Una guida completa su come proteggere il tuo sito WordPress.

Pubblicato: 2018-10-16
La maggior parte delle persone, quando iniziano a progettare e sviluppare il proprio sito Web, si preoccupano principalmente di far funzionare le cose nel modo desiderato e di far sì che il sito abbia un aspetto eccezionale. La sicurezza di WordPress non è una delle loro preoccupazioni principali.

Questo è divertente perché quasi tutti hanno sentito o letto dell'hacking, ma quando si tratta dei nostri siti, in qualche modo ci aspettiamo che non succeda a noi. Perché perché un hacker dovrebbe essere interessato a una piccola parte della nostra attività locale, giusto? Sbagliato. La sicurezza di WordPress è molto importante e, quindi, il tuo sito Web WordPress deve essere adeguatamente protetto e fissato. Diamo un'occhiata ai motivi per cui!

Perché e come fa un hacker ad hackerare il tuo sito?

È importante comprendere il ragionamento alla base di un hack di un sito Web prima di discutere i modi per impedire che accada. Possono esserci diversi motivi per cui un hacker sarebbe interessato al tuo sito web, anche se si tratta di un sito di piccole imprese o anche di un blog personale.

I due motivi principali per cui un sito viene violato sono: uno, per ragioni politiche come sfigurare i siti Web per presentare e distribuire contenuti che supportano una particolare ideologia o gruppo.

L'altro è finalizzato a fare soldi con mezzi fraudolenti. Come funziona, il sito Web violato viene utilizzato come intermediario per distribuire software dannoso e, nella maggior parte dei casi, il proprietario del sito non ne viene nemmeno a conoscenza.

Questo è il mercato nero online che opera attraverso siti compromessi. Il tuo sito web ha il potenziale per diventare una parte coinvolta in attività criminali!

Le altre ripercussioni negative oltre a queste sono:

  • Un sito Web violato e deturpato si tradurrà in offuscare la reputazione del tuo marchio e causerà anche grave imbarazzo.
  • I siti compromessi di solito vengono bloccati dal server di hosting, con conseguente perdita di attività.
  • Il tuo sito, se tagliato, può essere utilizzato come proxy di spamming.
  • Il costo di ripristino può essere molto elevato se il backup del tuo sito Web non viene eseguito.

Ora che abbiamo brevemente stabilito il motivo per cui il tuo sito potrebbe essere violato, diamo un'occhiata a come un hacker troverebbe e prenderebbe di mira il tuo particolare sito tra i milioni disponibili online.

Deve essere altamente improbabile che un hacker prenda di mira il tuo sito, giusto? Dopotutto, è solo una goccia nell'oceano dei siti web. Bene, scusa se ho fatto scoppiare la tua bolla ma è sbagliato!

L'hacking non viene eseguito manualmente. Gli hacker utilizzano robot/programmi la cui unica funzione è quella di cercare siti Web vulnerabili. Questi programmi di solito vengono eseguiti su server cloud, dove vengono impostati e distrutti secondo necessità, lasciando poche o nessuna traccia. Sono costruiti per scoprire migliaia di siti Web ogni ora. Quando trova un sito, viene ricercato per le vulnerabilità, che vengono continuamente trovate in WordPress e nei suoi plugin. Possono anche essere causati da errori umani come l'utilizzo di password facili da indovinare o un hosting inaffidabile o inaffidabile.

Proteggere il tuo sito WordPress, quindi, non è un'opzione ma una necessità e siamo qui per aiutarti durante il processo!

La tua guida per proteggere WordPress

Entro la fine del lungo elenco di misure di sicurezza che seguono, sarai attrezzato per garantire il tuo sito Web WordPress completamente garantito. Quando si tratta di proteggere i siti Web, tutti devono adottare misure primarie specifiche.

Queste sono cose non trascurabili e per lo più semplici che faranno molto e manterranno il tuo WordPress ragionevolmente sicuro. Poi c'è un'altra serie di misure per quelli di voi che sono molto paranoici sulla sicurezza del proprio sito Web e non si preoccupano di fare un passo in più per mantenerlo estremamente sicuro.

Discutiamo prima la prima serie di misure, ovvero le attività di sicurezza necessarie che tutti i proprietari di siti Web dovrebbero eseguire:

Modifica il nome utente predefinito

Uno dei modi più semplici e veloci per proteggere il tuo WordPress è cambiare il nome utente "Admin" predefinito in qualcosa che non è facile da indovinare. Idealmente, dovresti cambiare il tuo nome utente amministratore durante l'installazione di WordPress stesso, ma se non lo hai fatto, puoi rinominarlo usando phpMyAdmin o eseguendo uno script Standardized Query Language sul tuo database.

