Come proteggere il tuo sito Web WordPress: suggerimenti per la sicurezza di lavoro
Pubblicato: 2021-11-30
Sconto del 20% su WPMU Dev
Per questo articolo, utilizzeremo l'hosting e gli strumenti WPMU DEV. Puoi ottenere uno sconto del 20% su WPMU DEV sull'abbonamento.
La sicurezza di WordPress è un argomento enorme. Ci sono diverse cose che puoi adottare per proteggere il tuo sito WordPress e impedire che hacker e vulnerabilità danneggino il tuo sito di e-commerce o blog.
Sebbene il software di base di WordPress sia abbastanza sicuro e venga frequentemente esaminato da centinaia di ingegneri, c'è ancora molto che puoi fare per mantenere il tuo sito al sicuro.
Non vuoi svegliarti una mattina per trovare il tuo sito web in disordine. Quindi, oggi tratteremo una varietà di metodi, tattiche e approcci che puoi utilizzare per migliorare la sicurezza di WordPress e rimanere al sicuro.
Perché la sicurezza del sito Web è importante?
Qualsiasi sito Web WordPress compromesso può danneggiare in modo significativo il flusso di cassa e la credibilità. Un utente malintenzionato può ottenere dati sui clienti, password, iniettare programmi dannosi o persino infettare gli utenti con malware.
Scenario terribile, le aziende potrebbero essere costrette a spendere ransomware per gli aggressori per recuperare l'accesso al sito web. Secondo Google, oltre 50 milioni di utenti di siti Web sono stati avvertiti che una pagina Web che stanno visitando potrebbe contenere malware o rubare dati.
Questo è un sito Web di statistiche in tempo reale che viene violato in un giorno.
Inoltre, ogni settimana, Google inserisce nella blacklist circa 20.000 siti Web per malware e circa 50.000 siti Web per phishing. Se stai gestendo una pagina aziendale, ti consigliamo di dare importanza alla sicurezza del sito web.
È davvero il tuo lavoro, come proprietario di un'attività online, proteggere il sito Web della tua attività nello stesso modo in cui è tua responsabilità proteggere la struttura del tuo negozio reale.
WordPress è una piattaforma sicura?
WordPress è sicuro?
Questa è probabilmente la prima domanda che ti viene in mente. Si, per la maggior parte.
WordPress è sicuro purché i proprietari di siti Web prendano sul serio la sicurezza e aderiscano alle pratiche consigliate. L'utilizzo di plugin e temi sicuri, il mantenimento di processi di accesso responsabili, l'utilizzo di plugin di sicurezza per monitorare il tuo sito e l'aggiornamento periodico sono tutte buone pratiche.
WordPress, d'altra parte, ha la reputazione di essere soggetto a falle di sicurezza e quindi di non essere una piattaforma sicura da utilizzare per un'azienda. Nella maggior parte dei casi, ciò è dovuto al fatto che gli utenti continuano a seguire le peggiori pratiche di sicurezza comprovate nel settore.
Gli hacker rimangono al passo con il loro gioco di criminalità informatica utilizzando il vecchio software WordPress, plug-in annullati, cattiva amministrazione del sistema, gestione delle credenziali e mancanza delle necessarie competenze Web e di sicurezza tra gli utenti WordPress non esperti. Anche le migliori pratiche non sono sempre seguite dai leader del settore. Poiché stavano utilizzando una versione precedente di WordPress, Reuters è stato violato.
Questo non vuol dire che le vulnerabilità non siano presenti. WordPress continua a dominare i siti Web infetti su cui Sucuri, un'azienda di sicurezza multipiattaforma, ha lavorato in un sondaggio del terzo trimestre 2017 (all'83%). Si tratta di un aumento rispetto alla cifra dell'anno precedente del 74%.
Con WordPress che alimenta oltre il 42% di tutti i siti Web su Internet e centinaia di migliaia di combinazioni di temi e plugin tra cui scegliere, non sorprende che le vulnerabilità esistano e vengano continuamente identificate. Tuttavia, esiste una forte comunità che circonda la piattaforma WordPress, che garantisce che questi problemi vengano affrontati il prima possibile. A partire dal 2021, il team di sicurezza di WordPress è composto da circa 50 specialisti, inclusi sviluppatori principali e ricercatori sulla sicurezza (rispetto ai 25 del 2017); circa la metà sono dipendenti di Automattic e alcuni lavorano nell'area della sicurezza web.
Inizia con l'hosting corretto
L'utilizzo di un host che fornisce più livelli di sicurezza è il modo più semplice per proteggere il tuo sito web.
