Molti proprietari di siti Web si lamentano della sicurezza di WordPress.ย Il pensiero รจ che uno script open source รจ vulnerabile a tutti i tipi di attacchi.ย Possiamo dire che รจ vero?ย E se sรฌ, come mettere in sicurezza il tuo sito WordPress?
Vedremo alcuni semplici trucchi che possono aiutarti a proteggere il tuo sito Web WordPress. Dopo aver implementato queste tattiche e aver seguito i controlli di sicurezza, sarai sulla buona strada per proteggere definitivamente il tuo sito WordPress.
Vuoi mettere il tuo sito WordPress totalmente in sicurezza?
I nostri esperti eseguono il lavoro per te. Scopri anche l’hosting sicuro per WordPress
Proteggi la pagina di accesso e previeni gli attacchi di brute forcing
Tutti conoscono l’URL della pagina di accesso standard di WordPress.ย Il backend del sito web รจ accessibile da lรฌ, e questo รจ il motivo per cui le persone cercano di utilizzare il brute forcing su quella pagina. Aggiungi semplicementeย /wp-login.phpย oย /wp-admin/ย alla fine del tuo nome di dominio sei pronto a sferrare l’attacco.
Quello che consiglio รจ di personalizzare l’URL della pagina di accesso e anche l’interazione della pagina. Questa รจ la prima cosa che faccio quando cerco di proteggere il mio sito web.
Ecco alcuni suggerimenti per proteggere la tua pagina di accesso al sito Web di WordPress:ย
Impostare una funzione anti brute forcing
Una funzionalitร che blocca i ripetuti tentativi di accesso falliti puรฒ risolvere l’enorme problema dei brute forcing.ย Ogni volta che si verifica un tentativo di hacking con password errate e ripetitive, il sito viene bloccato e al proprietario viene notificata questa attivitร non autorizzata.
iThemes Security รจ uno dei migliori plugin di questo tipo. Il plugin ha molto da offrire in questo senso.ย Oltre a 30 straordinarie misure di sicurezza, รจ possibile specificare un certo numero di tentativi di accesso non riusciti prima che il plug-in vieti l’indirizzo IP dell’utente malintenzionato.
Utilizzare l’autenticazione a 2 fattori
L’introduzione di un modulo di autenticazione a 2 fattori (2FA) nella pagina di accesso รจ un’altra buona misura di sicurezza.ย In questo caso, l’utente fornisce i dettagli di accesso per due diversi componenti.ย Il proprietario del sito web decide quali sono questi due.ย
Puรฒ essere una normale password seguita da una domanda segreta, un codice segreto, un set di caratteri o l’app Google Authenticator, che invia un codice segreto al telefono.ย In questo modo, solo la persona con il tuo telefono puรฒ accedere al tuo sito.
Usa la tua email per accedere
Per impostazione predefinita, devi inserire il tuo nome utente per accedere a WordPress.L’utilizzo di un ID e-mail invece di un nome utente รจ un approccio piรน sicuro. Le ragioni sono abbastanza ovvie. I nomi utente sono facili da prevedere, mentre gli ID e-mail non lo sono. Inoltre, qualsiasi account utente di WordPress viene creato con un indirizzo email univoco, rendendolo un identificatore valido per l’accesso.
Diversi plug-in di sicurezza consentono di configurare pagine di accesso in modo che tutti gli utenti debbano utilizzare i loro ID e-mail per accedere.ย
Rinomina l’URL di accesso per proteggere il sito Web WordPress
Cambiare l’URL di accesso รจ una cosa facile da fare. Per impostazione predefinita, รจ possibile accedere facilmente alla pagina di accesso di WordPress tramite wp-login.phpo wp-admin aggiunto all’URL principale del sito.
Quando gli hacker conoscono l’URL diretto della tua pagina di accesso, possono provare ad utilizzare il brute forcing. Cercano di accedere con il loro GWDb (Guess Work Database, cioรจ un database di nomi utente e password probabili, ad esempio username:ย adminย e password:ย p@sswordย … con milioni di tali combinazioni).
A questo punto, abbiamo giร limitato i tentativi di accesso utente e scambiato i nomi utente per gli ID email.ย Ora possiamo sostituire l’URL di accesso e sbarazzarci del 99% degli attacchi.
