3 modi per proteggere il tuo sito Web WordPress dagli attacchi

Pubblicato: 2017-12-27

Al giorno d'oggi, ogni sito Web deve prendere sul serio la sicurezza. Ciò è particolarmente vero se utilizza un Content Management System (CMS) come WordPress. Questo tipo di piattaforma di solito memorizza molte informazioni sensibili, il che la rende un bersaglio. Se qualcuno irrompe nel tuo sito web, dovrai dedicare tempo prezioso a capire come è entrato e riparare il danno.

La buona notizia è che WordPress è molto flessibile quando si tratta di aumentare le misure di sicurezza del tuo sito web. Ad esempio, esistono diversi modi per proteggere la tua pagina di accesso dagli attacchi e nasconderla a persone che non conosci. Con alcune modifiche qua e là, il tuo sito Web può diventare rapidamente una fortezza.

In questo articolo, discuteremo dell'importanza della sicurezza di WordPress. Quindi ti presenteremo tre metodi che puoi utilizzare per rendere più sicuro il tuo sito web. Andiamo a farlo!

Perché la sicurezza di WordPress è importante

Giusto per essere chiari, WordPress è già una piattaforma molto sicura pronta all'uso. Tuttavia, è anche un enorme software con milioni di utenti e migliaia di opzioni di plugin e temi. Con così tante cose da fare, è naturale che alcuni utenti finiscano per avere a che fare con problemi di sicurezza. Nella maggior parte dei casi, è possibile risalire a questi problemi con credenziali facilmente violabili, un mancato aggiornamento coerente e altri errori dell'utente.

D'altra parte, sarai molto più sicuro se sei il tipo di persona che rimane aggiornato con l'ultima versione di WordPress e monitora tutti i plugin e i temi che utilizzi. Tenere il passo con la sicurezza del tuo sito può sembrare un sacco di lavoro, ma essere prudenti è la migliore linea d'azione. Ecco perché:

  • WordPress è un bersaglio di attacchi. La popolarità del Content Management System (CMS) lo rende uno dei preferiti dagli aggressori online. Dopotutto, trovare una vulnerabilità in un singolo plugin o tema può aiutarli ad accedere a migliaia di siti web.
  • È necessario salvaguardare le informazioni sensibili degli utenti. Anche se non hai a che fare con numeri di carta di credito attraverso il tuo sito web, ciò non significa che non dovresti proteggere la privacy dei tuoi utenti.
  • I dirottatori potrebbero diffondere malware attraverso il tuo sito web. Al giorno d'oggi, è una pratica comune per gli aggressori utilizzare siti compromessi per fornire malware ai propri visitatori. Inutile dire che non vuoi che i dispositivi dei tuoi utenti vengano infettati a causa di pratiche di sicurezza permissive da parte tua.

Fortunatamente, puoi fare molto per proteggere preventivamente il tuo sito Web WordPress. Ad esempio, utilizzare un tema ben codificato che riceve aggiornamenti costanti è sempre un'idea intelligente. Il nostro tema Uncode ha valutazioni eccellenti e funzionalità di sicurezza, ad esempio, e siamo sempre disponibili a rispondere a qualsiasi domanda tu possa avere su come proteggere ulteriormente il tuo sito web. Dopo aver risolto il tema, ci sono alcune altre semplici misure che puoi adottare.

3 modi per proteggere il tuo sito Web WordPress dagli attacchi

In questa sezione, ti insegneremo tre modi per proteggere il tuo sito Web WordPress dagli attacchi, sia con che senza plug-in. Dal momento che apporterai alcune modifiche piuttosto significative alle funzionalità del tuo sito Web, dovresti creare un backup prima di iniziare. In questo modo, se qualcosa va storto (cosa che non dovrebbe!), sarai in grado di ripristinare il tuo sito in pochi minuti e riprovare.

1. Usa l'autenticazione a due fattori (2FA)

Di solito, tutto ciò che serve per accedere a un sito Web sono il tuo nome utente e password. Alcuni siti fanno un ulteriore passo avanti, tuttavia, e ti chiedono di inserire un codice monouso inviato alla tua e-mail o smartphone. Questo è noto come autenticazione a due fattori (2FA). Utilizzando questo metodo, anche se qualcuno si impossessa delle tue credenziali, non sarà comunque in grado di accedere al tuo account.