Risparmiare denaro sull'hosting di siti Web significa che puoi spendere i soldi altrove all'interno della tua organizzazione, quindi può essere allettante iscriversi a un provider di hosting economico. Ma dovresti resistere a questa tentazione.
Un host economico può causare mal di testa in futuro. I dati associati al tuo URL potrebbero essere eliminati completamente e il tuo URL potrebbe iniziare a reindirizzare da qualche altra parte. Solo alcuni esempi, ci sono molti altri motivi per cui dovresti evitare di accontentarti di un hosting economico che non è degno della tua attività.
La sicurezza extra fornita da un host di qualità viene automaticamente attribuita al tuo sito web se paghi un po' di più. Inoltre, puoi migliorare le prestazioni del tuo sito WordPress utilizzando un buon servizio di hosting WordPress.
Crea un backup del sito
Per iniziare, fai un backup del tuo backup di WordPress prima di apportare modifiche al tuo sito web.
Sono disponibili numerosi plugin di backup di WordPress che possono essere utilizzati per raggiungere lo stesso obiettivo.
Ci sono sia quelli gratuiti che quelli a pagamento accessibili. tuttavia, solo alcuni di quelli suggeriti sono gratuiti.
- Updraft Plus
- BackWPup
Presumo che tu abbia installato e utilizzato uno dei plugin di backup di WordPress. Ora sei pronto per passare al passaggio successivo.
Raccomando di pianificare i backup una volta pubblicato ogni post. Dopo aver apportato modifiche ai post o al database del blog.
Crea password complesse
Puoi fare molto per salvaguardare il tuo sito Web WordPress, ma poche persone prestano attenzione alle basi.
La creazione di password sicure è qualcosa che dovresti fare per tutti i tuoi siti di social media e account di posta elettronica.
Allo stesso modo, poiché i siti WordPress vengono hackerati come qualsiasi altra cosa, è fondamentale adottare le stesse precauzioni per il tuo sito WordPress. Non importa più quanto è grande il tuo blog. Tutti stuzzicano la curiosità degli hacker. LOL!
Usare una password complessa significava non usare nulla che fosse personale per te. Quasi tutto dovrebbe essere evitato, incluso il tuo nome, data di nascita, ID dipendente, nome della ragazza e qualsiasi altra cosa che possa essere indovinata.
Ci vuole tempo per decifrare una password
Hai problemi a trovare idee creative per le password? Per stabilire una password sicura, puoi sempre utilizzare qualsiasi strumento di generazione di password online. Uso LastPass Password Generator.
Modifica l'URL di accesso a WP
"yoursite.com/wp-admin" è l'URL predefinito per l'accesso a WordPress.
Se lo lasci così com'è, rischi di diventare vittima di un attacco di forza bruta volto a decifrare la tua combinazione nome utente/password.
Potresti ricevere un gran numero di registrazioni di spam se consenti agli utenti di registrarsi per account di abbonamento. Modifica l'URL di accesso dell'amministratore o aggiungi una domanda di sicurezza alla pagina di registrazione e accesso per evitare ciò.
È possibile installare un plug-in come URL di accesso personalizzato o Nascondi accesso WPS per modificare l'URL di accesso wp.
Cambia il nome utente di WordPress
Quando crei un blog, ti verrà data la possibilità di inserire un nome utente, che verrà utilizzato per accedere al tuo blog o sito web.
La maggior parte delle persone lo lascia come " amministratore " per impostazione predefinita e dimentica di cambiarlo in seguito.
Considera quanto sarebbe semplice anche per un povero hacker prevederlo. ahah! Ho notato un sorriso sul tuo viso.
Devi renderlo unico e impossibile da indovinare. Se non sei sicuro di come realizzarlo, ho creato un semplice tutorial su come modificare il tuo nome utente WordPress.
Autenticazione a due fattori
Hai già utilizzato l'autenticazione a due fattori per i tuoi account Gmail? Se lo conosci, probabilmente hai capito di cosa sto parlando.
L'autenticazione a due fattori è una tecnica semplice per proteggere il tuo sito WordPress dagli hacker.
Riceverai una OTP durante l'accesso se colleghi il tuo blog al tuo cellulare per l'autenticazione a due fattori. Sarai in grado di accedere inserendo quel numero.
Questo porta la sicurezza a un nuovo livello e aggiunge un altro livello al mix. Una breve lezione sull'autenticazione a due fattori di WordPress può essere trovata qui.