Questo piccolo trucco impedisce a un utente non autorizzato di accedere alla pagina di accesso.ย Solo qualcuno con l’URL esatto puรฒ farlo.ย Anche in questo caso, il pluginย iThemes Securityย puรฒ aiutarti a cambiare i tuoi URL di accesso.ย Cosรฌ:
- Cambiaย
wp-login.phpย in qualcosa di unico;ย es.ย my_new_login - Cambiaย
/wp-admin/ย in qualcosa di unico;ย es.ย my_new_admin - Cambiaย
/wp-login.php?action=registerย in qualcosa di unico;ย ad esempioย my_new_registeration
Il tuo sito WordPress completamente al sicuro in 48H, chiavi in mano. Chiedi una consulenza gratuita ai nostri tecnici
Migliora le tue password
Gioca con le tue password e modificale regolarmente per proteggere il tuo sito Web WordPress.ย Migliora la loro forza aggiungendo lettere maiuscole e minuscole, numeri e caratteri speciali.ย
Molte persone optano per lunghe passphrase in quanto sono quasi impossibili da prevedere per gli hacker, ma piรน facili da ricordare rispetto a un gruppo di numeri e lettere casuali.
LastPassย รจ uno dei modi piรน semplici per gestire le tue password.ย Non solo genererร password sicure per te, ma le memorizzerร all’interno di un componente aggiuntivo del browser, il che ti eviterร il fastidio di doverli ricordare.
Registra automaticamente gli utenti inattivi dal tuo sito
Gli utenti che lasciano il tuo sito WordPress aperto sui loro schermi possono rappresentare una seria minaccia alla sicurezza.ย Qualsiasi passante puรฒ modificare le informazioni sul tuo sito web, modificare l’account utente di una persona o addirittura violare del tutto il sito.ย Puoi evitarlo assicurandoti che il tuo sito registri le persone dopo essere rimasti inattive per un certo periodo di tempo.
Puoi impostarlo usando un plugin come la sicurezza BulletProof.ย Questo plug-in ti consente di impostare un limite di tempo personalizzato per gli utenti inattivi, dopo il quale verranno automaticamente disconnessi.
Proteggi il tuo sito Web WordPress attraverso la dashboard dell’amministratore
Per un hacker, la parte piรน intrigante di un sito Web รจ la dashboard dell’amministratore, che รจ in effetti la sezione piรน protetta di tutti.ย Quindi, attaccare la parte piรน forte รจ la vera sfida.ย Se portato a termine, dร all’hacker l’accesso per fare un sacco di danni.
Ecco cosa puoi fare per proteggere la dashboard dell’amministratore del tuo sito web WordPress:ย
Proteggi la directory di wp-admin
La directory wp-admin รจ il cuore di qualsiasi sito Web WordPress. Pertanto, se questa parte del tuo sito viene violata, l’intero sito puรฒ essere danneggiato.
Un modo possibile per evitarlo รจ proteggere con password la directory diย wp-adminย .Con tale misura di sicurezza, il proprietario del sito web puรฒ accedere alla dashboard inviando due password.ย
Uno protegge la pagina di accesso e l’altro protegge l’area di amministrazione di WordPress.ย Se agli utenti del sito Web รจ richiesto di accedere ad alcune parti particolari diย wp-adminย , รจ possibile sbloccare quelle parti bloccando il resto.
ร possibile utilizzare il plugin AskApache Password Protect per proteggere l’area di amministrazione.ย Genera automaticamente un fileย .htpasswdย , crittografa la password e configura le autorizzazioni corrette per i file di sicurezza.
Usa SSL per crittografare i dati
Attivare l’HTTPS e SSL su WordPress (Secure Socket Layer) รจ una mossa intelligente per proteggere il pannello di amministrazione.ย SSL garantisce il trasferimento sicuro dei dati tra i browser degli utenti e il server, rendendo difficile per gli hacker violare la connessione o falsificare le informazioni.
Ottenere un certificato SSL per il tuo sito Web WordPress รจ semplice.ย Puoi acquistarne uno da un’azienda di terze parti o controllare se la tua societร di hosting ne fornisce uno gratuitamente.
