La sicurezza di WordPress è un argomento di enorme importanza per ogni proprietario di siti web. Ogni settimana, Google trova circa 20.000 siti Web con malware e circa 50.000 che fanno phishing. Se sei seriamente interessato al tuo sito web, devi prestare attenzione alle migliori pratiche di sicurezza di WordPress. In questa guida condivideremo tutti i principali suggerimenti sulla sicurezza di WordPress per aiutarti a proteggere il tuo sito web da hacker e malware.

Quanto è sicuro WordPress?

WordPress è generalmente considerato un sistema di gestione dei contenuti sicuro. Tuttavia, come qualsiasi CMS, può essere vulnerabile agli attacchi se non investi nella protezione del tuo sito.

Non c’è modo di aggirarlo: i siti Web che utilizzano WordPress sono un obiettivo popolare per gli attacchi informatici. Nel suo rapporto sulla sicurezza di WordPress, il servizio firewall chiamato Wordfence ha bloccato ben 18,5 miliardi di richieste di attacco di password sui siti Web di WordPress. Sono quasi 20 miliardi di attacchi solo ai siti Web di WordPress.

Questi numeri sono pazzeschi, ma tieni presente che il 43% di Internet è stato costruito su WordPress. Tuttavia, quasi venti miliardi di attacchi sono ancora piuttosto elevati, anche tenendo conto della quota di mercato di WordPress.

Le cattive notizie continuano: 8 rischi per la sicurezza di WordPress su 10 rientrano nel punteggio di gravità “Medio” o “Alto” secondo il Common Vulnerability Scoring System.

Ora che conosci i fatti, facciamo qualche passo indietro. Prima di fare clic su Elimina sul tuo account WordPress, ricorda che questi numeri non sono realmente colpa di WordPress. O, almeno, non per colpa del prodotto WordPress. Pertanto, ci sono sicuramente cose che puoi fare come utente responsabile per rafforzare gli sforzi di sicurezza di WordPress.

WordPress spiega un considerevole team di sicurezza composto da ricercatori e ingegneri di livello mondiale, che vanno alla ricerca di vulnerabilità nel suo sistema, quindi sono in grado di risolvere eventuali problemi, prima che un hacker lo raggiunga.

Inoltre, il team di sicurezza distribuisce regolarmente aggiornamenti di sicurezza al proprio software. Per quanto riguarda il core di WordPress, siamo coperti. Il motivo per cui i siti WordPress potrebbero essere vulnerabili risiede nel modo in cui WordPress viene messo a disposizione degli utenti.

Come sai, WordPress è un software open source. Ciò significa che il codice sorgente può essere distribuito e modificato da chiunque. Ci sono alcuni vantaggi associati all’utilizzo di software open source: è accessibile a tutti, il software è personalizzabile all’infinito e puoi ottimizzarlo.

Di conseguenza, migliaia di sviluppatori hanno creato temi e plug-in che aumentano notevolmente la funzionalità di questa piattaforma. La flessibilità è una caratteristica distintiva di WordPress e gran parte del motivo per cui è così potente e ampiamente utilizzato.

Naturalmente, la libertà offerta da WordPress ha un prezzo.

Se hai un sito WordPress configurato in modo improprio o mal gestito, sei già a conoscenza di cosa significa avere problemi di sicurezza WordPress.

WordPress dà un sacco di potere ai suoi utenti e offre un grande potere da cui derivano grandi responsabilità. Sfortunatamente, molti utenti si dimenticano eo fanno finta di dimenticare questa responsabilità e gli hacker lo sanno.

Stai tranquillo sapendo questo: la sicurezza perfetta semplicemente non esiste, soprattutto online. Come afferma WordPress:

“[S] per sicurezza... la sicurezza è la riduzione del rischio, non l’eliminazione del rischio. Si tratta di impiegare tutti i controlli appropriati a tua disposizione, entro limiti ragionevoli, che ti consentono di migliorare la tua posizione generale riducendo le probabilità di diventare un bersaglio e successivamente essere violato .”

Non potrai mai garantire la completa immunità dalle minacce online, ma puoi adottare misure per ridurre la probabilità che si verifichino. Il fatto che tu stia leggendo questo significa che probabilmente tieni alla sicurezza e sei disposto a fare il possibile per proteggere te e i tuoi visitatori.

