Punti chiave
Molti proprietari di siti Web si lamentano della sicurezza di WordPress. Il pensiero è che uno script open source è vulnerabile a tutti i tipi di attacchi. Possiamo dire che è vero? E se sì, come mettere in sicurezza il tuo sito WordPress?
Vedremo alcuni semplici trucchi che possono aiutarti a proteggere il tuo sito Web WordPress. Dopo aver implementato queste tattiche e aver seguito i controlli di sicurezza, sarai sulla buona strada per proteggere definitivamente il tuo sito WordPress.
Vuoi mettere il tuo sito WordPress totalmente in sicurezza?
I nostri esperti eseguono il lavoro per te. Scopri anche l’hosting sicuro per WordPress
Proteggi la pagina di accesso e previeni gli attacchi di brute forcing
Tutti conoscono l’URL della pagina di accesso standard di WordPress. Il backend del sito web è accessibile da lì, e questo è il motivo per cui le persone cercano di utilizzare il brute forcing su quella pagina. Aggiungi semplicemente /wp-login.php
o /wp-admin/
alla fine del tuo nome di dominio sei pronto a sferrare l’attacco.
Quello che consiglio è di personalizzare l’URL della pagina di accesso e anche l’interazione della pagina. Questa è la prima cosa che faccio quando cerco di proteggere il mio sito web.
Ecco alcuni suggerimenti per proteggere la tua pagina di accesso al sito Web di WordPress:
Impostare una funzione anti brute forcing
Una funzionalità che blocca i ripetuti tentativi di accesso falliti può risolvere l’enorme problema dei brute forcing. Ogni volta che si verifica un tentativo di hacking con password errate e ripetitive, il sito viene bloccato e al proprietario viene notificata questa attività non autorizzata.
iThemes Security è uno dei migliori plugin di questo tipo. Il plugin ha molto da offrire in questo senso. Oltre a 30 straordinarie misure di sicurezza, è possibile specificare un certo numero di tentativi di accesso non riusciti prima che il plug-in vieti l’indirizzo IP dell’utente malintenzionato.
Utilizzare l’autenticazione a 2 fattori
L’introduzione di un modulo di autenticazione a 2 fattori (2FA) nella pagina di accesso è un’altra buona misura di sicurezza. In questo caso, l’utente fornisce i dettagli di accesso per due diversi componenti. Il proprietario del sito web decide quali sono questi due.
Può essere una normale password seguita da una domanda segreta, un codice segreto, un set di caratteri o l’app Google Authenticator, che invia un codice segreto al telefono. In questo modo, solo la persona con il tuo telefono può accedere al tuo sito.
Usa la tua email per accedere
Per impostazione predefinita, devi inserire il tuo nome utente per accedere a WordPress.L’utilizzo di un ID e-mail invece di un nome utente è un approccio più sicuro. Le ragioni sono abbastanza ovvie. I nomi utente sono facili da prevedere, mentre gli ID e-mail non lo sono. Inoltre, qualsiasi account utente di WordPress viene creato con un indirizzo email univoco, rendendolo un identificatore valido per l’accesso.
Diversi plug-in di sicurezza consentono di configurare pagine di accesso in modo che tutti gli utenti debbano utilizzare i loro ID e-mail per accedere.
Rinomina l’URL di accesso per proteggere il sito Web WordPress
Cambiare l’URL di accesso è una cosa facile da fare. Per impostazione predefinita, è possibile accedere facilmente alla pagina di accesso di WordPress tramite wp-login.php
o wp-admin
aggiunto all’URL principale del sito.
Quando gli hacker conoscono l’URL diretto della tua pagina di accesso, possono provare ad utilizzare il brute forcing. Cercano di accedere con il loro GWDb (Guess Work Database, cioè un database di nomi utente e password probabili, ad esempio username: admin
e password: p@ssword
… con milioni di tali combinazioni).
