Come proteggere il tuo sito Web WordPress

WordPress ospita il 35% dei siti Web nel mondo di Internet. E come si suol dire "Un maggiore potere deriva da maggiori responsabilità", WordPress ha anche un sacco di cose di cui occuparsi. Con la crescente impronta di WordPress nei mercati web, gli hacker hanno preso atto, prendendo di mira in particolare i siti WordPress. Indipendentemente dai contenuti e dai servizi forniti dal tuo sito, senza le giuste precauzioni di sicurezza, sei sempre a rischio.

Il tuo sforzo per lanciare un sito efficiente è del tutto vano se trova un modo per farsi del male. L'hacking di Internet e gli attacchi casuali a volte sono così prevedibili che il tuo sito può bloccarsi in una frazione di secondo. Quindi è sempre saggio proteggere il tuo WordPress nel miglior modo possibile. Ecco alcuni suggerimenti per proteggere il tuo sito Web WordPress.

1. Aggiorna regolarmente WordPress, temi e plugin

Ogni aggiornamento comporta un paio di modifiche che spesso includono aggiornamenti alle funzionalità di sicurezza. L'aggiornamento di WordPress, temi e plug-in con l'ultima versione ti protegge da scappatoie pre-identificate e dagli exploit degli hacker.

Per fortuna, WordPress scarica automaticamente eventuali aggiornamenti minori. Ma dovrai apportare ulteriori aggiornamenti dalla dashboard di amministrazione di WordPress per le versioni principali.

2. Modifica il prefisso della tabella di WordPress

L'installazione di WordPress con il prefisso predefinito, ad esempio "wp_", rende i dati del tuo sito soggetti ad attacchi di SQL injection. Quindi, la prima cosa da fare è cambiare il tuo wp_ in qualcosa come wpmy_ o wpnew_ o anche qualcosa di casuale.

Ma se hai installato il tuo sito Web WordPress con il prefisso wp_, usa i plugin per cambiarlo. Plugin come Change Table Prefix, iThemes Security e WP-DB Manager fanno il lavoro con un semplice clic di un pulsante.

3. Modificare il nome utente "admin" predefinito

Non utilizzare mai e mai il nome utente "admin" per il tuo account amministratore. Ognuno di questi nomi utente facili da indovinare apre facilmente le porte agli hacker. Se il nome utente è così facilmente prevedibile, tutto ciò che devono capire è la password. Non vuoi rendere le cose più facili per loro, vero?

WordPress non ti consente di modificare i nomi utente per impostazione predefinita. Quindi ci sono alcuni modi in cui puoi cambiare il nome utente: creare un nuovo nome utente amministratore e cancellare quello vecchio, utilizzare il plug-in Username Changer o aggiornare il nome utente da phpMyAdmin.

4. Aggiungere le autenticazioni a due fattori

Con il modulo di autenticazione a due fattori, l'utente fornisce i propri dettagli di accesso per due diversi componenti e l'amministratore del sito Web può decidere quali sono questi due, ad esempio una password normale seguita da una domanda, un codice, un insieme di caratteri OPPURE fornendo un codice segreto al telefono utilizzando l'app Google Authenticator.

Ciò significa che solo la persona che utilizza il tuo telefono può accedere al tuo sito. Innanzitutto, installa e attiva il plug-in di autenticazione a due fattori, quindi fai clic sul collegamento "Two Factor Auth" nella barra laterale dell'amministratore di WordPress.

Alcuni plugin che puoi utilizzare per implementare l'autenticazione a due fattori:

• Google Authenticator - Autenticazione a due fattori di WordPress (2FA, MFA)
• Autenticazione a due fattori
• Autenticazione a due fattori Duo

5. Installa il certificato SSL

Single Sockets Layer, comunemente noto come SSL, era precedentemente utilizzato per proteggere transazioni specifiche come i pagamenti di processo. Ma ora, poiché Google ha riconosciuto l'importanza di SSL, i siti forniti con il certificato SSL hanno un valore spostato nei risultati di ricerca.

