19 modi per proteggere un sito Web (7 sono fondamentali!)

Pubblicato: 2022-08-20


Preoccupato per la sicurezza di WordPress?

Tu dovresti essere! Ma non preoccuparti troppo : se implementi alcune best practice per la sicurezza del sito Web WordPress sul tuo sito, puoi essere certo che il tuo sito non avrà problemi.

WordPress è sicuro. Ma le azioni intraprese dagli utenti (e i plugin che gli utenti installano) possono introdurre tutti i tipi di vulnerabilità di WordPress.

Per evitare di commettere quegli errori, tutto ciò che devi fare è seguire i suggerimenti in questo post.

Per rendere questo post il più fruibile possibile, divideremo i nostri suggerimenti per la sicurezza di WordPress in due categorie:

Sette best practice per la sicurezza di WordPress ASSOLUTAMENTE DA SEGUIRE

Se non prendi nient'altro da questo post, ti consiglio di implementare almeno queste sette migliori pratiche di sicurezza di WordPress sul tuo sito.

Se non stai facendo queste sette cose, stai aprendo il tuo sito a enormi vulnerabilità.

1. Applicare gli aggiornamenti di core e plug-in il prima possibile

Una delle cose migliori in assoluto che puoi fare per mantenere sicuro WordPress è applicare sempre tempestivamente gli aggiornamenti al core, ai plugin e ai temi di WordPress.

Non importa quanto sia eccezionale un software, è naturale che vengano scoperte nuove vulnerabilità. Tuttavia, con un team di sviluppo di qualità, queste vulnerabilità verranno risolte prima che possano essere sfruttate da malintenzionati... a patto di applicare tempestivamente gli aggiornamenti!

Molti dei più recenti exploit diffusi di WordPress avrebbero potuto essere evitati se le persone avessero semplicemente aggiornato i loro siti .

Per essere avvisato di nuovi aggiornamenti, presta attenzione all'area Dashboard → Aggiornamenti nel tuo amministratore di WP.

L'applicazione degli aggiornamenti di WordPress è essenziale per la sicurezza di WordPress

Se sei preoccupato per problemi di compatibilità, puoi testare gli aggiornamenti su un sito di staging prima di applicarli al tuo sito live. Ti consigliamo inoltre di eseguire un backup prima di applicare gli aggiornamenti, ne parleremo più avanti.

Nota : l'unica eccezione a questa regola sono gli aggiornamenti principali, che si concentrano esclusivamente sull'aggiunta di nuove funzionalità e non includono correzioni di sicurezza. Puoi tranquillamente attendere alcune settimane per applicare questi importanti aggiornamenti.

  • Versione principale (funzionalità) – 5.0, 5.1, 6.0, ecc. – puoi aspettare per applicare questi aggiornamenti.
  • Versione minore (correzioni di sicurezza/bug ) – 5.0.1, 5.1.2, 6.0.4, ecc. – Devi SEMPRE applicarli il prima possibile.

2. Usa solo plugin e temi di sviluppatori affidabili (e nessun plugin annullato)

Sebbene il software principale di WordPress sia sicuro, non si può dire lo stesso di ogni singolo plugin e tema ( per lo più plugin ).

Aggiungendo nuovo codice e modificando la funzionalità del tuo sito, i plugin possono introdurre ogni tipo di vulnerabilità.

Allo stesso tempo, non utilizzare i plug-in non è davvero un'opzione poiché i plug-in sono parte integrante di ogni sito WordPress.

Di conseguenza, è importante concentrarsi solo sull'utilizzo di plugin e temi di sviluppatori affidabili con un track record di buona qualità del codice e una rapida manutenzione.

Cioè, fai attenzione a quali plugin installi sul tuo sito .