A questo punto, abbiamo già limitato i tentativi di accesso utente e scambiato i nomi utente per gli ID email. Ora possiamo sostituire l’URL di accesso e sbarazzarci del 99% degli attacchi.
Questo piccolo trucco impedisce a un utente non autorizzato di accedere alla pagina di accesso. Solo qualcuno con l’URL esatto può farlo. Anche in questo caso, il plugin iThemes Security può aiutarti a cambiare i tuoi URL di accesso. Così:
- Cambia
wp-login.php
in qualcosa di unico; es.my_new_login
- Cambia
/wp-admin/
in qualcosa di unico; es.my_new_admin
- Cambia
/wp-login.php?action=register
in qualcosa di unico; ad esempiomy_new_registeration
Migliora le tue password
Gioca con le tue password e modificale regolarmente per proteggere il tuo sito Web WordPress. Migliora la loro forza aggiungendo lettere maiuscole e minuscole, numeri e caratteri speciali.
Molte persone optano per lunghe passphrase in quanto sono quasi impossibili da prevedere per gli hacker, ma più facili da ricordare rispetto a un gruppo di numeri e lettere casuali.
LastPass è uno dei modi più semplici per gestire le tue password. Non solo genererà password sicure per te, ma le memorizzerà all’interno di un componente aggiuntivo del browser, il che ti eviterà il fastidio di doverli ricordare.
Registra automaticamente gli utenti inattivi dal tuo sito
Gli utenti che lasciano il tuo sito WordPress aperto sui loro schermi possono rappresentare una seria minaccia alla sicurezza. Qualsiasi passante può modificare le informazioni sul tuo sito web, modificare l’account utente di una persona o addirittura violare del tutto il sito. Puoi evitarlo assicurandoti che il tuo sito registri le persone dopo essere rimasti inattive per un certo periodo di tempo.
Puoi impostarlo usando un plugin come la sicurezza BulletProof. Questo plug-in ti consente di impostare un limite di tempo personalizzato per gli utenti inattivi, dopo il quale verranno automaticamente disconnessi.
Proteggi il tuo sito Web WordPress attraverso la dashboard dell’amministratore
Per un hacker, la parte più intrigante di un sito Web è la dashboard dell’amministratore, che è in effetti la sezione più protetta di tutti. Quindi, attaccare la parte più forte è la vera sfida. Se portato a termine, dà all’hacker l’accesso per fare un sacco di danni.
Ecco cosa puoi fare per proteggere la dashboard dell’amministratore del tuo sito web WordPress:
Proteggi la directory di wp-admin
La directory wp-admin è il cuore di qualsiasi sito Web WordPress. Pertanto, se questa parte del tuo sito viene violata, l’intero sito può essere danneggiato.
Un modo possibile per evitarlo è proteggere con password la directory di wp-admin .Con tale misura di sicurezza, il proprietario del sito web può accedere alla dashboard inviando due password.
Uno protegge la pagina di accesso e l’altro protegge l’area di amministrazione di WordPress. Se agli utenti del sito Web è richiesto di accedere ad alcune parti particolari di wp-admin , è possibile sbloccare quelle parti bloccando il resto.
È possibile utilizzare il plugin AskApache Password Protect per proteggere l’area di amministrazione. Genera automaticamente un file .htpasswd , crittografa la password e configura le autorizzazioni corrette per i file di sicurezza.
Usa SSL per crittografare i dati
Attivare l’HTTPS e SSL su WordPress (Secure Socket Layer) è una mossa intelligente per proteggere il pannello di amministrazione. SSL garantisce il trasferimento sicuro dei dati tra i browser degli utenti e il server, rendendo difficile per gli hacker violare la connessione o falsificare le informazioni.
Ottenere un certificato SSL per il tuo sito Web WordPress è semplice. Puoi acquistarne uno da un’azienda di terze parti o controllare se la tua società di hosting ne fornisce uno gratuitamente.
Vuoi installare HTTPS sul tuo WordPress senza perdere posizionamento SEO?