Password Protect WordPress Admin e pagina di accesso
In genere, gli hacker hanno accesso illimitato alla cartella wp-admin e alla pagina di accesso. Questo dà loro l'opportunità di testare le proprie abilità di hacking o lanciare attacchi DDoS.
Sul lato server, puoi implementare un'ulteriore protezione con password, che sostanzialmente interromperà tali richieste.
Segui i nostri passaggi passo passo per proteggere il tuo WordPress wp-admin con una password.
Limita i tentativi di accesso
In WordPress, per impostazione predefinita, gli utenti possono provare ad accedere tutte le volte che vogliono. Se dimentichi spesso quali lettere sono maiuscole, questo può aiutare, ma ti apre anche ad attacchi di forza bruta.
Puoi limitare il numero di tentativi di accesso fino a quando gli utenti non vengono temporaneamente bloccati. Riduce le tue possibilità di essere attaccato dalla forza bruta poiché l'hacker viene bloccato prima che il suo attacco sia completato.
Utilizzando un plug-in per i tentativi di accesso al limite di WordPress, puoi abilitare facilmente questa funzione.
Utilizzando Impostazioni > Tentativi limite di accesso, puoi modificare il numero di tentativi di accesso dopo aver installato il plug-in.
Disconnetti gli utenti inattivi in WordPress
Gli utenti che hanno effettuato l'accesso possono occasionalmente allontanarsi dai propri schermi, ponendo un rischio per la sicurezza. Qualcuno può assumere il controllo della propria sessione, cambiare le proprie password e modificare il proprio account.
Questo è il motivo per cui molti siti Web bancari e finanziari bloccano automaticamente gli utenti inattivi. Funzionalità simili possono essere implementate anche sul tuo sito WordPress.
Il plug-in Logout inattivo deve essere installato e attivato. Per configurare le impostazioni del plug-in, fare clic su Impostazioni » Disconnessione inattiva dopo l'attivazione.
Imposta il timer e un messaggio di logout e il gioco è fatto. Non dimenticare di salvare le modifiche facendo clic sul pulsante Salva modifiche.
Aggiungi domanda di sicurezza nella schermata di accesso di WordPress
L'aggiunta di una domanda di sicurezza alla schermata di accesso di WordPress rende molto più difficile l'accesso non autorizzato.
L'installazione del plug-in WP Security Questions ti consentirà di aggiungere domande di sicurezza. Per configurare le impostazioni del plug-in, vai su Impostazioni »Domande di sicurezza dopo che è stato attivato.
Per ulteriori informazioni, consulta il nostro tutorial su come aggiungere domande di sicurezza a WordPress.
Disabilita la navigazione nella directory
Un'altra fase che un webmaster esamina è questa. Quando si tratta di sicurezza del sito web, questo è un fatto poco noto.
Tuttavia, se è abilitata la navigazione nella directory principale. I file come temi, plug-in, immagini e molto altro sono accessibili a un lettore, un visitatore o un hacker.
Ecco come impedire la navigazione nelle directory in WordPress utilizzando il file .htaccess.
Disabilita la modifica dei file
Nella dashboard di WordPress è presente uno strumento di editor di codice che ti consente di modificare il tema e i plug-in durante la configurazione del sito.
Aspetto> Editor è dove lo troverai. Puoi anche accedere all'editor dei plugin andando su Plugin>Editor.
Ti consigliamo di disabilitare questa funzionalità una volta che il tuo sito è online. Gli hacker possono introdurre codice sottile e dannoso nel tuo tema e plug-in se ottengono l'accesso al tuo pannello di amministrazione di WordPress.
La codifica è spesso così sottile che non ti rendi conto che qualcosa non va finché non è troppo tardi.
Inserisci semplicemente il seguente codice nel tuo file wp-config.php.
define('DISALLOW_FILE_EDIT', true);Questo processo ti aiuterà a prevenire la possibilità di alterare plugin e file di temi dalla dashboard.
Disabilita XML-RPC in WordPress
Da WordPress 3.5, XML-RPC è stato abilitato per impostazione predefinita per aiutarti a connettere il tuo sito WordPress con app mobili e servizi web.
Un attacco di forza bruta può essere notevolmente amplificato da XML-RPC grazie alla sua natura potente.
In passato, se un hacker voleva provare 500 password diverse sul tuo sito, doveva accedere 500 volte. Il plug-in di blocco dell'accesso catturerebbe e bloccherebbe questi tentativi.
Tuttavia, con XML-RPC, un hacker può utilizzare la funzione system.multicall per provare migliaia di password con solo 20 o 50 richieste.