TLDR: WordPress è sicuro, ma solo se i suoi utenti prendono sul serio la sicurezza e seguono le migliori pratiche.

Quali sono i problemi comuni di sicurezza di WordPress?

Quindi, cosa succede se ignori le statistiche e non fai nulla per proteggere il tuo sito WordPress? A quanto pare, possono succedere molte cose. Ecco alcuni dei tipi più comuni di attacchi informatici che devono affrontare i siti WordPress.

Tentativi di accesso Brute Force

Il tentativo di accesso Brute Force è una delle forme più semplici di attacco. Si verifica quando un hacker utilizza l’automazione per inserire tante combinazioni nome utente-password molto rapidamente, indovinando infine le credenziali giuste. L’hacking di forza bruta può accedere a qualsiasi informazione protetta da password, non solo agli accessi.

Script intersito (XSS)

Il prossimo è l’attacco XSS. Questo tipo di attacco si verifica quando un utente malintenzionato “inietta” codice dannoso nel back-end del sito Web obiettivo dell’attacco per estrarre informazioni e devastare la funzionalità del sito.
Il codice può essere introdotto nel back-end con mezzi più complessi o inviato semplicemente come risposta in un modulo di contatto. Rimani vigile su questo aspetto.

Database Injection

Conosciuta anche come SQL injection, questa forma di attacco si verifica quando un utente malintenzionato invia una stringa di codice dannoso a un sito Web tramite un input dell’utente, come un modulo di contatto. Il sito Web memorizza quindi il codice nel suo database. Come con un attacco XSS, il codice dannoso viene eseguito sul sito Web per recuperare o compromettere le informazioni riservate memorizzate nel database.

Leggi anche come rimuovere un Malware

Backdoor

Un altro tipo comune di attacco è una backdoor. Una backdoor è un file che contiene un codice che consente a un utente malintenzionato di aggirare il login standard di WordPress, accedendo infine al tuo sito in qualsiasi momento. Gli aggressori tendono a inserire backdoor tra gli altri file sorgente di WordPress, rendendoli difficili da trovare da parte di utenti inesperti. Anche se rimossi, gli aggressori possono scrivere varianti di questa backdoor e continuare a usarli per aggirare il tuo login.

Sebbene WordPress limiti i tipi di file che gli utenti possono caricare per ridurre la possibilità di backdoor, fai attenzione a proteggere il tuo sito Web da questo tipo di attacco.

Attacchi Denial of Service (DoS).

Il prossimo è un tipo comune di attacco: l’attacco Denial-of-Service. Questi attacchi impediscono agli utenti autorizzati di accedere ai propri siti web. Gli attacchi DoS vengono eseguiti più frequentemente sovraccaricando un server di traffico e causando un arresto anomalo. Gli effetti sono peggiorati nel caso di un attacco DDoS (Distributed Denial of Service), un attacco DoS condotto da più macchine contemporaneamente.

Phishing

Potresti già avere familiarità con il phishing dato ce è molto comune. Si verifica quando un utente malintenzionato contatta un obiettivo che si spaccia per un’azienda o un servizio legittimo. I tentativi di phishing in genere spingono il bersaglio a rinunciare alle informazioni personali sensibili comne ad esempio i dati del proprio conto corrente o il telefono.

Hotlinking

L’hotlinking si verifica quando un altro sito Web mostra contenuti incorporati (di solito un’immagine) ospitati sul tuo sito Web senza autorizzazione in modo che il contenuto appaia come se fosse il proprio. Sebbene sia più simile a un furto che a un attacco in piena regola, l’hotlinking è generalmente illegale e crea seri problemi alla vittima, poiché deve pagare (in termini di banda utilizzata e impegno del server)ogni volta che il contenuto viene recuperato dal proprio server quando viene visualizzato su un altro sito Web.

Quindi, come si verificano questi crimini? Un hacker deve trovare una falla nella sicurezza del tuo sito. Una volta che lo fanno, possono iniziare a provocare il caos. Ecco alcune vulnerabilità comuni che gli hacker tengono d’occhio quando prendono di mira i siti WordPress:

Plugin: i plugin di terze parti causano la maggior parte delle violazioni della sicurezza di WordPress. Tuttavia, alcuni sono componenti aggiuntivi eccellenti che migliorano la funzionalità del tuo sito, quindi non cancellarli tutti: fai solo attenzione. Poiché i plug-in sono creati da terze parti e hanno accesso al back-end del tuo sito Web, sono un canale comune utilizzato dagli hacker per interrompere la funzionalità del tuo sito.

