario installare e attivare il plug-in LockDown di accesso. Per ulteriori dettagli, consulta la nostra guida passo passo su come installare un plug-in di WordPress.

[Torna all’inizio ↑]

Modifica il prefisso del database di WordPress

Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle nel database di WordPress. Se il tuo sito WordPress utilizza il prefisso del database predefinito, allora è più facile per gli hacker indovinare qual è il nome della tua tabella. Questo è il motivo per cui ti consigliamo di cambiarlo.

È possibile modificare il prefisso del database seguendo il nostro tutorial passo passo su come modificare il prefisso del database di WordPress per migliorare la sicurezza.

Nota: questo può rompere il tuo sito se non è fatto correttamente. Procedi solo, se ti senti a tuo agio con le tue capacità di codifica.

[Torna all’inizio ↑]

Proteggi con password l’Admin di WordPress e la pagina di accesso

Password che protegge wp-adminIMG

Normalmente, gli hacker possono richiedere la tua cartella wp-admin e la pagina di accesso senza alcuna restrizione. Ciò consente agli hacker di provare i loro trucchi per l’hacking o eseguire attacchi DDoS.
È possibile aggiungere un’ulteriore protezione tramite password  lato del server che bloccherà effettivamente tali richieste.

[Torna all’inizio ↑]

Disabilita indicizzazione di directory e browsing
Esplorazione delle directoryIMG

La navigazione nelle directory può essere utilizzata dagli hacker per scoprire se hai dei file vulnerabili, in modo che possano trarre vantaggio da questi file per ottenere l’accesso al sito web.

La navigazione nelle directory può essere utilizzata anche da altre persone per esaminare i file, copiare le immagini, scoprire la struttura della directory e altre informazioni. Questo è il motivo per cui si consiglia vivamente di disattivare l’indicizzazione e navigazione delle directory.

Devi connetterti al tuo sito web usando FTP o il file manager di cPanel. Quindi, individua il file .htaccess nella directory principale del tuo sito web.

Dopodiché, devi aggiungere la seguente riga alla fine del file .htaccess:

Options -Indexes

Non dimenticare di salvare e caricare il file .htaccess sul tuo sito.

Disabilita XML-RPC in WordPress

XML-RPC è stato abilitato di default in WordPress 3.5 perché aiuta a connettere il tuo sito WordPress con applicazioni web e mobili.

Tuttavia, a causa della sua natura potente, XML-RPC può amplificare in modo significativo il rischio di attacchi Brute force.

Ad esempio, tradizionalmente se un hacker volesse provare 500 password diverse sul tuo sito web, dovrebbe effettuare 500 tentativi di accesso separati che verranno catturati e bloccati dal plug-in di blocco dei tentativi login.

Ma con XML-RPC, un hacker può usare la funzione system.multicall per provare migliaia di password con diciamo 20 o 50 richieste.

Questo è il motivo per cui se non stai usando XML-RPC, ti consigliamo di disabilitarlo.

Esistono 3 modi per disattivare XML-RPC in WordPress e presto inseriremo un articolo in merito.

Suggerimento: il metodo .htaccess è il migliore perché è il meno dispendioso in termini di risorse.

Se stai usando il firewall dell’applicazione Web menzionato in precedenza, questo può essere risolto via firewall.

Disconnetti automaticamente gli utenti inattivi in WordPress

Gli utenti connessi possono a volte allontanarsi dallo schermo e questo rappresenta un rischio per la sicurezza. Qualcuno può dirottare la loro sessione, cambiare la password o apportare modifiche al loro account.

Questo è il motivo per cui molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. Puoi implementare funzionalità simili anche sul tuo sito web WordPress.

Sarà necessario installare e attivare il plug-in di disconnessione utente inattivo. Dopo l’attivazione, vai su Impostazioni »Pagina logout utente Idle e impostare i tempi di disattivazione per configurare le impostazioni del plug-in.

Basta impostare la durata e deselezionare la casella accanto all’opzione ‘Disabilita in wp admin’ per una maggiore sicurezza. Non dimenticare di fare clic sul pulsante Salva modifiche per memorizzare le tue impostazioni.

Per istruzioni più dettagliate, presto creeremo guida su come disconnettere automaticamente gli utenti inattivi in ​​WordPress.

[Torna all’inizio ↑]

Aggiungi domande di sicurezza alla schermata di accesso di WordPress

Domande di sicurezza sulla schermata di accesso

L’aggiunta di una domanda di sicurezza alla schermata di accesso di WordPress rende ancora più difficile ottenere accesso non autorizzato.

È possibile aggiungere domande di sicurezza installando il plug-in WP Security Questions. Dopo l’attivazione, è necessario visitare la pagina Impostazioni »Domande di sicurezza per configurare le impostazioni del plugin.

Per istruzioni più dettagliate, presto creeremo un tutorial su come aggiungere domande di sicurezza alla schermata di accesso di WordPress.

[Torna all’inizio ↑]

Aggiustare un sito Web WordPress hackerato

Molti utenti di WordPress non si rendono conto dell’importanza dei backup e della sicurezza del sito Web fino a quando il loro sito non viene violato.

Ripulire un sito WordPress può essere molto difficile e richiede molto tempo. Il nostro primo consiglio sarebbe lasciare che un professionista si prenda cura della cosa.

Gli hacker installano backdoor sui siti interessati e se queste backdoor non sono riparate in modo corretto, il tuo sito Web rischia di essere nuovamente compromesso.

Consentire a una società di sicurezza professionale come Sucuri di correggere il tuo sito Web garantirà che il tuo sito sia sicuro da riutilizzare. Ti proteggerà anche da eventuali attacchi futuri.

Per gli utenti avventurosi e fai da te, abbiamo compilato una guida passo passo sulla riparazione di un sito di WordPress compromesso che presto pubblicheremo.

Questo è tutto, ci auguriamo che questo articolo ti abbia aiutato a conoscere le migliori pratiche per la sicurezza WordPress e a scoprire i migliori plug-in di sicurezza di WordPress per il tuo sito web.