Pertanto, se non si utilizza XML-RPC, è necessario disabilitarlo. Questo può essere gestito da un firewall se stai utilizzando il firewall dell'applicazione web menzionato sopra.
Nascondi i file wp-config.php e .htaccess
Mentre nascondere i file .htaccess e wp-config.php del tuo sito per impedire agli hacker di accedervi è un metodo sofisticato per aumentare la sicurezza del tuo sito, è una pratica intelligente se prendi sul serio la tua sicurezza.
Consigliamo vivamente agli sviluppatori esperti di adottare questa opzione, poiché è fondamentale eseguire prima un backup del sito e continuare con cautela. Qualsiasi errore potrebbe rendere il tuo sito Web non disponibile.
Dopo aver eseguito un backup, è necessario eseguire due operazioni per nascondere i file:
Per iniziare, aggiungi il seguente codice al tuo file wp-config.php:
<Files wp-config.php> order allow,deny deny from all </Files>Aggiungerai il seguente codice al tuo file .htaccess in modo simile.
<Files .htaccess> order allow,deny deny from all </Files>Sebbene la procedura sia semplice, dovresti assicurarti di avere un backup nel caso qualcosa vada storto.
Rimuovere la versione WP
Abbiamo già discusso degli aggiornamenti di WordPress. Ora è anche logico mantenere la tua versione di WordPress nascosta agli hacker.
Sono curioso di sapere come possono vedere la versione di WordPress che stai utilizzando, dato che hai le credenziali di accesso.
Gli hacker possono facilmente controllare la versione di WordPress guardando la pagina di origine. Tutto quello che devono fare ora è
CTRL F – clic destro (sulla pagina Web) – Visualizza sorgente pagina (Cerca versione). Assomiglierà al tag visto di seguito.
Abilita un firewall per applicazioni Web
Probabilmente sei a conoscenza del concetto di firewall, che è un programma che aiuta a proteggere il tuo computer da vari tipi di attacchi dannosi. Quasi sicuramente hai un firewall installato sul tuo PC.
Un Web Application Firewall (WAF) è un tipo di firewall progettato specificamente per proteggere i siti Web. È possibile proteggere server, siti Web particolari o grandi gruppi di siti Web.
Un Web Application Firewall (WAF) sul tuo sito WordPress fungerà da firewall tra il tuo sito e il resto di Internet. Un firewall controlla i comportamenti sospetti, rileva attacchi, virus e altri eventi indesiderati e blocca tutto ciò che ritiene pericoloso.
Installa certificato SSL
SSL, o Secure Sockets Layer, è ora ampiamente utilizzato per tutti i tipi di siti Web. Inizialmente, SSL era necessario per rendere un sito Web sicuro per processi specifici, come l'elaborazione dei pagamenti. Oggi, tuttavia, Google ha compreso il suo significato e offre ai siti Web abilitati SSL un posizionamento più elevato nei risultati di ricerca.
SSL è richiesto per qualsiasi sito che gestisce dati sensibili, come password o numeri di carta di credito. Tutti i dati tra il browser Web dell'utente e il server Web vengono trasferiti in testo normale se non si dispone di un certificato SSL.
Gli hacker potrebbero essere in grado di leggere questo. L'utilizzo di un SSL crittografa informazioni importanti prima che vengano inviate tra il loro browser e il tuo server, rendendo più difficile la lettura e aumentando la sicurezza del tuo sito.
Il prezzo medio di SSL per i siti Web che accettano informazioni sensibili è di circa $ 70- $ 199 all'anno. Non è necessario pagare per un certificato SSL se non si accettano dati sensibili. Quasi tutti i provider di hosting forniscono un certificato SSL Let's Encrypt gratuito che puoi utilizzare per proteggere il tuo sito web.
Dì no ai temi annullati
Un tema WordPress premium sembra più professionale e offre più opzioni di personalizzazione rispetto a un tema gratuito. Indipendentemente da ciò, è difficile sostenere che ottieni quello per cui paghi con un tema gratuito.
Tutti i temi premium sono progettati da sviluppatori di grande esperienza e vengono testati prima di essere pubblicati. Se qualcosa va storto con il tuo sito, puoi ottenere il supporto completo. Non ci sono restrizioni sulla personalizzazione di un tema. Inoltre, l'aggiornamento di un tema è regolare.