Versioni obsolete di WordPress: WordPress a volte rilascia nuove versioni del suo software per correggere le vulnerabilità di sicurezza. Quando escono le correzioni, le vulnerabilità diventano di dominio pubblico e i problemi con le vecchie versioni di WordPress sono spesso presi di mira dagli hacker. Puoi evitare questo problema mantenendo aggiornato il tuo sito.

La pagina di accesso al pannella di controllo: la pagina di accesso back-end per qualsiasi sito Web WordPress per impostazione predefinita è l’URL principale del sito con aggiunta di “/wp-admin” o “/wp-login.php”. Gli aggressori possono facilmente trovare questa pagina e tentare un accesso di forza bruta. Mantenendo le tue password varie e complesse, puoi evitare le probabilità che un hacker indovini le tue con precisione.

Temi WordPress: Sì, anche il tuo tema WordPress può esporre il tuo sito agli attacchi informatici. I temi obsoleti potrebbero non essere compatibili con la versione più recente di WordPress, consentendo un facile accesso ai file di origine. Inoltre, molti temi di terze parti non seguono gli standard di WordPress per il codice, causando problemi di compatibilità e vulnerabilità simili. Ancora una volta, fai le tue ricerche prima di aggiungere un tema al tuo sito.

Migliorare la sicurezza di WordPress

Mentre il software di base di WordPress è molto sicuro, ed è controllato regolarmente da migliaia di sviluppatori, c’è molto da fare per rafforzare il tuo sito Web creato con WordPress, temi, plugin, integrati tra loro.

Noi di WP-Assistenza crediamo che la sicurezza non riguardi solo l’eliminazione del rischio. Si tratta infatti anche della riduzione del rischio. Come proprietario di un sito web, ci sono molte cose che puoi fare per migliorare la sicurezza di WordPress (anche se non sei esperto di tecnologia).

Qui trovi una serie di misure che è possibile adottare per migliorare la sicurezza di WordPress.

Per semplificare, abbiamo creato una tabella di contenuti per aiutarti a navigare facilmente attraverso la nostra guida alla sicurezza di WordPress.

Pronto? Iniziamo.

La sicurezza del sito Web è importante?

Un sito WordPress compromesso può causare gravi danni al fatturato e alla reputazione della tua azienda. Gli hacker possono rubare informazioni sugli utenti, password, installare software dannosi e persino distribuire malware ai tuoi utenti.

Peggio, potresti ritrovarti a pagare il ransomware agli hacker solo per riacquistare l’accesso al tuo sito web.

Passa il sito su Https/SSL

Una volta abilitata la crittografia SSL, il tuo sito web utilizzerà HTTPS invece di HTTP, vedrai anche un lucchetto accanto all’indirizzo del tuo sito web nel browser. I certificati SSL venivano generalmente emessi dalle autorità di certificazione e i loro prezzi partono da € 50 a centinaia di euro ogni anno.

A causa dei costi aggiuntivi che si dovevano applicare alla realizzazione di un sito, la maggior parte dei proprietari di siti Web ha, per un periodo, scelto di continuare a utilizzare il protocollo non sicuro. Per risolvere questo problema, un’organizzazione senza scopo di lucro chiamata Let’s Encrypt ha deciso di offrire certificati SSL gratuiti ai proprietari di siti web.

Il loro progetto è supportato da Google Chrome, Facebook, Mozilla e molte altre società. Ora quindi è più facile che mai iniziare a utilizzare SSL per tutti i tuoi siti Web WordPress. Molte società di hosting offrono ora un certificato SSL gratuito per il tuo sito Web WordPress. Se la tua società di hosting non ne offre uno, puoi averlo incluso in ognuno dei nostri piani Hosting.

Perché la sicurezza di WordPress è importante

A marzo 2016, Google ha riferito che oltre 50 milioni di utenti di siti Web sono stati avvisati della presenza di un malware o rubare informazioni nel sito che stanno per visitare.

Inoltre, Google inserisce in una lista nera circa 20.000 siti Web per malware e circa 50.000 per il phishing ogni settimana.

Se il tuo sito web è un azienda, devi prestare particolare attenzione alla sicurezza di WordPress.

