12 modi vitali per aumentare la sicurezza di WordPress

WordPress è uno dei costruttori di siti Web più popolari al mondo. È utilizzato da milioni di persone, inclusi alcuni dei più grandi marchi e organizzazioni del mondo.

Tuttavia, una grande responsabilità deriva da un grande potere, che include garantire che il tuo sito WordPress sia il più sicuro possibile. Diversi siti WordPress di alto profilo sono stati violati negli ultimi anni, quindi è essenziale adottare misure per proteggere il tuo sito.

Uno studio di Sucuri ha rilevato che il 43% dei siti WordPress è vulnerabile agli attacchi.

Ecco alcuni modi per aumentare la sicurezza di WordPress.

Mantieni WordPress aggiornato

Una delle cose più importanti che puoi fare per aumentare la sicurezza di WordPress è mantenere aggiornato il tuo sito WordPress.

Ciò significa aggiornare lo stesso WordPress, così come tutti i temi e i plug-in che hai installato. Nuove versioni di WordPress vengono rilasciate regolarmente e ogni nuova versione include correzioni di sicurezza per le vulnerabilità che sono state scoperte.

Per aggiornare WordPress, vai alla pagina Dashboard > Aggiornamenti e fai clic sul pulsante "Aggiorna ora".

È anche importante aggiornare i tuoi temi e plugin. La maggior parte degli sviluppatori di temi e plugin rilascia regolarmente aggiornamenti per correggere le vulnerabilità della sicurezza.

Puoi aggiornare i tuoi temi e plug-in dalla pagina Dashboard > Aggiornamenti o installare il plug-in WP Updates Notifier, che ti invierà un'e-mail quando gli aggiornamenti saranno disponibili.

Nascondi il numero di versione di WordPress

Man mano che WordPress è diventato più popolare, gli hacker lo hanno preso di mira sempre più.

Una delle cose che cercano è il numero di versione di WordPress, che viene visualizzato nel codice sorgente di ogni sito WordPress. Gli hacker possono prendere di mira vulnerabilità specifiche sapendo quale versione di WordPress stai utilizzando. Inoltre, alcuni plugin di sicurezza di WordPress funzioneranno solo con versioni specifiche di WordPress.

Quindi, è essenziale nascondere il numero di versione di WordPress. La maggior parte dei temi WordPress ha un'opzione per farlo, oppure puoi installare un plug-in come WP-Hardening Plugin.

Puoi anche nasconderlo manualmente incollando questo codice nel tuo file functions.php:

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


Usa una password complessa

Un altro modo importante per aumentare la sicurezza di WordPress è utilizzare una password complessa.

Una password complessa deve essere lunga almeno otto caratteri e includere una combinazione di lettere maiuscole e minuscole, numeri e simboli. È inoltre essenziale utilizzare una password diversa per ogni sito Web che visiti. In questo modo, gli altri tuoi account saranno al sicuro se un sito viene violato. Puoi utilizzare un gestore di password come LastPass o KeePass per aiutarti a generare e ricordare password complesse.

Uno studio di ricerca di Imperva ha scoperto che l'uso di una password complessa è il modo più efficace per prevenire gli attacchi di forza bruta, un comune hack di WordPress.

Utilizza un sito Web per la generazione di password per generare una password altamente complessa. Ecco alcuni dei migliori generatori di password:

• Ultimo passaggio
• Norton
• 1Password

Usa l'autenticazione a due fattori

L'autenticazione a due fattori (nota anche come verifica in due passaggi) è un ulteriore livello di sicurezza che può aiutare a proteggere il tuo sito WordPress.

Con l'autenticazione a due fattori, ti viene richiesto di inserire la tua password e un secondo codice, generalmente generato da un'app sul tuo smartphone. In questo modo, anche se qualcuno riesce a indovinare la tua password, non sarà in grado di accedere a meno che non abbia anche il tuo smartphone.

WordPress non include l'autenticazione a due fattori per impostazione predefinita, ma puoi installare un plug-in come Google Authenticator o Duo Security.

Ricorda, tuttavia, che l'autenticazione a due fattori non funzionerà se perdi lo smartphone, quindi è essenziale disporre di un metodo di backup, come un indirizzo e-mail o un numero di telefono alternativo.

Limita i tentativi di accesso

Un altro modo per aumentare la sicurezza di WordPress è limitare i tentativi di accesso.

Per impostazione predefinita, WordPress consente un numero illimitato di tentativi di accesso, il che offre agli hacker ampie opportunità di indovinare la tua password. Limitando i tentativi di accesso, puoi aiutare a prevenire gli attacchi di forza bruta. Alcuni plugin ti consentono di farlo, come Limita tentativi di accesso e Blocco accesso.

La ricerca di Wordfence mostra che limitare i tentativi di accesso può bloccare il 99,99% degli attacchi di forza bruta.

Inoltre, scegli un plug-in che non blocchi gli utenti legittimi, come te, se dimentichi la password.

Usa SSL

SSL (Secure Sockets Layer) è un protocollo che crittografa i dati trasmessi tra un sito Web e il browser Web di un utente. Ciò significa che se qualcuno tenta di intercettare i dati, non sarà in grado di leggerli. In passato, i siti Web di eCommerce utilizzavano principalmente SSL per proteggere le informazioni sulle carte di credito.

Ma al giorno d'oggi, sempre più siti WordPress utilizzano SSL per proteggere dati sensibili, come credenziali di accesso e invii di moduli di contatto. Puoi aggiungere SSL al tuo sito WordPress in diversi modi. Ad esempio, alcune società di web hosting offrono certificati SSL gratuiti oppure puoi acquistare un certificato da un'azienda come Symantec o Comodo. Una volta ottenuto un certificato SSL, dovrai installare e attivare il plugin SSL di WordPress.