Vuoi installare HTTPS sul tuo WordPress senza perdere posizionamento SEO?
Eseguiamo il lavoro direttamente, chiavi in mano. Contattaci
Gestisci le password dei tuoi utenti
Se gestisci un blog WordPress, o meglio un blog con piรน autori, devi occuparti di piรน persone che accedono al tuo pannello di amministrazione. Ciรฒ potrebbe rendere il tuo sito Web piรน vulnerabile alle minacce alla sicurezza.
Puoi usare un plugin come Force Strong Passwords se vuoi assicurarti che le password fatte dagli utenti siano sicure.ย Questa รจ solo una misura precauzionale, ma รจ meglio che avere diversi utenti con password deboli.
Cambia il nome utente dell’amministratore
Durante l’installazione di WordPress, non devi mai scegliere “admin” come nome utente per il tuo account di amministratore principale.ย Un nome utente facile da indovinare e accessibile agli hacker.ย Tutto quello di cui hanno bisogno รจ capire la password, quindi tutto il tuo sito finisce nelle mani sbagliate.
Monitora i tuoi file
Se vuoi maggiore sicurezza, controlla le modifiche ai file del tuo sito web tramite plugin come iThemes Security.
Proteggi il tuo sito Web WordPress attraverso il database
Tutti i dati e le informazioni del tuo sito sono memorizzati nel database.ย Prendersi cura di questo componente รจ fondamentale.ย Ecco alcune cose che puoi fare per renderlo piรน sicuro:ย
Modificare il prefisso della tabella del database di WordPress
Se hai mai installato WordPress, hai familiaritร con il prefisso wp- table utilizzato dal database di WordPress. Ti consiglio di cambiarlo in qualcosa di unico.
L’utilizzo del prefisso predefinito rende il database del sito soggetto agli attacchi di SQL injection. Tali attacchi possono essere prevenuti cambiando wp- in altri termini. Ad esempio, puoi renderlo mywp- o wpnew- .
Se hai giร installato il tuo sito Web WordPress con il prefisso predefinito, puoi utilizzare alcuni plug-in per modificarlo.ย Plugin come WP-DBManager possono aiutarti a fare il lavoro con un semplice clic. Assicurati di eseguire il backup del tuo sito prima di fare qualsiasi cosa nel database.
Effettua regolarmente i backup per proteggere il tuo sito Web WordPress
Non importa quanto sia sicuro il tuo sito Web WordPress, c’รจ sempre spazio per miglioramenti.ย Ma alla fine della giornata, tenere da qualche parte un backup รจ forse il miglior antidoto, qualunque cosa accada.
Se si dispone di un backup, รจ possibile ripristinare il sito Web di WordPress su uno stato funzionante in qualsiasi momento.ย Ci sono alcuni plugin che possono aiutarti in questo senso.ย
Se stai cercando una soluzione premium, ti consiglioย VaultPressย di Automattic, che รจ fantastico.ย L’ho configurato cosรฌ crea backup ogni settimana.ย E se dovesse accadere qualcosa di brutto, posso facilmente ripristinare il sito con un solo clic.
So che alcuni siti web piรน grandi eseguono backup ogni ora, ma per la maggior parte delle organizzazioni รจ completo.ย Per non parlare del fatto che รจ necessario assicurarsi che la maggior parte di questi backup venga eliminata dopo averne creata una nuova poichรฉ ogni file di backup occupa spazio sull’unitร .ย Detto questo, consiglierei backup settimanali o mensili per la maggior parte delle organizzazioni.
Imposta password complesse per il tuo database
Una password complessa per l’utente del database principale รจ un must poichรฉ questa password รจ quella utilizzata da WordPress per accedere al database.
Come sempre, usa maiuscole, lettere minuscole, numeri e caratteri speciali per la password.ย Le passphrase sono eccellenti.ย
Monitorare i registri di controllo
Quando esegui un multisito WordPress o gestisci un sito Web con piรน autori, รจ essenziale capire chi fa cosa.ย I tuoi scrittori e contributori potrebbero cambiare le password, ma ci sono altre cose che potresti non volere che accadano.