Un pò come è responsabilità dei proprietari di un attività commerciale proteggere il proprio negozio fisico, come titolare di un’attività commerciale online è responsabilità del titolare proteggere il proprio sito web aziendale.

Aggiornare WordPress

WordPress è un software open source che viene regolarmente manutenuto e aggiornato. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori. Per le versioni principali, è necessario avviare manualmente l’aggiornamento.

WordPress ha anche migliaia di plugin e temi che puoi installare sul tuo sito web. Questi plugin e temi sono gestiti da sviluppatori di terze parti che rilasciano regolarmente aggiornamenti.

Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del tuo sito web WordPress. È necessario assicurarsi che il core, i plugin e il tema di WordPress siano aggiornati.

[Torna all’inizio ↑]

Password complesse e autorizzazioni utente

I più comuni tentativi di hacking di WordPress utilizzano password rubate. Puoi rendergli la vita difficile utilizzando password più forti che sono uniche per il tuo sito web. Non solo per l’area admin di WordPress, ma anche per account FTP, database, account di hosting WordPress e il tuo indirizzo email professionale.

Il motivo principale per cui ai principianti non piace l’utilizzo di password complesse è perché sono difficili da ricordare. La cosa buona è che non hai più bisogno di ricordare le password. È possibile utilizzare un sistema di gestione di password.

Un altro modo per ridurre il rischio è quello di non concedere alcun accesso al proprio account admin di WordPress a meno che non sia assolutamente necessario. Se hai un grande team o autori ospiti, assicurati di comprendere i ruoli utente e le funzionalità in WordPress prima di aggiungere nuovi utenti e autori al tuo sito WordPress.

Importanza di un Hosting solido

Il tuo servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del tuo sito WordPress. Un buon provider di hosting condiviso come WP-Hosting o Siteground prende le misure extra per proteggere i server contro le minacce comuni.

Tuttavia, su hosting condiviso condividi le risorse del server con molti altri clienti. Ciò apre il rischio di contaminazione tra siti. Un hacker può utilizzare un sito limitrofo per attaccare il tuo sito web.

L’utilizzo di un servizio di hosting WordPress gestito offre una piattaforma più sicura per il tuo sito web. Le società che forniscono Hosting managed WordPress, offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate per proteggere il proprio sito web

Leggi anche: Come trasferire un dominio

[Torna all’inizio ↑]

Sicurezza di WordPress in semplici passaggi (senza codifica)

Sappiamo che migliorare la sicurezza di WordPress può essere un pensiero terrificante per i principianti. Specialmente se non sei un tecnico. Indovina un pò non ti lasciamo solo.

Abbiamo aiutato migliaia di utenti di WordPress a rafforzare la sicurezza di WordPress.

Ti mostreremo come migliorare la sicurezza di WordPress con pochi clic (nessuna codifica richiesta).

Se riesci a puntarci il mouse e fare clic, puoi farlo!

Installa una soluzione di backup di WordPress

I backup sono la tua prima difesa contro qualsiasi attacco a WordPress. Ricorda, nulla è sicuro al 100%. Se i siti web governativi possono essere violati, allora anche i tuoi possono.
I backup consentono di ripristinare rapidamente il tuo sito Web nel caso in cui dovesse accadere qualcosa di brutto.

Esistono molti plug-in di backup WordPress gratuiti e a pagamento che è possibile utilizzare. La cosa più importante che devi sapere quando si tratta di backup è che devi salvare regolarmente i backup di tutto il sito in una posizione remota (non dentro il tuo account di hosting).

Ti consigliamo di archiviarlo su un servizio cloud a se stante, come Amazon, Dropbox o cloud privati come Stash.

In base alla frequenza con cui si aggiorna il sito Web, l’impostazione ideale potrebbe essere una volta al giorno o backup in tempo reale.

Per fortuna questo può essere fatto facilmente usando plugin come VaultPress o BackupBuddy. Sono entrambi affidabili e soprattutto facili da usare (non è necessaria alcuna conoscenza del codice).

[Torna all’inizio ↑]

Il miglior plugin per la sicurezza di WordPress

Dopo i backup, la prossima cosa che dobbiamo fare è impostare un sistema di controllo e monitoraggio che tenga traccia di tutto ciò che accade sul tuo sito web.

Ciò include il monitoraggio dell’integrità dei file, i tentativi di accesso non riusciti, la scansione di malware, ecc.