Eseguiamo il lavoro direttamente, chiavi in mano. Contattaci
Gestisci le password dei tuoi utenti
Se gestisci un blog WordPress, o meglio un blog con più autori, devi occuparti di più persone che accedono al tuo pannello di amministrazione. Ciò potrebbe rendere il tuo sito Web più vulnerabile alle minacce alla sicurezza.
Puoi usare un plugin come Force Strong Passwords se vuoi assicurarti che le password fatte dagli utenti siano sicure. Questa è solo una misura precauzionale, ma è meglio che avere diversi utenti con password deboli.
Cambia il nome utente dell’amministratore
Durante l’installazione di WordPress, non devi mai scegliere “admin” come nome utente per il tuo account di amministratore principale. Un nome utente facile da indovinare e accessibile agli hacker. Tutto quello di cui hanno bisogno è capire la password, quindi tutto il tuo sito finisce nelle mani sbagliate.
Monitora i tuoi file
Se vuoi maggiore sicurezza, controlla le modifiche ai file del tuo sito web tramite plugin come iThemes Security.
Proteggi il tuo sito Web WordPress attraverso il database
Tutti i dati e le informazioni del tuo sito sono memorizzati nel database. Prendersi cura di questo componente è fondamentale. Ecco alcune cose che puoi fare per renderlo più sicuro:
Modificare il prefisso della tabella del database di WordPress
Se hai mai installato WordPress, hai familiarità con il prefisso wp-
table utilizzato dal database di WordPress. Ti consiglio di cambiarlo in qualcosa di unico.
L’utilizzo del prefisso predefinito rende il database del sito soggetto agli attacchi di SQL injection. Tali attacchi possono essere prevenuti cambiando wp-
in altri termini. Ad esempio, puoi renderlo mywp-
o wpnew-
.
Se hai già installato il tuo sito Web WordPress con il prefisso predefinito, puoi utilizzare alcuni plug-in per modificarlo. Plugin come WP-DBManager possono aiutarti a fare il lavoro con un semplice clic. Assicurati di eseguire il backup del tuo sito prima di fare qualsiasi cosa nel database.
Effettua regolarmente i backup per proteggere il tuo sito Web WordPress
Non importa quanto sia sicuro il tuo sito Web WordPress, c’è sempre spazio per miglioramenti. Ma alla fine della giornata, tenere da qualche parte un backup è forse il miglior antidoto, qualunque cosa accada.
Se si dispone di un backup, è possibile ripristinare il sito Web di WordPress su uno stato funzionante in qualsiasi momento. Ci sono alcuni plugin che possono aiutarti in questo senso.
Se stai cercando una soluzione premium, ti consiglio VaultPress di Automattic, che è fantastico. L’ho configurato così crea backup ogni settimana. E se dovesse accadere qualcosa di brutto, posso facilmente ripristinare il sito con un solo clic.
So che alcuni siti web più grandi eseguono backup ogni ora, ma per la maggior parte delle organizzazioni è completo. Per non parlare del fatto che è necessario assicurarsi che la maggior parte di questi backup venga eliminata dopo averne creata una nuova poiché ogni file di backup occupa spazio sull’unità. Detto questo, consiglierei backup settimanali o mensili per la maggior parte delle organizzazioni.
Imposta password complesse per il tuo database
Una password complessa per l’utente del database principale è un must poiché questa password è quella utilizzata da WordPress per accedere al database.
Come sempre, usa maiuscole, lettere minuscole, numeri e caratteri speciali per la password. Le passphrase sono eccellenti.
Monitorare i registri di controllo
Quando esegui un multisito WordPress o gestisci un sito Web con più autori, è essenziale capire chi fa cosa. I tuoi scrittori e contributori potrebbero cambiare le password, ma ci sono altre cose che potresti non volere che accadano.