Una buona società di hosting offre gratuitamente il certificato SSL Let's Encrypt. In caso contrario, per i siti Web che accettano informazioni sensibili, dovrebbero pagare il prezzo SSL di circa $ 70- $ 199 all'anno. SSL è obbligatorio per la pagina web che elabora informazioni sensibili, altrimenti i dati tra il tuo server web e il browser web dell'utente sono forniti in testo normale che può essere letto dagli hacker.

6. Installa un plugin di sicurezza per WordPress

Può essere frenetico controllare regolarmente la sicurezza del tuo sito. E anche in questo caso potresti non notare il malware a meno che non venga aggiornato regolarmente con le recenti pratiche di codifica. Per fortuna, ci sono alcuni plugin di sicurezza di WordPress progettati per fare il lavoro per te.

Un plug-in di sicurezza di WordPress esegue la scansione del malware per prendersi cura della sicurezza del tuo sito e monitora il tuo sito 24 ore su 24, 7 giorni su 7. Gli sviluppatori preferiscono il plug-in di sicurezza di Wordfence come firewall per endpoint e scanner di malware. Valuta in modo efficiente lo stato di sicurezza totale di tutti i tuoi siti Web in un'unica vista.

7. Proteggi il tuo wp-config.php

Puoi proteggere il tuo wp-config.php nascondendo il tuo file wp-config.php. Ciò impedisce agli hacker di accedere al tuo sito. Sebbene questa procedura sia fortemente consigliata per sviluppatori esperti, può essere frenetica per i nuovi arrivati.

Innanzitutto, esegui il backup di tutti i tuoi file e quindi aggiungi il seguente codice al tuo file .htaccess :

 # protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>

8. Rinomina il tuo URL di accesso

"tuosito.com/wp-admin" è l'accesso predefinito di un sito. Tale accesso è mirato a un attacco brutale per decifrare la combinazione di nome utente e password o potresti ricevere alcune registrazioni di spam.

Quindi è consigliabile modificare l'URL di accesso dell'amministratore. Puoi anche aggiungere alcuni plug-in di autenticazione o una domanda di sicurezza alla pagina di registrazione e accesso. Inoltre, controlla gli IP dei tentativi di accesso più falliti e bloccali.?

9. Scegli una buona compagnia di hosting

La brillante pubblicità per il provider di hosting economico è sempre allettante. Ma spesso provoca incubi lungo la strada. Sono stati annotati i casi in cui il tuo URL viene reindirizzato da qualche altra parte o i tuoi dati vengono completamente cancellati.

Se spendere un paio di dollari in più può semplicemente mantenere sicuro il tuo sito, non esitare. Senti, ho capito che vuoi un inizio economico. Ma se una buona società di hosting può creare alcuni livelli di sicurezza aggiuntivi per il tuo web, perché no?

10. Prestare attenzione alle autorizzazioni dei file

WordPress consente a diversi file di essere scrivibili dal server web. Ma tale autorizzazione per l'accesso in scrittura ai tuoi file è pericolosa. È consigliabile limitare le autorizzazioni dei file per allentare tali limitazioni quando è necessario consentire l'accesso in scrittura. Proteggi i file importanti dall'eccesso altrui.

11. Esegui regolarmente il backup del tuo sito

Potresti avere cento modi per proteggere il tuo sito Web WordPress, ma ci sono sempre le possibilità che i dati vengano cancellati. Quindi, alla fine, il modo migliore è mantenere un backup fuori sede da qualche altra parte. Con i dati di backup, puoi facilmente ripristinare il tuo sito Web WordPress ogni volta che vuoi.

Puoi utilizzare plugin come UpdraftPlus, VaultPress, BlogVault, BackWPup, ecc.

Per concludere:

La protezione del tuo WordPress è una parte cruciale dell'avere un sito web. Puoi essere vittima di storie in cui un hacker prosciuga tutte le informazioni personali e cancella i dati. Ma mantenere la sicurezza del tuo sito non significa che tu abbia adottato semplici trucchi di protezione. Segui attentamente la procedura sopra elencata e sarai in grado di proteggere facilmente il tuo sito Web WordPress.

Oh, assicurati solo di eseguire il backup del file anche prima di apportare le modifiche minime.