Ad ogni modo, questo semplice hack di sicurezza di WordPress aiuterà il tuo sito Web a schivare molti tentativi di hacking casuali.

Usa una password complessa e non riutilizzarla su piattaforme diverse

È noto agli hacker che noi, come esseri umani, cerchiamo di mantenere password identiche e sicure perché tendiamo a dimenticarle. I pirati sanno come trarne vantaggio e in genere hanno un elenco delle password più comunemente utilizzate che proveranno più e più volte finché non troveranno quella. Questa tecnica è chiamata forzatura bruta di una password. Quindi mantenere una password sicura e complessa è un semplice passo verso la protezione del tuo WordPress.

Un'altra cosa da tenere a mente è non riutilizzare mai le password. Quello che fa il riutilizzo delle password è che dà agli hacker l'accesso a tutto il resto dei tuoi account se anche uno di essi è compromesso. Sì, può essere scomodo e problematico per te ricordare così tante password complesse e diverse, ma per aiutarti, molti gestori di password sul mercato ti aiutano a archiviare e mantenere le tue password al sicuro. Suggeriamo di utilizzare questi.

Esegui sempre l'ultima versione di WordPress

È essenziale mantenere aggiornato il tuo WordPress perché, con ogni aggiornamento principale, WordPress risolve i problemi di sicurezza scoperti di recente. Molte volte, le persone disabilitano gli aggiornamenti principali di WordPress perché l'ultima versione potrebbe non essere compatibile con alcuni plugin. La cosa fondamentale da ricordare, tuttavia, è che un sito Web violato è molto più problematico di un plug-in temporaneamente interrotto.

Non modificare il core di WordPress

La modifica dei file sorgente principali di WordPress è un'idea terribile perché toglie la facilità di aggiornare automaticamente il tuo WordPress all'ultima versione, l'importanza di cui abbiamo discusso nel punto precedente. Se hai cambiato il core di WordPress, un aggiornamento alla versione più recente ti farà perdere queste modifiche.

Quindi cosa dovresti fare se desideri modificare la funzionalità di WordPress?

Scrivere un plugin è la risposta. Ti dà la libertà di fare quello che vuoi senza dover scendere a compromessi con il core di WordPress.

Lo stesso vale anche per temi e plugin. Qualsiasi tentativo di tweaking di base comporterà la perdita della capacità di aggiornare all'ultima versione. In tutto, ci sono sempre altri modi per ottenere la funzionalità che desideri e cambiare il core non è la strada da percorrere.

Assicurati che tutti i tuoi plugin e temi siano aggiornati

Il motivo alla base della necessità di aggiornare i tuoi plugin e le tue idee è lo stesso che sta dietro a mantenere aggiornato il tuo WordPress. È tua responsabilità mantenerli aggiornati all'ultima versione, indipendentemente dal fatto che tu lo faccia manualmente o automaticamente, per proteggere il tuo sito dagli attacchi di hacker.

Se stai utilizzando plug- in scaricati da WordPress.org, puoi abilitare gli aggiornamenti automatici in background e, per qualsiasi altro aggiornamento di plug-in commerciale, dovrai gestirlo tramite il loro meccanismo di plug-in. Inoltre, assicurati di mantenere sempre attive le tue iscrizioni ai plugin per ricevere gli ultimi aggiornamenti.

Ora, quando si tratta di aggiornare i tuoi temi , potresti preoccuparti di cosa accadrà a tutte le modifiche che hai apportato al tuo tema quando esegui un aggiornamento. Quello che dovresti fare mentre apporti modifiche ai temi è farlo tramite "temi secondari" piuttosto che apportare modifiche direttamente al tema reale.

Quando lo fai, puoi facilmente aggiornare i tuoi temi all'ultima versione senza perdere le modifiche apportate finora. Per verificare quali temi richiedono aggiornamenti, vai su "Aspetto" e poi "Temi" nel tuo WordPress. Puoi anche abilitare gli aggiornamenti automatici in background nello stesso modo in cui si fa con i plugin.

Scarica sempre plugin, temi e script solo dalla loro fonte ufficiale

Può essere allettante acquisire temi e plugin da fonti non ufficiali a un prezzo migliore o gratuitamente, ma non è un'idea intelligente farlo. Questo perché molti di questi temi e plug-in piratati vengono ingiustamente modificati dagli hacker per essere utilizzati come backdoor per eseguire i loro piani malvagi.