Ad esempio, le modifiche ai temi e ai widget sono ovviamente riservate solo agli amministratori. Quando controlli il log, sei in grado di assicurarti che i tuoi amministratori e collaboratori non stiano tentando di modificare qualcosa sul tuo sito senza approvazione.
Vuoi più controllo e sicurezza sul tuo WordPress? Vuoi controllare cosa fanno i tuoi collaboratori?
Proteggi il tuo sito Web WordPress con l’hosting
Quasi tutte le società di hosting sostengono di fornire un ambiente ottimizzato per WordPress, ma possiamo ancora fare un passo in più:
Proteggi il file wp-config.php
Il file wp-config.php contiene informazioni cruciali sulla tua installazione di WordPress ed è il file più importante nella directory principale del tuo sito. Proteggerlo significa proteggere il cuore del tuo blog WordPress.
Questa tattica rende le cose difficili agli hacker per violare la sicurezza del tuo sito, dal momento che il file wp-config.php diventa inaccessibile.
Come bonus, il processo di protezione è davvero semplice. Basta prendere il tuo file wp-config.php e spostarlo a un livello superiore rispetto alla directory principale.
Ora, la domanda è, se la memorizzi altrove, come fa il server ad accedervi? Nell’attuale architettura di WordPress, le impostazioni del file di configurazione sono impostate al livello più alto nell’elenco di priorità. Quindi, anche se è memorizzato una cartella sopra la directory radice, WordPress può ancora vederlo.
Non consentire la modifica dei file
Se un utente ha accesso amministrativo al dashboard di WordPress, può modificare qualsiasi file che fa parte dell’installazione di WordPress. Questo include tutti i plugin e i temi.
Se non si consente la modifica dei file, nessuno sarà in grado di modificare alcun file, anche se un hacker ottiene l’accesso amministrativo al dashboard di WordPress.
Per fare in modo che funzioni, aggiungi quanto segue al file wp-config.php (alla fine):
define('DISALLOW_FILE_EDIT', true);
Collegare correttamente il server
Durante la configurazione del sito , collegare il server solo tramite SFTP o SSH. SFTP è sempre preferito rispetto all’FTP tradizionale a causa delle sue caratteristiche di sicurezza che, ovviamente, non sono attribuite con FTP.
La connessione del server in questo modo garantisce trasferimenti sicuri di tutti i file.Molti provider di hosting offrono questo servizio come parte del loro pacchetto.
Impostare attentamente le autorizzazioni di directory
I permessi di directory errati possono essere fatali, specialmente se stai lavorando in un ambiente di hosting condiviso.
In tal caso, la modifica dei permessi di file e directory è una buona mossa per proteggere il sito Web a livello di hosting. Impostando i permessi della directory su “755” e i file su “644” proteggerai l’intero file system – directory, sottodirectory e i singoli file.
Questo può essere fatto manualmente tramite il File Manager all’interno del tuo pannello di controllo di hosting, o attraverso il terminale (connesso con SSH) – usa il comando “chmod”.
Disabilita l’elenco delle directory con .htaccess
Se crei una nuova directory come parte del tuo sito web e non inserisci un file index.html al suo interno, potresti essere sorpreso di scoprire che i tuoi visitatori possono ottenere un elenco completo di tutto ciò che si trova in quella directory.
Ad esempio, se crei una directory chiamata “dati”, puoi vedere tutto in quella directory semplicemente digitando http://www.example.com/data/ nel tuo browser. Non è richiesta nessuna password.
Puoi evitarlo aggiungendo la seguente riga di codice nel tuo file .htaccess :
Options All -Indexes
Blocca tutti gli hotlinking
Supponiamo che tu trovi un’immagine online e desideri condividerla sul tuo sito web. Prima di tutto, hai bisogno di un permesso o di pagare per quell’immagine, altrimenti ci sono buone probabilità che sia illegale farlo.
Ma se ottieni il permesso, potresti estrarre direttamente l’URL dell’immagine e utilizzarlo per posizionare la foto nel tuo post. Il problema principale qui è che l’immagine è mostrata sul tuo sito, ma è ospitata sul server di un altro sito.