Limita l'accesso alla tua directory dei plugin

La directory dei plugin di WordPress è una cartella sul tuo server che contiene tutti i plugin che hai installato sul tuo sito.

Per impostazione predefinita, chiunque può accedere a questa cartella e vedere quali plug-in utilizzano. E se un hacker sa quali plug-in stai utilizzando, può prendere di mira eventuali vulnerabilità in quei plug-in. Quindi, è essenziale limitare l'accesso alla directory del tuo plugin. Puoi farlo aggiungendo una semplice riga di codice al tuo file .htaccess.

Se non ti senti a tuo agio nella modifica dei file sul tuo server, puoi installare un plug-in come iThemes Security, che aggiungerà il codice per te. Se modifichi il tuo file .htaccess, assicurati di creare un backup prima di apportare modifiche.

Modifica il nome utente amministratore

Quando installi WordPress, il nome utente amministratore predefinito è "admin". Non è molto sicuro perché è facile da indovinare per gli hacker.

Quindi, una delle prime cose che dovresti fare dopo aver installato WordPress è cambiare il nome utente dell'amministratore. È possibile creare un nuovo utente con privilegi di amministratore e quindi eliminare il vecchio utente "admin". Oppure puoi installare un plug-in come WP Security Scan, che eseguirà la scansione del tuo sito per eventuali impostazioni non sicure, incluso il nome utente amministratore predefinito.

Dopo aver modificato il nome utente dell'amministratore, esci dal tuo account WordPress e accedi nuovamente con il nuovo nome utente. Molte persone dimenticano di farlo e si chiedono perché non possono accedere al proprio sito WordPress.

Usa CAPTCHA o reCAPTCHA nella schermata di accesso

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) è un test challenge-response utilizzato per garantire che solo gli esseri umani possano accedere a un sito Web o eseguire determinate azioni. reCAPTCHA è una versione di CAPTCHA di proprietà di Google. È più sicuro del CAPTCHA tradizionale perché utilizza tecniche avanzate di analisi del rischio per impedire al software automatizzato di impegnarsi in attività illecite sul tuo sito web. Per aggiungere CAPTCHA o reCAPTCHA alla schermata di accesso di WordPress, puoi installare un plug-in come WP-reCAPTCHA.

Una volta installato e attivato il plugin, dovrai creare un account gratuito con reCAPTCHA. Ti verrà quindi fornita una chiave del sito e una chiave segreta, che dovrai inserire nelle impostazioni del plug-in.

Disconnetti automaticamente gli utenti inattivi

Quando hai effettuato l'accesso al tuo sito WordPress, puoi rimanere connesso indefinitamente, anche se chiudi la finestra del browser o ti allontani dal tuo computer. Non è molto sicuro perché significa che chiunque abbia accesso al tuo computer può accedere anche al tuo sito WordPress.

Puoi installare un plug-in come Idle User Logout per risolvere questo problema. Questo plugin disconnetterà automaticamente gli utenti inattivi per un certo periodo.

Ad esempio, puoi impostarlo per disconnettere gli utenti che non sono stati attivi per 15 minuti. In questo modo, anche se qualcuno ha accesso al tuo computer, non sarà in grado di rimanere connesso al tuo sito WordPress. Un plug-in è essenziale se hai un computer condiviso o utilizzi il Wi-Fi pubblico.

Usa SFTP per connetterti al tuo server

Quando ti connetti al tuo sito WordPress, ti connetti al tuo server.

Per impostazione predefinita, la maggior parte delle persone si connette al proprio server tramite FTP (File Transfer Protocol). Ma FTP è un protocollo non sicuro perché non crittografa i tuoi dati. Ciò significa che chiunque controlli la connessione può vedere il tuo nome utente e password.

Quindi, l'utilizzo di SFTP (Secure File Transfer Protocol) è essenziale. SFTP è un protocollo sicuro che crittografa i tuoi dati, quindi è molto più difficile per qualcuno intercettare la tua connessione e rubare le tue credenziali. Per utilizzare SFTP, dovrai generare una coppia di chiavi SSH e aggiungere la chiave pubblica al tuo server. La maggior parte dei provider di hosting ha istruzioni su come farlo.

Monitora la presenza di malware

Il malware è un software dannoso che può infettare il tuo sito WordPress e causare molti problemi.

Ad esempio, il malware può reindirizzare i tuoi visitatori ad altri siti Web o può visualizzare pubblicità sul tuo sito senza la tua autorizzazione. Il malware può anche rubare informazioni sensibili come password e numeri di carte di credito. Quindi, è importante scansionare regolarmente il tuo sito WordPress alla ricerca di malware e rimuovere quelli che trovi. Ci sono diversi modi per farlo. Ad esempio, puoi utilizzare un plug-in come Wordfence Security, che eseguirà la scansione del tuo sito alla ricerca di malware e rimuoverà automaticamente quelli che trova.

In alternativa, puoi utilizzare un servizio come Sucuri SiteCheck, che eseguirà la scansione del tuo sito e quindi ti fornirà un rapporto su qualsiasi malware rilevato.

Conclusione

Questi sono solo alcuni dei tanti modi in cui puoi aumentare la sicurezza di WordPress. Adottando queste misure, puoi aiutare a proteggere il tuo sito WordPress da hacker e altri utenti malintenzionati. Molti di questi suggerimenti sono facili da implementare, quindi non ci sono scuse per non agire. Ricorda, il tuo sito WordPress è sicuro solo come lo crei. Quindi, per favore, non aspettare che sia troppo tardi per iniziare a pensare alla sicurezza. Agisci ora e aiuta a mantenere sicuro il tuo sito WordPress.