Dovresti sempre fare affidamento su siti sicuri per trovare plugin e temi di qualità per assicurarti che il tuo WordPress sia sicuro. Il più comune di questi è WordPress.org. Altri siti affidabili sono WordPress.com, ThemeForest.net, CodeCanyon.net, ecc.

Il tuo sito dovrebbe sempre eseguire l'ultima versione di PHP

PHP è il motore alla base di WordPress e presenta alcuni aggiornamenti di versione.

Ma secondo la pagina delle statistiche globali di WordPress, quasi l'80% delle installazioni di WordPress viene eseguito su versioni di PHP che non sono più supportate! Questo è motivo di preoccupazione perché in primo luogo, il tuo sito Web non beneficia delle funzionalità di prestazioni che escono con le ultime versioni e questo porta anche a non correggere eventuali problemi di sicurezza rilevati nella versione precedente.

Questo è il motivo per cui è essenziale assicurarsi che il tuo sito esegua l'ultima versione di PHP.

Durante l'aggiornamento del core di WordPress, i plugin e i temi sono un compito abbastanza chiaro. Gli aggiornamenti della versione PHP dipendono principalmente dal tuo server di hosting. Questo è uno dei motivi per cui è fondamentale scegliere un server di hosting sicuro . Ti renderà disponibili le ultime versioni di PHP con l'installazione di WordPress. Un servizio di hosting WordPress sicuro avrà anche un team proattivo il cui compito è verificare le ultime vulnerabilità a cui è esposto il tuo sito e intraprendere azioni per mitigarle.

Aggiorna il tuo sito solo attraverso reti affidabili

Chi non ama usare la connessione Wi-Fi gratuita in posti come l'aeroporto o anche un bar locale, giusto? Ma tieni presente che queste connessioni Open Wifi sono facili da spiare. Dovresti evitare di accedere al tuo sito di amministrazione di WordPress attraverso una rete del genere. E soprattutto quando si tratta di aggiornare il tuo sito web, usa sempre sistemi affidabili come quello di casa o dell'ufficio.

Usa un antivirus

Se si trova un virus sul tuo desktop, può diffondersi rapidamente replicandosi sul tuo sito web. Questo è uno schema generalmente utilizzato dai virus per infettare il tuo sito. Può quindi spiare e ottenere l'accesso alle tue password o persino ai tuoi dati bancari e personali. Questo è il motivo per cui dovresti assicurarti che la tua workstation utilizzi un antivirus affidabile e aggiornato.

Proteggi il tuo sito utilizzando i plugin di sicurezza di WordPress

Un plug-in di sicurezza ti consente di sapere a quali vulnerabilità è esposto il tuo sito e ti fornisce indicazioni su come risolverle. L'uso di un plug-in è un modo semplice ma sicuro per proteggere il tuo sito WordPress e richiede uno sforzo minimo o nullo da parte tua. Eseguono scansioni e ti forniscono una revisione dettagliata di eventuali problemi riscontrati all'interno del tuo sito web.

Alcuni plugin di sicurezza affidabili sono Total Security, Vulnerable Plugin Checker, iThemes Security Pro e Plugin Inspector.

Mantieni il backup del tuo sito

Se tutte le misure di cui sopra falliscono e la sicurezza del tuo sito è ancora compromessa, allora questo passaggio è ciò che ti salverà.

È essenziale creare e pianificare i backup per il tuo sito. Questi backup pianificati sono una parte indispensabile della politica di sicurezza di un sito perché assicura che se il tuo sito è compromesso, verrà ripristinato facilmente a una versione prima del danno.

Non solo nel caso di un hack, ma anche nel caso di un incidente o di un errore tecnico, avere dei backup ti assicura di poter ripristinare il tuo sito e funzionare di nuovo in pochissimo tempo.

L'elenco delle nostre misure di sicurezza primarie ed essenziali finisce qui!

Siamo ora giunti alla seconda parte in cui discuteremo dei suggerimenti per la sicurezza di WordPress per i nostri fanatici della sicurezza. Questo è per quegli amministratori che desiderano vari livelli di protezione per il loro sito web.  

Assicurati di aver impostato le chiavi di autenticazione segrete di WordPress

Troverai 8 chiavi di sicurezza e autenticazione di WordPress nel tuo wp-config.php. Queste non sono altro che variabili arbitrarie che rendono più difficile dedurre le tue password WordPress aggiungendo un elemento di casualità al modo in cui sono archiviate nel database.