Ad esempio, le modifiche ai temi e ai widget sono ovviamente riservate solo agli amministratori.ย Quando controlli il log, sei in grado di assicurarti che i tuoi amministratori e collaboratori non stiano tentando di modificare qualcosa sul tuo sito senza approvazione.
Vuoi piรน controllo e sicurezza sul tuo WordPress? Vuoi controllare cosa fanno i tuoi collaboratori?
Contattaci per un lavoro personalizzato
Proteggi il tuo sito Web WordPress con l’hosting
Quasi tutte le societร di hosting sostengono di fornire un ambiente ottimizzato per WordPress, ma possiamo ancora fare un passo in piรน:ย
Proteggi il file wp-config.php
Il file wp-config.php contiene informazioni cruciali sulla tua installazione di WordPress ed รจ il file piรน importante nella directory principale del tuo sito. Proteggerlo significa proteggere il cuore del tuo blog WordPress.
Questa tattica rende le cose difficili agli hacker per violare la sicurezza del tuo sito, dal momento che il fileย wp-config.phpย diventa inaccessibile.
Come bonus, il processo di protezione รจ davvero semplice. Basta prendere il tuo file wp-config.php e spostarlo a un livello superiore rispetto alla directory principale.
Ora, la domanda รจ, se la memorizzi altrove, come fa il server ad accedervi?ย Nell’attuale architettura di WordPress, le impostazioni del file di configurazione sono impostate al livello piรน alto nell’elenco di prioritร .ย Quindi, anche se รจ memorizzato una cartella sopra la directory radice, WordPress puรฒ ancora vederlo.ย
Non consentire la modifica dei file
Se un utente ha accesso amministrativo al dashboard di WordPress, puรฒ modificare qualsiasi file che fa parte dell’installazione di WordPress. Questo include tutti i plugin e i temi.
Se non si consente la modifica dei file, nessuno sarร in grado di modificare alcun file, anche se un hacker ottiene l’accesso amministrativo al dashboard di WordPress.
Per fare in modo che funzioni, aggiungi quanto segue al file wp-config.php (alla fine):
define('DISALLOW_FILE_EDIT', true);ย
Collegare correttamente il server
Durante laย configurazione del sitoย , collegare il server solo tramite SFTP o SSH.ย SFTP รจ sempre preferito rispetto all’FTP tradizionale a causa delle sue caratteristiche di sicurezza che, ovviamente, non sono attribuite con FTP.
La connessione del server in questo modo garantisce trasferimenti sicuri di tutti i file.Molti provider di hosting offrono questo servizio come parte del loro pacchetto.
Impostare attentamente le autorizzazioni di directory
I permessi di directory errati possono essere fatali, specialmente se stai lavorando in un ambiente di hosting condiviso.
In tal caso, la modifica dei permessi di file e directory รจ una buona mossa per proteggere il sito Web a livello di hosting.ย Impostando i permessi della directory su “755” e i file su “644” proteggerai l’intero file system – directory, sottodirectory e i singoli file.
Questo puรฒ essere fatto manualmente tramite il File Manager all’interno del tuo pannello di controllo di hosting, o attraverso il terminale (connesso con SSH) – usa il comando “chmod”.
Disabilita l’elenco delle directory con .htaccess
Se crei una nuova directory come parte del tuo sito web e non inserisci un fileย index.html al suo interno, potresti essere sorpreso di scoprire che i tuoi visitatori possono ottenere un elenco completo di tutto ciรฒ che si trova in quella directory.
Ad esempio, se crei una directory chiamata “dati”, puoi vedere tutto in quella directory semplicemente digitandoย http://www.example.com/data/ย nel tuo browser.ย Non รจ richiesta nessuna password.
Puoi evitarlo aggiungendo la seguente riga di codice nel tuo file .htaccess :
Options All -Indexesย
Blocca tutti gli hotlinking
Supponiamo che tu trovi un’immagine online e desideri condividerla sul tuo sito web. Prima di tutto, hai bisogno di un permesso o di pagare per quell’immagine, altrimenti ci sono buone probabilitร che sia illegale farlo.ย
Ma se ottieni il permesso, potresti estrarre direttamente l’URL dell’immagine e utilizzarlo per posizionare la foto nel tuo post.ย Il problema principale qui รจ che l’immagine รจ mostrata sul tuo sito, ma รจ ospitata sul server di un altro sito.
