Sicurezza di WordPress: consigli essenziali per ogni proprietario di un sito

Sapevi che ogni minuto vengono effettuati oltre 90.978 attacchi ai siti Web WordPress? Fortunatamente, anche se questo numero sembra enorme, se segui le regole di sicurezza di base, puoi prevenire la maggior parte dei potenziali attacchi e rendere il tuo sito Web a prova di attacco.

O almeno rendere così difficile l'irruzione che gli hacker preferirebbero prendere di mira uno delle migliaia di quelli scarsamente protetti. Il che non è così difficile da fare, soprattutto se si considera che molti attacchi vengono eseguiti dopo che gli scanner di vulnerabilità automatizzati hanno trovato potenziali vie d'ingresso. Quindi, come aumentare alle stelle la sicurezza del tuo sito WordPress? Ecco i 6 consigli essenziali.

1. Mantieni aggiornati l'installazione, i temi e i plug-in del WP

Un gioco da ragazzi ma spesso ignorato. Secondo WordPress.org , 1/3 di tutti i siti Web WordPress non è stato aggiornato all'ultima versione. Inoltre, quasi i 2/3 di tutti gli host web utilizzano PHP precedente alla 7.0. L'installazione di WordPress obsoleta e i framework dei server rappresentano una grande minaccia per il tuo sito e aumentano il rischio di una violazione riuscita poiché gli hacker cercheranno di accedere al tuo sito Web utilizzando vulnerabilità senza patch.

In effetti, se mantieni aggiornati tutti i tuoi temi, plug-in e WordPress, sarai più sicuro del 75% di tutti i siti legittimi, poiché si stima che tre siti su quattro contengano vulnerabilità senza patch. Fortunatamente, ottenere le ultime versioni dei tuoi plugin WP, temi e WP stesso è piuttosto semplice: tutto ciò che serve sono pochi clic di un pulsante.

Allo stesso tempo, assicurarsi che il server esegua l'ultima versione di PHP può richiedere un po' più di tempo. Ecco perché è meglio contattare il supporto dell'hosting e chiedere loro di indicarti una guida su come aggiornarlo tu stesso o addirittura chiedere loro di aggiornarlo per te.

2. Installare uno scanner di malware e un firewall

Se pensavi che solo il tuo PC potesse essere colpito da malware, virus e attacchi di forza bruta, non potresti sbagliarti di più. Non solo WordPress può essere colpito, ma è, in effetti, il CMS del sito Web più infetto , che molto probabilmente ha molto a che fare con la sua popolarità.

La buona notizia è che ci sono molti firewall e scanner di malware gratuiti ea pagamento per WordPress. Uno dei più popolari è Wordfence Security , che offre sia la scansione del malware che il firewall ed è disponibile sia in versione gratuita che a pagamento.

3. Ottieni un VPS e trasformalo in una fortezza

Rispetto a un hosting condiviso, un VPS consente di controllare ogni aspetto della sua configurazione. Grazie a ciò non solo puoi rendere più veloce il tuo sito Web, ma anche assicurarti che il suo ambiente di hosting, il server, sia adeguatamente protetto.

Su un VPS non gestito, sta a te scegliere il sistema operativo (ad esempio, CentOS è considerato più sicuro rispetto a Ubuntu), il firewall e altri software che installi, come gli scanner di malware (che dovresti installare sia su WordPress che su server stesso).

Inoltre, installando il tuo WordPress su un VPS in cui hai un accesso root, è facile cambiare cose come le password MySQL o rinominare le cartelle di WordPress e riconfigurarne i file per ridurre la possibilità di un potenziale attacco. Sebbene alcuni di questi possano essere eseguiti anche utilizzando i plug-in di sicurezza

Naturalmente, per sfruttare tutti i vantaggi di un server privato virtuale (velocità, flessibilità e scalabilità per citarne alcuni), dovresti noleggiare un server da un'azienda che offre pacchetti di prezzi diversi che sono facili da aggiornare se hai bisogno di più risorse. Puoi vedere un ottimo esempio di tale offerta qui .

4. Nascondi /wp-admin e la tua installazione di WordPress

Perché dire al mondo che stai utilizzando WordPress in primo luogo? Sebbene sia un ottimo sistema di gestione dei contenuti, non devi necessariamente vantarti di eseguirlo. Soprattutto perché fornisce informazioni preziose al potenziale intruso. Ad esempio, a meno che tu non nascondi WordPress, siti Web come What WordPress Theme is That? divulgare informazioni non solo sul tema utilizzato, ma anche su alcuni plug-in. È come dire all'hacker ehi, ecco come puoi entrare:

Quindi, come nascondi le informazioni del tuo sito WP da occhi indiscreti di potenziali intrusi? Fortunatamente, non hai bisogno di alcuna competenza tecnica. Dove c'è richiesta, ci sono plugin di WordPress, che puoi usare per farlo: il più popolare è Hide My WP by the wave, che può nascondere la tua pagina di accesso e rendere invisibili i dettagli sul tuo sito Web WordPress (purtroppo, c'è nessuna versione gratuita).