Ecco alcuni suggerimenti per aiutarti a utilizzare solo plugin e temi di alta qualità:

  • Leggi le recensioni . Recensioni scarse potrebbero indicare una cattiva qualità del codice.
  • Controllare il conteggio delle installazioni attive . Sebbene questa non sia una regola rigida, è generalmente più probabile che i plugin popolari ricevano attenzione.
  • Controlla gli aggiornamenti recenti . Avere uno sviluppatore attivo è importante per correggere eventuali vulnerabilità scoperte di recente.
  • Non installare plugin non necessari . Poiché ogni plug-in che installi è un potenziale vettore di attacco, dovresti installare solo i plug-in importanti per il tuo sito.

Abbiamo anche una guida completa sulla scelta dei plugin di WordPress.

Infine, vorrai anche evitare i plug-in annullati perché non sai quale codice è stato aggiunto al plug-in.

3. Usa un hosting WordPress sicuro

La scelta di un provider di hosting WordPress di qualità può fare molto per garantire la sicurezza del tuo sito.

Prima di tutto, un provider di hosting WordPress di qualità assicurerà che il tuo ambiente sia ottimizzato per la sicurezza di WordPress, come autorizzazioni di file appropriate e un file wp-config.php sicuro.

Molti host WordPress integrano anche protezioni più proattive, come firewall integrati o scansione di malware.

Alcuni host WordPress gestiti puliranno anche il tuo sito gratuitamente se dovesse succedergli qualcosa.

Fondamentalmente, con un host di qualità (soprattutto un host WordPress gestito), si prenderanno cura di molte di queste migliori pratiche in modo che tu possa concentrarti solo sulla crescita del tuo sito.

Per trovare alcune opzioni di qualità, dai un'occhiata ai nostri post con il miglior hosting WordPress gestito e il miglior hosting WordPress in generale.

Se te lo puoi permettere, considera opzioni come Flywheel (quello che usiamo per WPKube - la nostra recensione sul volano) o Kinsta (la nostra recensione su Kinsta).

Un host di qualità può implementare suggerimenti per la sicurezza del sito Web WordPress

4. Blocca la tua pagina di accesso e l'accesso all'account

Tutti i suggerimenti sulla sicurezza di WordPress nel mondo non possono aiutarti se un attore malintenzionato è in grado di accedere a uno dei tuoi account utente WordPress legittimi ( in particolare un account amministratore ).

Pensaci nel mondo reale: potresti avere il miglior sistema di sicurezza domestica in assoluto al mondo, ma non farà nulla se un ladro ha la chiave di casa e il codice di sicurezza.

Ciò significa che è essenziale trovare modi per proteggere il processo di accesso e gli account utente del tuo sito WordPress.

Per iniziare, ti consigliamo di utilizzare le credenziali dell'account forti:

  • Nome utente : non utilizzare mai "admin" come nome utente. Invece, scegli un nome utente univoco che non usi da nessun'altra parte.
  • Password : usa una password forte e univoca. Per ottenere i migliori risultati, usa un gestore di password come LastPass o Bitwarden per generare password univoche per ogni sito.

Oltre a ciò, puoi anche utilizzare tattiche per proteggere la pagina di accesso di WordPress:

  • Modifica l'URL di accesso : questo riduce anche molto traffico di bot. Come? Usa il plug-in WPS Hide Login gratuito.
  • Limita i tentativi di accesso : blocca temporaneamente un indirizzo IP se effettua troppi tentativi di accesso errati (proprio come fanno le banche). Come? Usa il plugin gratuito Limit Login Tentativi Reloaded.
  • Richiedi l'autenticazione a due fattori (2FA) : consente alle persone di inserire un codice da un'app di autenticazione, SMS o e-mail oltre alle proprie credenziali. Come? Usa plugin gratuiti come WP 2FA o Two-Factor.
Un esempio di limitazione dei tentativi di accesso su WordPress

Tutti i siti dovrebbero modificare l'URL di accesso e limitare i tentativi di accesso, ma l'utilizzo dell'autenticazione a due fattori di WordPress è davvero necessario solo per i siti mission-critical.

5. Installa un certificato SSL e usa HTTPS

Un certificato SSL ti consente di utilizzare HTTPS sul tuo sito anziché HTTP.