Per fortuna, tutto questo può essere preso in carico dal miglior plugin di sicurezza gratuito per WordPress, Sucuri Scanner.

È necessario installare e attivare il plug-in gratuito di Sucuri Security. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin per WordPress.

Dopo l’attivazione, devi accedere al menu Sucuri nel tuo pannello di amministrazione WordPress.La prima cosa che ti verrà chiesto di fare è generare una chiave API gratuita. Ciò consente la registrazione di controllo, il controllo dell’integrità, gli avvisi di notifica e-mail e altre importanti funzionalità.

La seconda cosa che devi fare è cliccare sulla scheda “Harden”dal menu Sucuri. Tralascia ogni opzione e fai clic sul pulsante “Harden”.

Queste opzioni ti aiutano a sbarrare le aree chiave che gli hacker spesso usano nei loro attacchi per bucare un sito web. L’unica opzione di Hardening che ha un aggiornamento a pagamento è il Web Application Firewall che spiegheremo nel passaggio successivo, quindi saltalo per ora.

Abbiamo anche trattato molte di queste opzioni di “Hardening” (che sta per rendere solido )più avanti in questo articolo per coloro che vogliono farlo senza utilizzare un plug-in o quelli che richiedono passaggi aggiuntivi come la “Modifica del prefisso del database” o “Modifica del nome utente dell’amministratore”.

Dopo la parte di hardening, la maggior parte delle impostazioni di default di questo plugin sono buone e non necessitano di modifiche. L’unica cosa che raccomandiamo di personalizzare è l’Email Alert.

Le impostazioni di avviso predefinite possono ingombrare la tua casella di posta con e-mail. Ti consigliamo di ricevere solo avvisi per azioni chiave, come modifiche ai plug-in, nuove registrazioni utente, ecc. Puoi configurare gli avvisi andando su Impostazioni Sucuri »Alert.

Questo plugin per la sicurezza di WordPress è molto potente, quindi sfoglia tutte le schede e le impostazioni per vedere tutto ciò che fa, come la scansione dei malware, i registri di controllo, il tentativo di accesso fallito, il monitoraggio, ecc.

Attiva Web Application Firewall (WAF)

Il modo più semplice per proteggere il tuo sito Web e avere fiducia nella sicurezza di WordPress è utilizzare un firewall per applicazioni Web (WAF). Il firewall blocca tutto il traffico malevolo prima ancora che raggiunga il tuo sito web.

Usiamo e raccomandiamo Sucuri come il miglior firewall per applicazioni Web per WordPress. Puoi leggere come Sucuri ci ha aiutato a bloccare 450.000 attacchi WordPress in un mese.

La parte migliore del firewall di Sucuri è che include anche una pulizia del malware e la garanzia di rimozione dalla lista nera. Fondamentalmente se dovessi essere hackerato sotto il loro sistema di sicurezza, essi garantiscono che correggeranno il tuo sito web (indipendentemente da quante pagine hai).

Questa è una garanzia piuttosto forte perché la riparazione di siti Web compromessi è costosa. Gli esperti di sicurezza normalmente richiedono circa 250 € all’ora. Mentre puoi ottenere l’intero stack di sicurezza di Sucuri per circa $ 199 all’anno.

Migliora la sicurezza di WordPress con il firewall Sucuri »

Sucuri non è l’unico fornitore di firewall in circolazione. L’altro concorrente popolare è Cloudflare.

[Torna all’inizio ↑]

Sicurezza WordPress per utenti fai-da-te

Se fai tutto ciò che abbiamo menzionato finora, allora sei in una buona forma.
Ma come sempre, puoi fare di più per rafforzare la sicurezza di WordPress.

Alcuni di questi passaggi potrebbero richiedere alcune competenze nella modifica del codice.

Cambia il nome utente “admin” predefinito

In passato, il nome utente admin di WordPress predefinito era “admin”. Poiché i nomi utente rappresentano metà delle credenziali di accesso, questo ha reso più facile agli hacker fare attacchi a forza bruta.

Fortunatamente, WordPress ha cambiato questo e ora richiede di selezionare un nome utente personalizzato al momento dell’installazione di WordPress.

Tuttavia, alcuni programmi di installazione di WordPress con un clic, impostano ancora il nome utente amministratore predefinito su “admin”. Se noti che questo è il caso, allora è probabilmente una buona idea cambiare il tuo hosting web.