WordPress non supporta 2FA immediatamente. Tuttavia, puoi implementarlo usando gli strumenti giusti. Sono disponibili molti plug-in 2FA eccellenti, ma siamo parziali a miniOrange Two Factor Authentication a causa di tutte le funzionalità che offre:

Il plug-in di autenticazione a due fattori miniOrange.

Per iniziare con questa tecnica, devi prima installare e attivare il plugin. Quindi, sarai in grado di accedere a una nuova scheda miniOrange 2-Factor dalla tua dashboard. La prima volta che ci clicchi sopra, dovrai compilare alcuni campi per registrare un account miniOrange:

Registrazione di un account miniOrange.

Successivamente, riceverai un codice monouso tramite un'e-mail o un messaggio di testo, che puoi utilizzare per attivare il plug-in.

Al termine, puoi passare alla scheda Configurazione a due fattori nella parte superiore dello schermo e scegliere quali tipi di 2FA potranno utilizzare i tuoi visitatori. Per fornire agli utenti la maggior parte delle opzioni, ti consigliamo di utilizzare la verifica e-mail come metodo predefinito:

Scegliere la verifica e-mail come metodo 2FA.

Dopo aver scelto i metodi desiderati, è possibile effettuare il logout. La prossima volta che proverai ad accedere alla dashboard, vedrai un'opzione per abilitare 2FA per il tuo account. Ora, tutti gli utenti del tuo sito potranno attivare la 2FA. Il tuo sito Web WordPress sarà più sicuro per questo!

2. Inserisci nella whitelist gli indirizzi IP che possono accedere al tuo dashboard

La dashboard di WordPress è il luogo in cui avviene la maggior parte della magia. In quanto tale, non vuoi che chiunque abbia accesso. Solo i membri del team fidati dovrebbero essere in grado di accedere alla dashboard del tuo sito e utilizzare le sue funzionalità chiave.

La tua pagina di accesso è la tua principale linea di difesa contro intrusioni indesiderate. Tuttavia, a volte gli aggressori possono ottenere l'accesso a una delle credenziali di un membro del tuo team. Se ciò accade, avrai bisogno di una seconda linea di difesa per fermarli. È qui che entra in gioco il tuo file .htaccess .

Questo file ti consente di fornire istruzioni specifiche al tuo server. Ad esempio, puoi dirgli di bloccare l'accesso alla dashboard per chiunque il cui IP non sia in un elenco pre-approvato. Quando aggiungi un indirizzo IP a quell'elenco, lo stai "inserendo nella whitelist". Questo metodo richiede un po' di lavoro in anticipo, ma può trasformare il tuo sito web in una fortezza.

Innanzitutto, dovrai conoscere gli indirizzi IP di tutti i tuoi colleghi. Per ottenere i migliori risultati, assicurati anche che quegli IP siano statici. I membri del team possono utilizzare un sito come What is My IP per scoprire quali sono i loro indirizzi e contattare i loro provider Internet in modo da poter assegnare loro un indirizzo statico se non ne hanno già uno.

Scopri qual è il tuo indirizzo IP.

È meglio eliminare prima queste attività, in modo da poter inserire tutti gli IP autorizzati contemporaneamente. Quando avrai l'elenco degli indirizzi pronto, dovrai individuare e accedere al file .htaccess del tuo sito. Per farlo, ti consigliamo di utilizzare File Transfer Protocol (FTP) e uno strumento come FileZilla.

Accedi al tuo sito Web utilizzando le tue credenziali FTP e accedi alla tua cartella public_html . Quindi, cerca il file .htaccess all'interno di:

Il tuo file htaccess.

Ora, fai clic con il pulsante destro del mouse sul file e scegli l'opzione Visualizza/Modifica . In questo modo si aprirà il file sul tuo computer utilizzando il tuo editor di testo predefinito. Dovrebbero esserci già alcune righe di codice all'interno, che non vuoi alterare. Invece, scorri fino alla fine del file e cerca la riga #END di WordPress .