In alternativa, puoi ottenere la versione gratuita di iThemes Security , che non ti offre tante opzioni per nascondere (sebbene ti permetta di nascondere la pagina di accesso), ma include molti altri vantaggi di sicurezza.

5. Cambia il tuo nome utente WP e tienilo nascosto

Proprio come non dovresti usare la parola password come password effettiva, lasciare il nome utente amministratore predefinito di WordPress può avere conseguenze disastrose. Alla fine, è probabilmente la prima cosa che un potenziale intruso proverebbe a indovinare, quindi usandolo rendi incredibilmente facile per loro capire i dettagli del tuo account amministratore.

Come cambiarlo? Ci sono due modi in cui puoi farlo. Potresti cercare un plugin che possa farlo per te o andare in modo manuale. Personalmente, preferisco quest'ultimo, perché è altrettanto semplice e veloce, e chiunque può farlo. Ma poiché WordPress non ti offre un'opzione pronta all'uso per cambiarlo, devi utilizzare una piccola soluzione alternativa. Innanzitutto, accedi al tuo sito e vai su Utenti> Aggiungi nuovo.

Una volta lì, inserisci il nome utente del tuo nuovo account amministratore e assicurati di impostare il ruolo utente su Amministratore. Al termine, fai clic su Mostra password e modifica o copia la password predefinita (sicura).

Dopo aver creato l'utente, disconnettersi dal sito e accedere utilizzando il nuovo utente. Vai su Utenti > Tutti gli utenti e rimuovi il vecchio account amministratore di WordPress. Ma non è tutto. Hai bisogno di un account con cui pubblicare i tuoi post, giusto? Invece di pubblicarli usando un amministratore che, a causa dei permalink, rende facile indovinare il suo nome utente (a meno che tu non ci giochi), vai avanti e crea un account separato. Questa volta, invece di impostare il suo ruolo su un amministratore, impostalo su uno che non ha capacità di amministratore (come quella di un autore o di un editor).

Una volta terminato, vai avanti e imposta l'autore di tutti i post esistenti sul nuovo utente (puoi farlo in Tutti i post> Modifica rapida sotto ogni articolo).

6. Proteggi gli account utente WordPress esistenti

Lavori con assistenti virtuali o hai dipendenti che possono accedere al tuo sito Web WordPress? In questo caso, è meglio non concedere loro l'accesso a tutti i plug-in e tutti i dati. Alla fine, probabilmente non devono essere in grado di configurare tutti i plugin del tuo sito. E, a meno che non siano uno sviluppatore fidato, non dovrebbero assolutamente avere accesso all'editor del tema. Come limitare il loro accesso? Uno dei modi è creare i propri account e impostare i propri ruoli su uno di quelli predefiniti del collaboratore, autore o editore.

Ma cosa succede se si desidera bloccarli da più di quanto questi ruoli limitano mentre si concede loro l'accesso a parti del sito Web che le impostazioni predefinite non forniscono loro? In questo caso, puoi utilizzare un plug-in gratuito come User Role Editor , che ti consente di creare nuovi ruoli e impostare a quali elementi del sito Web possono accedere.

7. Monitorare l'attività tramite il registro di controllo

E se non potessi semplicemente impedire ai tuoi utenti di accedere alla maggior parte degli elementi vulnerabili sul tuo sito web, ma vorresti almeno sapere chi ha cambiato o modificato cosa, nel caso qualcosa andasse storto? Per ottenere una panoramica sotto forma di un registro di controllo completo, è possibile installare il registro di controllo della sicurezza di WP . La sua versione gratuita è più che sufficiente per darti una comoda panoramica dell'attività dei tuoi dipendenti e VA:

8. Rendi l'accesso più sicuro utilizzando Google Authenticator

A proposito di utenti, c'è un'altra cosa che puoi fare per rendere il tuo sito ancora più sicuro. Immagina di farti rubare le credenziali di WordPress (o quelle dei tuoi dipendenti). In questo caso, a seconda del ruolo utente del tuo dipendente, un intruso potrebbe avere accesso all'intero sito Web WP. Per evitare che ciò accada, considera l'aggiunta di un'autenticazione a due fattori all'accesso. Il modo più semplice per farlo è il plug-in di Google Authenticator . Una volta fatto, anche se qualcuno ottiene il tuo nome utente e password, non sarà in grado di accedere senza il codice fornito dall'app Google Authenticator.

Come puoi vedere, anche se WordPress è considerato il sistema di gestione dei contenuti più vulnerabile tra tutti quelli popolari, non è così difficile ridurre al minimo o addirittura eliminare completamente i rischi più comuni e proteggere gli elementi più in pericolo sul tuo sito web.

Se segui i suggerimenti di cui sopra, mantieni la cautela quando concedi ad altri l'accesso al tuo sito e mantieni aggiornati gli elementi del tuo sito, il tuo sito Web e, con esso, la tua attività sarà al sicuro da potenziali intrusi. Per non parlare di quanto puoi risparmiare ha solo impedito la violazione della sicurezza.