Poiché WordPress non ti consente di modificare i nomi utente per impostazione predefinita, sono disponibili tre metodi per modificare il nome utente.

Crea un nuovo nome utente amministratore ed elimina quello vecchio.
Usa il plugin Username Changer
Aggiorna nome utente da phpMyAdmin

Abbiamo esaminato tutti e tre questi aspetti nella nostra guida dettagliata su come modificare correttamente il nome utente di WordPress (passo dopo passo).

Nota: stiamo parlando del nome utente chiamato “admin”, non del ruolo di amministratore.

[Torna all’inizio ↑]

Disabilita modifica file

WordPress è dotato di un editor di codice integrato che ti consente di modificare i tuoi file di temi e plug-in direttamente dall’area di amministrazione di WordPress. Nelle mani sbagliate, questa funzione può rappresentare un rischio per la sicurezza, motivo per cui è consigliabile disattivarla.

Puoi farlo facilmente aggiungendo il seguente codice nel tuo file wp-config.php.

In alternativa, puoi farlo con 1-clic usando la funzione Hardening nel plugin Sucuri gratuito che abbiamo menzionato sopra.

[Torna all’inizio ↑]

Disabilita esecuzione file PHP

Disabilitare l’esecuzione di file PHP in alcune directory di WordPress
Un altro modo per rafforzare la sicurezza di WordPress consiste nel disabilitare l’esecuzione di file PHP nelle directory in cui non è necessario, come / wp-content / uploads /.

Puoi farlo aprendo un editor di testo come Blocco note e incollare questo codice:

<Files *.php>
deny from all
</Files>

Successivamente, devi salvare questo file come .htaccess e caricarlo in / wp-content / uploads / folders sul tuo sito web usando un client FTP.

Per una spiegazione più dettagliata, consulta la nostra guida su come disabilitare l’esecuzione di PHP in determinate directory di WordPress

In alternativa, puoi farlo con 1-clic usando la funzione Hardening nel plugin Sucuri gratuito che abbiamo menzionato sopra.

[Torna all’inizio ↑]

Limitare i tentativi di accesso

Per impostazione predefinita, WordPress consente agli utenti di provare a effettuare il login quante volte desiderano. Questo lascia il tuo sito WordPress vulnerabile agli attacchi di forza bruta. Gli hacker tentano di crackare le password tentando di accedere con combinazioni diverse.

Questo può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può effettuare. Se stai usando il firewall dell’applicazione web menzionato in precedenza, questo verrà automaticamente risolto.

Tuttavia, se non si dispone della configurazione del firewall, quindi procedere con i passaggi seguenti.

Innanzitutto, è necessario installare e attivare il plug-in LockDown di accesso. Per ulteriori dettagli, consulta la nostra guida passo passo su come installare un plug-in di WordPress.

[Torna all’inizio ↑]

Modifica il prefisso del database di WordPress

Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle nel database di WordPress. Se il tuo sito WordPress utilizza il prefisso del database predefinito, allora è più facile per gli hacker indovinare qual è il nome della tua tabella. Questo è il motivo per cui ti consigliamo di cambiarlo.

È possibile modificare il prefisso del database seguendo il nostro tutorial passo passo su come modificare il prefisso del database di WordPress per migliorare la sicurezza.

Nota: questo può rompere il tuo sito se non è fatto correttamente. Procedi solo, se ti senti a tuo agio con le tue capacità di codifica.

[Torna all’inizio ↑]

Proteggi con password l’Admin di WordPress e la pagina di accesso

Password che protegge wp-adminIMG

Normalmente, gli hacker possono richiedere la tua cartella wp-admin e la pagina di accesso senza alcuna restrizione. Ciò consente agli hacker di provare i loro trucchi per l’hacking o eseguire attacchi DDoS.
È possibile aggiungere un’ulteriore protezione tramite password lato del server che bloccherà effettivamente tali richieste.

[Torna all’inizio ↑]

Disabilita indicizzazione di directory e browsing
Esplorazione delle directory

La navigazione nelle directory può essere utilizzata dagli hacker per scoprire se hai dei file vulnerabili, in modo che possano trarre vantaggio da questi file per ottenere l’accesso al sito web.

La navigazione nelle directory può essere utilizzata anche da altre persone per esaminare i file, copiare le immagini, scoprire la struttura della directory e altre informazioni. Questo è il motivo per cui si consiglia vivamente di disattivare l’indicizzazione e navigazione delle directory.