Da questo punto di vista, non hai alcun controllo sul fatto che la foto resti sul server o meno. Ma è anche importante rendersi conto che le persone potrebbero farlo al tuo sito web.
Se stai cercando di proteggere il tuo sito Web WordPress, l’hotlinking è come se un’altra persona che scatta la foto rubasse la larghezza di banda del server per mostrare l’immagine sul proprio sito web. Alla fine, noterai una velocità di caricamento più lenta.
Sebbene esistano alcune tecniche manuali per impedire l’hotlinking, il metodo più semplice è trovare un plug-in di sicurezza per il lavoro. Ad esempio, il plugin All in One WP Security and Firewall include strumenti integrati per il blocco di tutti gli hotlinking.
Comprendi e proteggi contro gli attacchi DDoS
Un attacco DDoS è un tipo comune di attacco contro la larghezza di banda del server, in cui l’utente malintenzionato utilizza più programmi e sistemi per sovraccaricare il server.
Anche se un attacco come questo non mette a repentaglio i file del tuo sito, è destinato a mandare in crash il tuo sito per un lungo periodo di tempo se non viene risolto.
Solitamente, si sente parlare di attacchi DDoS solo quando capita a grandi aziende come GitHub o Target. Sono condotti da quelli che molti chiamano cyber-terroristi, quindi il motivo potrebbe essere semplicemente quello di provocare il caos.
Detto questo, non è necessario essere un’azienda di Fortune 500 per essere a rischio.
Se questo ti preoccupa, ti consigliamo di iscriverti ad hosting che abbiano firewall di applicazioni Web per analizzare la larghezza di banda utilizzata e che siano predisposti per bloccare completamente gli attacchi DDoS.
Proteggi il tuo sito Web WordPress tramite temi e plug-in
Temi e plugin sono ingredienti essenziali per qualsiasi sito Web WordPress.Sfortunatamente, possono anche porre serie minacce alla sicurezza. Scopriamo come possiamo proteggere i tuoi temi WordPress e plugin nel modo giusto:
Aggiorna regolarmente
Ogni buon prodotto software è supportato dai suoi sviluppatori e viene aggiornato di tanto in tanto. Questi aggiornamenti hanno lo scopo di correggere i bug e talvolta hanno patch di sicurezza vitali. WordPress e i suoi plugin non sono diversi.
Pertanto, se utilizzi un prodotto WordPress, aggiornalo regolarmente. Plugin, temi, tutto.La buona notizia è che WordPress aggiorna automaticamente molti elementi, quindi riceverai un’email di notifica dell’aggiornamento e informazioni sulle correzioni nella dashboard.
Per quanto riguarda i plugin, questi devono essere aggiornati manualmente andando ai Plugin nella tua dashboard. Quando un plugin ha una nuova versione, ti avvisa e fornisce un link per aggiornarlo subito.
In alternativa, puoi optare per un piano di hosting WordPress gestito. Oltre a molte altre funzionalità e miglioramenti alla tua sicurezza, l’hosting gestito offre aggiornamenti automatici per tutti gli elementi del tuo sito WordPress.
Rimuovere il numero di versione di WordPress
Il tuo attuale numero di versione di WordPress può essere trovato molto facilmente. In pratica, si trova proprio nel footer del tuo sito. Puoi anche vederlo nella parte inferiore della tua dashboard.
Se gli hacker sanno quale versione di WordPress usi, è più facile per loro costruire l’attacco perfetto.
Puoi nascondere il tuo numero di versione con quasi tutti i plugin di sicurezza che ho menzionato sopra.
Per un approccio più manuale (e per rimuovere anche il numero di versione dai feed RSS), considera l’aggiunta della seguente funzione al tuo file functions.php
:
function wpbeginner_remove_version() { return ''; } add_filter('the_generator', 'wpbeginner_remove_version');