Con HTTPS, tutti i dati che passano tra il tuo browser e il tuo server vengono crittografati. Oltre a essere generalmente buono per la privacy, questo è essenziale per proteggere dati importanti come nome utente e password.

Senza HTTPS, un attore malintenzionato sulla tua rete Internet può vedere tutti i dati che passano tra il tuo browser e il tuo sito. Ad esempio, se accedi al tuo sito presso la tua caffetteria locale utilizzando HTTP, qualcuno su quella rete potrebbe vedere il tuo nome utente e password in chiaro.

Quando usi HTTPS, tuttavia, il tuo nome utente e password (insieme a tutti gli altri dati) sono crittografati in modo sicuro, il che significa che gli attori malintenzionati vedrebbero solo un gruppo di caratteri casuali.

Utilizzo di WordPress HTTPS

Al giorno d'oggi, la maggior parte dei provider di hosting WordPress di qualità offre certificati SSL gratuiti.

Dopo aver installato un certificato SSL tramite la dashboard di hosting, puoi configurare il tuo sito per utilizzare HTTPS. Se hai bisogno di aiuto per spostare il tuo sito su HTTPS, il plug-in SSL gratuito Really Simple offre una configurazione con un clic.

Segui la nostra guida HTTPS di WordPress per maggiori dettagli.

6. Utilizzare le versioni PHP supportate

WordPress è scritto nel linguaggio di programmazione PHP. Tuttavia, ci sono diverse versioni di PHP che puoi utilizzare sul tuo account di hosting.

Le versioni precedenti di PHP non ricevono più manutenzione, il che significa che possono avere problemi di sicurezza senza patch.

A partire dal 2022, la versione PHP più vecchia che riceve aggiornamenti di sicurezza è PHP 7.4. Tuttavia, a partire dal 2023, ti consigliamo di utilizzare almeno PHP 8.0.

Puoi controllare il supporto della versione corrente di PHP in questa pagina.

Supporto PHP per WordPress

Come bonus aggiuntivo, le versioni più recenti di PHP offrono anche grandi miglioramenti delle prestazioni, il che significa che il tuo sito si caricherà più velocemente oltre ad essere più sicuro.

Se non sei sicuro di come aggiornare PHP, puoi chiedere il supporto del tuo host. Abbiamo anche una guida su come aggiornare PHP sui popolari host WordPress.

7. Esegui regolarmente il backup del tuo sito

Il backup del tuo sito non impedirà che si verifichino problemi di sicurezza sul tuo sito. Tuttavia, eviterà che i problemi di sicurezza si trasformino in problemi più grandi.

Senza un backup, qualsiasi incidente di sicurezza sul tuo sito può essere assolutamente devastante. Potresti perdere dati, avere molti tempi di inattività e così via.

Con un backup recente, tuttavia, il caso peggiore di un incidente di sicurezza è in genere che devi solo ripristinare il backup pulito del tuo sito. Ancora fastidioso, ma molto meno catastrofico.

Se il tuo host non offre già backup automatici sicuri, strumenti a pagamento come Jetpack Backup o BlogVault offrono il modo più semplice per abilitare backup sicuri fuori sede.

Se non hai il budget per pagare uno strumento, UpdraftPlus è anche un'ottima opzione gratuita: assicurati di collegarlo a un provider di archiviazione esterno come Google Drive o Amazon S3.

Ecco il nostro post completo sui migliori plugin di backup di WordPress.

Dodici suggerimenti aggiuntivi per rafforzare la sicurezza di WordPress

Se implementi fedelmente le migliori pratiche di sicurezza del sito Web WordPress da seguire di cui sopra, eviterai il 99% dei problemi sul tuo sito.

Tuttavia, se vuoi rinforzare ulteriormente le cose, ci sono alcuni suggerimenti per rafforzare ulteriormente che puoi implementare per proteggere ulteriormente il tuo sito.

8. Configurare un firewall

Un firewall può proteggere in modo proattivo il tuo sito dalle minacce bloccando il traffico o le azioni dannose prima che possano influenzare il tuo sito o server.