Devi connetterti al tuo sito web usando FTP o il file manager di cPanel. Quindi, individua il file .htaccess nella directory principale del tuo sito web.

Dopodiché, devi aggiungere la seguente riga alla fine del file .htaccess:

Options -Indexes

Non dimenticare di salvare e caricare il file .htaccess sul tuo sito.

Disabilita XML-RPC in WordPress

XML-RPC è stato abilitato di default in WordPress 3.5 perché aiuta a connettere il tuo sito WordPress con applicazioni web e mobili.

Tuttavia, a causa della sua natura potente, XML-RPC può amplificare in modo significativo il rischio di attacchi Brute force.

Ad esempio, tradizionalmente se un hacker volesse provare 500 password diverse sul tuo sito web, dovrebbe effettuare 500 tentativi di accesso separati che verranno catturati e bloccati dal plug-in di blocco dei tentativi login.

Ma con XML-RPC, un hacker può usare la funzione system.multicall per provare migliaia di password con diciamo 20 o 50 richieste.

Questo è il motivo per cui se non stai usando XML-RPC, ti consigliamo di disabilitarlo.

Esistono 3 modi per disattivare XML-RPC in WordPress e presto inseriremo un articolo in merito.

Suggerimento: il metodo .htaccess è il migliore perché è il meno dispendioso in termini di risorse.

Se stai usando il firewall dell’applicazione Web menzionato in precedenza, questo può essere risolto via firewall.

Disconnetti automaticamente gli utenti inattivi in WordPress

Gli utenti connessi possono a volte allontanarsi dallo schermo e questo rappresenta un rischio per la sicurezza. Qualcuno può dirottare la loro sessione, cambiare la password o apportare modifiche al loro account.

Questo è il motivo per cui molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. Puoi implementare funzionalità simili anche sul tuo sito web WordPress.

Sarà necessario installare e attivare il plug-in di disconnessione utente inattivo. Dopo l’attivazione, vai su Impostazioni »Pagina logout utente Idle e impostare i tempi di disattivazione per configurare le impostazioni del plug-in.

Basta impostare la durata e deselezionare la casella accanto all’opzione ‘Disabilita in wp admin’ per una maggiore sicurezza. Non dimenticare di fare clic sul pulsante Salva modifiche per memorizzare le tue impostazioni.

Per istruzioni più dettagliate, presto creeremo guida su come disconnettere automaticamente gli utenti inattivi in WordPress.

[Torna all’inizio ↑]

Aggiungi domande di sicurezza alla schermata di accesso di WordPress

Domande di sicurezza sulla schermata di accesso

L’aggiunta di una domanda di sicurezza alla schermata di accesso di WordPress rende ancora più difficile ottenere accesso non autorizzato.

È possibile aggiungere domande di sicurezza installando il plug-in WP Security Questions. Dopo l’attivazione, è necessario visitare la pagina Impostazioni »Domande di sicurezza per configurare le impostazioni del plugin.

Per istruzioni più dettagliate, presto creeremo un tutorial su come aggiungere domande di sicurezza alla schermata di accesso di WordPress.

[Torna all’inizio ↑]

Aggiustare un sito Web WordPress hackerato

Molti utenti di WordPress non si rendono conto dell’importanza dei backup e della sicurezza del sito Web fino a quando il loro sito non viene violato.

Ripulire un sito WordPress può essere molto difficile e richiede molto tempo. Il nostro primo consiglio sarebbe lasciare che un professionista si prenda cura della cosa.

Gli hacker installano backdoor sui siti interessati e se queste backdoor non sono riparate in modo corretto, il tuo sito Web rischia di essere nuovamente compromesso.

Consentire a una società di sicurezza professionale come Sucuri di correggere il tuo sito Web garantirà che il tuo sito sia sicuro da riutilizzare. Ti proteggerà anche da eventuali attacchi futuri.

Per gli utenti avventurosi e fai da te, abbiamo compilato una guida passo passo sulla riparazione di un sito di WordPress compromesso che presto pubblicheremo.

Questo è tutto, ci auguriamo che questo articolo ti abbia aiutato a conoscere le migliori pratiche per la sicurezza WordPress e a scoprire i migliori plug-in di sicurezza di WordPress per il tuo sito web.

Guida alla sicurezza di WordPress

Quanto è sicuro WordPress?