Da questo punto di vista, non hai alcun controllo sul fatto che la foto resti sul server o meno. Ma รจ anche importante rendersi conto che le persone potrebbero farlo al tuo sito web.
Se stai cercando di proteggere il tuo sito Web WordPress, l’hotlinking รจ come se un’altra persona che scatta la foto rubasse la larghezza di banda del server per mostrare l’immagine sul proprio sito web.ย Alla fine, noterai una velocitร di caricamento piรน lenta.
Sebbene esistano alcune tecniche manuali per impedire l’hotlinking, il metodo piรน semplice รจ trovare un plug-in di sicurezza per il lavoro.ย Ad esempio, il plugin All in One WP Security and Firewall include strumenti integrati per il blocco di tutti gli hotlinking.
Comprendi e proteggi contro gli attacchi DDoS
Un attacco DDoS รจ un tipo comune di attacco contro la larghezza di banda del server, in cui l’utente malintenzionato utilizza piรน programmi e sistemi per sovraccaricare il server.
Anche se un attacco come questo non mette a repentaglio i file del tuo sito, รจ destinato a mandare in crash il tuo sito per un lungo periodo di tempo se non viene risolto.
Solitamente, si sente parlare di attacchi DDoS solo quando capita a grandi aziende come GitHub o Target.ย Sono condotti da quelli che molti chiamano cyber-terroristi, quindi il motivo potrebbe essere semplicemente quello di provocare il caos.
Detto questo, non รจ necessario essere un’azienda di Fortune 500 per essere a rischio.
Se questo ti preoccupa, ti consigliamo di iscriverti ad hosting che abbiano firewall di applicazioni Web per analizzare la larghezza di banda utilizzata e che siano predisposti per bloccare completamente gli attacchi DDoS.
Vuoi una analisi completa di sicurezza? contatta i nostri tecnici, una verifica totale e gratuita del tuo sito
Proteggi il tuo sito Web WordPress tramite temi e plug-in
Temi e plugin sono ingredienti essenziali per qualsiasi sito Web WordPress.Sfortunatamente, possono anche porre serie minacce alla sicurezza.ย Scopriamo come possiamo proteggere i tuoi temi WordPress e plugin nel modo giusto:ย
Aggiorna regolarmente
Ogni buon prodotto software รจ supportato dai suoi sviluppatori e viene aggiornato di tanto in tanto. Questi aggiornamenti hanno lo scopo di correggere i bug e talvolta hanno patch di sicurezza vitali. WordPress e i suoi plugin non sono diversi.
Pertanto, se utilizzi un prodotto WordPress, aggiornalo regolarmente.ย Plugin, temi, tutto.La buona notizia รจ che WordPress aggiorna automaticamente molti elementi, quindi riceverai un’email di notifica dell’aggiornamento e informazioni sulle correzioni nella dashboard.
Per quanto riguarda i plugin, questi devono essere aggiornati manualmente andando aiย Pluginย nella tua dashboard.ย Quando un plugin ha una nuova versione, ti avvisa e fornisce un link per aggiornarlo subito.
In alternativa, puoi optare per un piano di hosting WordPress gestito.ย Oltre a molte altre funzionalitร e miglioramenti alla tua sicurezza, l’hosting gestito offre aggiornamenti automatici per tutti gli elementi del tuo sito WordPress.
Rimuovere il numero di versione di WordPress
Il tuo attuale numero di versione di WordPress puรฒ essere trovato molto facilmente.ย In pratica, si trova proprio nel footer del tuo sito.ย Puoi anche vederlo nella parte inferiore della tua dashboard.
Se gli hacker sanno quale versione di WordPress usi, รจ piรน facile per loro costruire l’attacco perfetto.
Puoi nascondere il tuo numero di versione con quasi tutti i plugin di sicurezza che ho menzionato sopra.
Per un approccio piรน manuale (e per rimuovere anche il numero di versione dai feed RSS), considera l’aggiunta della seguente funzione al tuo file functions.php :
function wpbeginner_remove_version() { return ''; } add_filter('the_generator', 'wpbeginner_remove_version');