Molti host implementano già i propri firewall, motivo per cui questo potrebbe non essere un must per i siti se utilizzi un hosting WordPress di qualità ( vedi sopra ).

Se il tuo host non lo fa (o se vuoi più protezione), puoi aggiungere un firewall a livello di applicazione con un plugin come Wordfence o a livello di DNS con un servizio come Cloudflare o Sucuri.

9. Usa un plugin di sicurezza per WordPress

Puoi creare siti WordPress sicuri senza un plug-in di sicurezza dedicato, quindi un plug-in di sicurezza non è assolutamente necessario per creare un sito sicuro.

Detto questo, un plug-in di sicurezza può ancora essere utile per alcuni motivi:

  1. I plug-in di sicurezza possono offrire firewall in tempo reale per la protezione dalle minacce emergenti.
  2. Un plug-in di sicurezza di qualità semplificherà l'implementazione di molti altri suggerimenti di rafforzamento in questo elenco, che possono semplificarti le cose e farti risparmiare tempo.

In caso di dubbio, il plug-in Wordfence è un'ottima opzione per iniziare. Puoi trovare più opzioni nella nostra raccolta completa dei migliori plugin di sicurezza per WordPress.

10. Nascondi la versione di WordPress

Nascondere il numero di versione di WordPress aggiunge una quantità trascurabile di "sicurezza per oscurità" rendendo leggermente più difficile per i malintenzionati rilevare il numero di versione del tuo sito.

Per nasconderlo, puoi aggiungere il seguente codice al file functions.php del tuo tema figlio o un plug-in come Code Snippets.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

Se vuoi andare oltre, abbiamo una guida su come nascondere che il tuo sito utilizza WordPress.

11. Controlla le autorizzazioni dei file

Se stai utilizzando un host di qualità, le autorizzazioni dei file del tuo sito dovrebbero essere già corrette. Tuttavia, potrebbe valere la pena ricontrollare perché è importante disporre delle autorizzazioni file corrette.

Per saperne di più, consulta la nostra guida completa ai permessi dei file di WordPress.

12. Utilizzare solo connessioni sicure per FTP

Ogni volta che ti connetti al tuo sito tramite FTP o altre tecnologie, assicurati di utilizzare protocolli sicuri come SFTP.

Proprio come HTTPS protegge i dati che si spostano tra il tuo browser e il tuo sito web, SFTP protegge la connessione tra il tuo client FTP e il tuo server.

Dovresti anche evitare di memorizzare le tue password FTP nel tuo client FTP, a meno che tali password non siano crittografate in modo sicuro.

13. Imposta la registrazione delle attività

La registrazione delle attività ti consente di tenere traccia di ciò che gli utenti fanno nella dashboard, il che può aiutarti a rilevare attività sospette (soprattutto se concedi ad altri utenti l'accesso alla dashboard).

Registrazione delle attività di WordPress per la sicurezza del sito web

Per configurarlo, puoi utilizzare un plug-in come WP Activity Log. Abbiamo un tutorial su come impostare la registrazione delle attività, oltre a un coupon esclusivo WP Activity Log per farti risparmiare un po' di soldi.

14. Eseguire scansioni di sicurezza/malware regolari

Anche se il tuo sito non dovrebbe presentare problemi se hai implementato le migliori pratiche di cui sopra, è comunque una buona pratica eseguire periodicamente scansioni di malware/sicurezza sul tuo sito.

Per verificare eventuali problemi sul frontend del tuo sito, puoi utilizzare lo strumento gratuito Sucuri SiteCheck.

Per eseguire una scansione completa dei file del tuo server, puoi prendere in considerazione strumenti come MalCare o Wordfence.

Il tuo host WordPress potrebbe anche eseguire le proprie scansioni malware giornaliere, il che potrebbe rendere ridondanti questi strumenti.

15. Disabilita XML-RPC

XML-RPC aiuta gli strumenti esterni a connettersi al tuo sito WordPress, come l'app desktop WordPress.