Diamo un'occhiata a come puoi usarlo.

  • Innanzitutto, utilizza il generatore casuale di WordPress per generare un set di chiavi.
  • Quindi, modifica il tuo file wp.config. Troverai un posto per aggiungere le chiavi univoche generate nel passaggio precedente nella sezione "Chiavi univoche di autenticazione".

Non dovresti condividere o rendere pubbliche queste chiavi.

Limita i tentativi di accesso

Abbiamo già parlato della forzatura bruta e di come gli hacker la usano per scoprire la tua password. Proprio per questo motivo è essenziale mettere in atto un meccanismo per limitare i tentativi di accesso.

Fortunatamente, c'è un plugin che fa questo per te. Il plug-in "Limita accesso WordPress" rileva molti tentativi di password errati e disabilita ulteriori tentativi per un determinato periodo di tempo, il che si traduce in sforzi di forza bruta falliti e migliora la sicurezza del tuo sito.

Abilita l'autenticazione a due fattori

L'autenticazione a due fattori o 2FA è un modo estremamente efficiente per proteggere il tuo accesso a WordPress. Abilitando 2FA, ogni volta che accedi al tuo amministratore di WordPress, avrai bisogno di un token di sicurezza basato sul tempo (unico per ogni utente) oltre alla tua normale password. Questo token di sicurezza scade entro un breve periodo, che è generalmente di 60 secondi.

Ciò rende estremamente difficile per chiunque accedere al tuo login anche se ha le tue credenziali di accesso (perché non avrà il token di sicurezza corrente).

L'abilitazione di 2FA è quindi un modo a prova di tutto per rafforzare il tuo accesso e sfuggire agli attacchi di forza bruta ai tuoi dettagli di accesso.

Disabilita l'esecuzione di PHP

Quando gli hacker ottengono l'accesso al tuo sito, una delle prime cose che fanno è eseguire PHP da una directory. Una cosa intelligente da fare è disabilitarlo del tutto. Quindi, anche se fosse presente qualche vulnerabilità nel tuo sito Web WordPress, questa protezione interromperebbe in modo proattivo il resto degli sforzi di un hacker per ostacolare il tuo sito.

Questo è un grande passo verso la sicurezza di WordPress e può portare alla rottura di alcuni temi e plugin che potrebbero richiederlo, ma è comunque consigliabile implementarlo nelle directory più rischiose wp-includes e uploads.

Puoi implementare questa protezione tramite il tuo file .htaccess aggiungendo il seguente codice:

  • <File *.php>
  • Ordine Consenti, Nega
  • Rifiutato da tutti
  • </File>

Disabilita la modifica dei file

In genere giochiamo con plugin e file di temi mentre siamo ancora nelle fasi iniziali della creazione di un sito Web poiché per impostazione predefinita, gli amministratori di WordPress sono autorizzati a modificare i file PHP. Tuttavia, una volta sviluppato il nostro sito Web, utilizzeremo molto poco questa opzione di modifica.

Pertanto è consigliabile disabilitare la modifica dei file per gli amministratori di WordPress una volta che il sito Web è attivo e attivo. Questo perché anche se un hacker riesce ad accedere al tuo sito, sarà privo di privilegi di modifica e non sarà in grado di modificare i file per eseguire i suoi schemi malvagi. Per disabilitare la modifica dei file, inserisci il seguente comando nel file wp-config.php: define('DISALLOW_FILE_EDIT', true);

Separa i tuoi database WordPress

Se crei tutti i tuoi siti nello stesso database e anche uno di essi viene compromesso, anche tutti gli altri siti WordPress ospitati sullo stesso database corrono un'enorme minaccia di essere violati. Durante l'installazione del tuo WordPress, dovresti sempre creare un nuovo database e assegnargli un nome database, un database e una password separati. Assicurati che siano diversi da qualsiasi altro sito o accesso che utilizzi.

Ciò che fa è che, se uno dei tuoi siti viene violato, l'infezione cesserà di diffondersi negli altri tuoi luoghi anche sullo stesso account di hosting condiviso.

Se non è in uso, disabilitare XML-RPC

Un'applicazione può accedere al tuo WordPress tramite qualcosa noto come API (Application Programming Interface). Per spiegartelo in termini semplici, un esempio di XML-RPC sta utilizzando l'applicazione del tuo telefono per aggiornare il tuo sito. Esistono anche plugin specifici che utilizzano la funzionalità XML-RPC.