Ci sono anche alcuni siti che offrono temi annullati o craccati. I temi annullati sono versioni di temi premium che sono stati violati e sono disponibili illegalmente. Questo può mettere a rischio il tuo sito. Codici dannosi nascosti all'interno di questi temi potrebbero rovinare il tuo sito Web e database o rubare le tue credenziali di accesso.
Sebbene si possa risparmiare un po' di denaro, è importante che qualsiasi proprietario di un sito Web eviti di utilizzare quei temi WordPress annullati.
Aggiornamento regolare della versione di WordPress
Il modo più efficace per mantenere sicuro il tuo sito Web WordPress è tenerlo aggiornato. Spesso vengono apportate alcune modifiche a ogni aggiornamento, inclusi gli aggiornamenti di sicurezza. Aggiornare regolarmente il tuo software può impedirti di diventare un bersaglio di exploit e scappatoie di cui gli hacker sono noti per trarre vantaggio per ottenere l'accesso al tuo sito.
Gli stessi motivi si applicano all'aggiornamento di plugin e temi.
Gli aggiornamenti minori vengono scaricati automaticamente da WordPress per impostazione predefinita. Gli aggiornamenti che richiedono modifiche sostanziali, tuttavia, devono essere eseguiti direttamente tramite il dashboard di amministrazione di WordPress.
Modifica il prefisso della tabella del database
Potresti aver notato una finestra di dialogo che richiede un certo prefisso per iniziare qualcosa come wp_ durante l'installazione di WordPress sui tuoi server. Questo è ciò che implica. Questo è il database del tuo sito WordPress. Il nome della cartella è wp_.
Non sorprende che tutto ciò che è comune possa essere dedotto dai cosiddetti hacker. È anche una buona idea modificare il prefisso di qualsiasi cosa tu abbia creato. Qualsiasi cosa va in mywpsite_, friendswp_ e così via.
Posso semplicemente raggiungere questo obiettivo accedendo al database del tuo sito web. Tuttavia, se non hai familiarità con tutti i dettagli tecnici, i plugin sono sempre disponibili.
Installa il miglior plugin di sicurezza per WordPress
Esistono diversi plugin di sicurezza per WordPress, sia gratuiti che premium. Ed è un'ottima scelta per installare uno dei plugin per il tuo sito Web WordPress.
In questa guida, vedremo come possiamo creare un solido ambiente di sicurezza attorno al nostro sito WordPress tramite Defender Pro creato da WPMU DEV.
Caratteristiche principali di Defender Pro
Le potenti barriere di sicurezza di WordPress e le tecnologie di cloaking di Defender contro hacker, forza bruta e bot dannosi.
- Controlli di sicurezza su base regolare
- Blocco IP di geolocalizzazione
- Mascheratura e salvaguardia degli accessi
- Registrazione degli audit
- Autenticazione mediante due fattori
- Monitoraggio della Block list
- Rapporti sulle vulnerabilità
- Ripristino e riparazione dei file modificati
Installa il plug-in Defender Pro per WordPress
Dopo aver installato Defender Pro, troverai un'opzione classificata disponibile, che è facile da capire anche per i principianti.
Dashboard, consigli, scansione malware, registrazione audit, firewall, WAF, strumenti 2FA, impostazioni, tutorial.
Una volta completata la scansione, vedrai una schermata come questa nella dashboard di Defender Pro.
Quando il sito rileva un problema di sicurezza, il plug-in fornisce un consiglio su come procedere con il rimedio. È interessante.
Defender Pro fa un ulteriore passo avanti fornendo suggerimenti completi e attuabili che sono personalizzati per il sito e affrontano i rischi attuali e futuri.
Ciò che distingue questi suggerimenti è che puoi mettere a punto l'azione che intraprendi.
Se hai abilitato accidentalmente " aggiorna le vecchie chiavi di sicurezza ", puoi comunque disabilitare o modificare la frequenza dei promemoria. Ciò mantiene il sito sicuro e aggiornato.
Conclusione: sicurezza di WordPress
Un metodo per proteggere il tuo sito WordPress potrebbe richiedere del tempo, ma alla fine ne varrà la pena. Invece di finire per dire che il mio sito Web WordPress è stato violato.
Ti ho mostrato entrambi i metodi per gli utenti fai-da-te e anche quello dei plugin. In ogni caso, se scegli, la sicurezza di un sito Web WordPress è fondamentale per qualsiasi utente.
Sconto del 20% su WPMU Dev
Defender Pro è il fantastico plugin di sicurezza per proteggere il tuo sito Web WordPress. Puoi ottenere uno sconto del 20% su WPMU DEV sull'abbonamento.