Dovrai incollare il seguente snippet subito prima di quella riga:

 <IfModule mod_rewrite.c>
RewriteEngine attivato
RiscriviCond %{REQUEST_URI} ^(.*)?wp-admin$
RiscriviCond %{REMOTE_ADDR} !^190.46.268.21$
RiscriviCond %{REMOTE_ADDR} !^190.45.281.27$
Regola di riscrittura ^(.*)$ - [R=403,L]
</IfModulo>

Queste cinque righe di codice dicono a WordPress di controllare l'indirizzo IP di chiunque tenti di accedere alla tua dashboard. Se il loro indirizzo non corrisponde a uno di quelli nella tua whitelist (ce ne sono due nell'esempio sopra), riceveranno un errore 403:

Un esempio di errore 403.

Puoi aggiungere tutti gli indirizzi che desideri utilizzando lo stesso formato e bloccare anche altre pagine. Ad esempio, se vuoi bloccare la tua pagina di accesso per chiunque tranne quelli nella tua whitelist, tutto ciò che devi fare è aggiungere una riga di codice in più:

 <IfModule mod_rewrite.c>
RewriteEngine attivato
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OPPURE]
RiscriviCond %{REQUEST_URI} ^(.*)?wp-admin$
RiscriviCond %{REMOTE_ADDR} !^190.46.268.21$
RiscriviCond %{REMOTE_ADDR} !^190.45.281.27$
Regola di riscrittura ^(.*)$ - [R=403,L]
</IfModulo>

Quando hai finito di apportare modifiche a .htaccess , salva il file e chiudi il tuo editor di testo. Dovresti comunque essere in grado di accedere alla tua dashboard e alla pagina di accesso come al solito, a meno che tu non abbia dimenticato di inserire il tuo indirizzo IP nella whitelist!

3. Usa un plugin di sicurezza WordPress completo

Se scegli di adottare una sola misura per proteggere il tuo sito Web WordPress, l'utilizzo di un plug-in di sicurezza può farti ottenere il massimo. Sono disponibili un sacco di popolari plug-in di sicurezza e molti sono in grado di proteggere il tuo sito Web dalla maggior parte dei tipi di attacchi.

Uno dei nostri preferiti si chiama All In One WP Security & Firewall. Offre un'ampia gamma di funzioni e un'interfaccia intuitiva:

Plugin All in One WP Security Firewall.

Finora, abbiamo parlato molto della protezione delle pagine di accesso e dashboard di WordPress. Questo plugin ti consente di fare entrambe le cose, utilizzando funzionalità integrate che puoi attivare con pochi clic. Ad esempio, puoi limitare il numero di tentativi di accesso che qualcuno può fare prima di essere temporaneamente bloccato fuori dal sito. Questa funzione è disponibile dalla scheda WP Security > User Login :

Configurazione di un numero massimo di tentativi di accesso.

Puoi anche configurare il plug-in per farti sapere quando qualcuno viene bloccato dalla pagina di accesso e bloccare del tutto gli indirizzi IP. All In One WP Security & Firewall include anche un firewall completo, che puoi configurare dalla scheda WP Security > Firewall :

Abilitazione di un firewall per il tuo sito web.

Non appena attivi il plugin, la tua prima mossa dovrebbe essere quella di dare un'occhiata alla sua documentazione. Ci sono molte impostazioni che devi imparare a usare, ma un rapido corso accelerato dovrebbe dirti tutto ciò che devi sapere per proteggere il tuo sito web.

Ultimo ma non meno importante, Kinsta ha alcune ottime informazioni per bloccare il tuo sito, dai un'occhiata se hai bisogno di altri suggerimenti sulla sicurezza di WordPress.

Conclusione

La sicurezza di WordPress è qualcosa su cui vuoi essere proattivo. Un piccolo sforzo speso per salvaguardare il tuo sito web dall'inizio ti farà risparmiare un sacco di mal di testa lungo la strada. Se sei fortunato, non dovrai mai affrontare le ricadute di intrusioni indesiderate nel tuo sito Web e potrai invece concentrarti sul miglioramento.

La buona notizia è che ci sono molti modi semplici per proteggere il tuo sito web. Ancora una volta, ecco tre dei nostri preferiti:

  1. Usa 2FA sulla tua pagina di accesso.
  2. Inserisci nella whitelist gli indirizzi IP dei membri del tuo team.
  3. Utilizza un plug-in di sicurezza WordPress completo.

Hai domande su come proteggere il tuo sito Web WordPress? Chiedi nella sezione commenti qui sotto!