Tuttavia, se non stai utilizzando alcuna applicazione di terze parti e sei sicuro che nessuno dei tuoi plug-in WordPress stia utilizzando il tuo sito Web tramite XML-RPC, è consigliabile disabilitarlo perché XML-RPC può essere utilizzato come strumento per hackerare il tuo luogo.

Proteggi il tuo file wp-config.php

Il file wp-config.php è uno dei dati più critici che memorizza molte impostazioni di configurazione necessarie come i dettagli di accesso del database, le password di hashing, ecc. Non vorresti che nessuno si intromettesse qui e, quindi, misure di sicurezza per salvaguardare questo file di configurazione critico di WordPress deve essere preso.

Se non hai disabilitato l'esecuzione di PHP (discussa al punto 15), aggiungi questo comando ai tuoi file .htaccess:

  • <file wp-config.php>
  • ordinare consentire, negare
  • rifiutato da tutti
  • </file>

Installa firewall

Per mantenerlo molto semplice, Software Fireballs impedisce alle cose di entrare o impedisce loro di uscire. In questo caso, aiutano a impedire agli hacker di avvicinarsi al tuo sito Web (o alla festa del tuo sito Web). È necessario utilizzare un Web Application Firewall (WAF) e uno dei firewall più affidabili e open source generalmente disponibili gratuitamente con i servizi di hosting di WordPress è il firewall "ModSecurity".
Puoi scoprire se il tuo servizio di hosting offre questo e se lo è, puoi avvalerti e abilitarlo.

Idealmente, dovresti anche utilizzare un Content Delivery Network Firewall (CDN) per migliorare le prestazioni del tuo sito servendo rapidamente risorse abbondanti. I CDN proteggono anche il tuo sito Web da numerosi problemi di sicurezza di WordPress.

Interrompi la segnalazione degli errori PHP

La segnalazione degli errori è utile al momento dello sviluppo di un sito Web in quanto ti rende consapevole degli errori e puoi risolverli prontamente. Ma quando la segnalazione degli errori è abilitata su un sito Web attivo e funzionante, funge da indizio molto significativo per gli hacker e rende il loro lavoro molto più comodo di quanto dovrebbe essere. I rapporti sugli errori possono fornire informazioni vitali a chiunque la cerchi.

Pertanto , la disabilitazione della segnalazione degli errori PHP una volta che il sito è attivo garantisce che almeno i rischi per la sicurezza di WordPress causati dalla divulgazione di informazioni sensibili riguardanti il ​​tuo sito web siano ridotti al minimo. Per disabilitare la segnalazione degli errori PHP, apportare le modifiche al file php.ini come indicato di seguito:

  • segnalazione_errore = 4339
  • display_errors = disattivato
  • display_startup_errors = disattivato
  • log_errors = attivato
  • log_errore = /home/example.com/logs/php_error.log
  • log_errors_max_len = 1024
  • ignore_repeated_errors = Attivato
  • ignore_repeated_source = disattivato
  • html_errors = disattivato

Usa la registrazione della sicurezza per monitorare la sicurezza di WordPress

Guardare i tuoi log ti aiuta a scoprire quali attacchi stanno avvenendo sul tuo sito e ti equipaggia per fermarli. È un ottimo modo per migliorare la sicurezza di WordPress. Per fare un esempio minimo, se capisci che la maggior parte dei tentativi di hacking proviene da un'area particolare, possibilmente da una che il tuo sito web non soddisfa, potresti bloccare quell'area usando il tuo firewall. Si consiglia di utilizzare un plug-in di controllo di sicurezza per mantenere registri di controllo regolari.

È tutto!

Con questo, siamo giunti al termine della nostra lunga e completa guida per proteggere completamente il tuo sito WordPress. Non c'è dubbio che questa lista di controllo avrebbe potuto essere un po' opprimente per te se non avessi pensato molto prima a garantire il tuo sito web. Ma la cosa buona è che la maggior parte di questi passaggi non richiederà molto sforzo da parte tua per eseguirli e, con il passare del tempo, diventerà una parte regolare della routine di manutenzione di WordPress. Ad essere onesti, la maggior parte di voi non eseguirà tutti i passaggi sopra menzionati, e va bene. Ma più misure di sicurezza intraprendi, più sicuro sarà il tuo sito. Un piccolo sforzo in più da parte tua ora farà molto!