Tuttavia, se non stai utilizzando questi strumenti, aggiunge semplicemente un vettore di attacco non necessario al tuo sito. Per disabilitarlo completamente, puoi utilizzare il plug-in Disable XML-RPC gratuito.

16. Blocca collegamento rapido

L'hotlinking è quando qualcuno incorpora il contenuto dal tuo server sul proprio sito (ad esempio un'immagine). Può influire sulla sicurezza del tuo sito prosciugando le risorse del tuo server senza la tua autorizzazione.

Per bloccare l'hotlinking, puoi aggiungere del codice al file .htaccess del tuo sito.

Per generare il codice .htaccess necessario per bloccare l'hotlinking, puoi utilizzare questo strumento gratuito. Ti consentirà di inserire in una lista sicura alcuni provider di hotlinking (come Google Image Search), bloccandone altri.

17. Modifica il prefisso del database di WordPress

La modifica del prefisso del database di WordPress aggiunge una piccola quantità di "sicurezza per oscurità", anche se alcuni esperti (incluso Wordfence) affermano che i vantaggi della sicurezza sono piuttosto banali.

Se hai un sito WordPress esistente, non consiglio di farlo perché i rischi di rompere il tuo sito superano i potenziali vantaggi in termini di sicurezza.

Tuttavia, se stai configurando un nuovo sito WordPress, potresti anche utilizzare un prefisso di database personalizzato, anche se non ha un grande effetto.

18. Disabilita l'esecuzione del file PHP nella cartella wp-content/uploads

Puoi bloccare alcuni attacchi edge case disabilitando l'esecuzione di file PHP nella cartella wp-content/uploads .

Ecco come:

  1. Usa Blocco note per creare un nuovo file .htaccess.
  2. Aggiungi lo snippet di codice qui sotto.
  3. Carica quel file nella cartella wp-content/uploads .
 <Files *.php> deny from all </Files>

19. Disabilita la modifica del codice nella dashboard

Per impostazione predefinita, WordPress ti consente di modificare i file di temi e plug-in dalla dashboard di WordPress, il che consentirebbe a un utente malintenzionato di aggiungere codice dannoso se mai avesse accesso a un account amministratore.

Per evitare ciò, puoi disabilitare la modifica dei file aggiungendo questo snippet al tuo file wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Domande frequenti sulla sicurezza del sito Web WordPress

Per concludere, ecco alcune domande comuni sulla sicurezza di WordPress.

WordPress ha problemi di sicurezza?

WordPress stesso non ha problemi di sicurezza, ma l'installazione di plugin sul tuo sito può introdurre vulnerabilità di sicurezza, specialmente nel caso di plugin mal codificati e/o mantenuti.

WordPress è facilmente hackerato?

La stragrande maggioranza dei siti WordPress viene violata a causa di un errore dell'utente, non a causa del software stesso. Seguire alcune best practice di sicurezza essenziali renderà il tuo sito molto difficile da hackerare.

Puoi rendere sicuro WordPress?

Si assolutamente. Finché segui le migliori pratiche, WordPress può essere molto sicuro. C'è una ragione per cui così tanti grandi marchi si fidano di WordPress.

Hai bisogno di un plugin di sicurezza per WordPress?

Puoi creare un sito WordPress sicuro senza un plug-in di sicurezza completo. Tuttavia, questi plug-in possono semplificare il processo di implementazione delle migliori pratiche di rafforzamento della sicurezza e darti accesso a funzioni utili come firewall e scansione di sicurezza.

Implementa oggi queste best practice per la sicurezza di WordPress

Se non prendi nient'altro da questo post, spero che tu implementi almeno i sette suggerimenti per la sicurezza di WordPress da seguire dall'alto.

Se fai solo queste sette cose, puoi essere certo che eviterai il 99,9% dei problemi di sicurezza sul tuo sito.

Se desideri una protezione ancora migliore, puoi continuare e implementare tutti i 19 suggerimenti in questo elenco.

Hai ancora domande sulla sicurezza di WordPress? Fateci sapere nei commenti!