Se sei qui probabilmente hai avuto problemi di sicurezza con il tuo sito, pertanto in questo articolo vediamo insieme come poter migliorare la sicurezza WordPress!
Chiariamo subito un punto: WordPress non è una piattaforma poco sicura. Considerando l'enorme community di sviluppatori è sempre in aggiornamento e pertanto ogni volta si risolvono bug e viene resa più sicura.
Ciò nonostante, visto l'elevato utilizzo, gli attacchi hacker sono all'ordine del giorno e molte volte vanno a sfruttare vulnerabilità dell'hosting o una superficiale configurazione di WordPress. Per questo oggi vedremo alcuni semplici trucchi che possono aiutarti a proteggere ancora di più il tuo sito Web.
Dopo aver implementato queste tattiche il livello di sicurezza del tuo sito web sarà aumentato di molto.
Perché la sicurezza WordPress è importante?
Se prendi seriamente la tua attività online non puoi ignorare questo aspetto. Se il tuo sito web è remunerativo un attacco hacker potrebbe essere disastroso sia dal punto di vista economico che per la reputazione del tuo brand.
Molti pensano che a loro non succederà mai ma in realtà se non si prendono provvedimenti e non si fanno le azioni corrette è solo una questione di tempo, dai uno sguardo a questo sito per farti un'idea più precisa del numero di siti infettati quotidianamente: Internet Live Stats.
Pertanto analogamente a come è responsabilità degli imprenditori proteggere l'edificio del loro negozio fisico, come proprietario di un'attività online è tua responsabilità proteggere il tuo sito web aziendale.
Fatta questa introduzione vediamo cosa fare per rendere più sicuro il tuo sito WordPress.
18 consigli pratici per proteggere il tuo sito WordPress
Per evitare che il tuo sito finisca come uno dei siti su Internet Live Stats, segui i suggerimenti di seguito e proteggi il tuo sito Web WordPress.
1. Usa un hosting di qualità
Pare ovvio ma in realtà non tutti gli hosting sono di qualità e danno la giusta importanza alla sicurezza.
In generale, più paghi, migliore sarà il tuo host, ma ci sono anche alcune opzioni con ottimo rapporto qualità prezzo.
Investi quindi in una società di hosting che implementa funzionalità di sicurezza adeguate. Ciò include il supporto per l'ultima versione di PHP, MySQL e Apache, nonché un firewall e monitoraggio della sicurezza 24 ore su 24, 7 giorni su 7.
Se possibile, scegli una società di hosting che esegua backup giornalieri e scansioni di malware regolari (come SiteGround ad esempio ). Puoi anche trovare società di hosting che impiegano varie misure di prevenzione DDOS.
L'hosting è di solito il primo muro che gli hacker devono sfondare per avere accesso al tuo sito, quindi fare una scelta oculata e casomai investire un pò di più su questo aspetto ti ripagherà sicuramente. Per quanto mi riguarda i migliori hosting da questo punto di vista sono Wpx Hosting e Scala Hosting.
2. Utilizzare password complesse
Assicurati che le password di accesso al tuo sito Web e all'area del tuo account di hosting siano entrambe sicure.
Utilizza una combinazione di lettere maiuscole e minuscole, numeri e simboli per creare una password complessa. Puoi anche utilizzare un gestore di password come LastPass per generare e archiviare password sicure.
3. Rinominare il nome utente "Admin"
WordPress era solito impostare il nome utente predefinito come "admin" e la maggior parte degli utenti non si è mai preoccupata di cambiarlo. Di conseguenza, admin è solitamente il primo nome utente che gli hacker proveranno quando lanciano un attacco brute force.
Pertanto, non dovresti mai utilizzare questo nome utente per il tuo sito Web WordPress. Se hai già un'installazione di WordPress e hai come nome utente admin o amministratore non preoccuparti perché puoi risolvere velocemente il problema.
Crea un nuovo utente amministratore per il tuo sito andando su Utenti> Aggiungi nuovo e scegliendo un nome e una password efficaci. Impostare il ruolo sull'amministratore e quindi fare clic sul pulsante Aggiungi nuovo utente .
Effettuerai quindi l'accesso con le nuove credenziali ed eliminerai il tuo vecchio utente amministratore. Nel momento in cui elimini il vecchio utente WordPress ti permetterà di assegnare tutti i tuoi contenuti al tuo nuovo utente amministratore.
4. Abilita autenticazione a due fattori
Ormai sta diventando uno standard e anche se rompe un po' le scatole aumenta di molto la sicurezza dei nostri accessi. Pertanto anche per il tuo account WordPress abilita l'autenticazione a due fattori.
Puoi abilitare questa funzionalità utilizzando il plugin per la sicurezza Wordfence che vedremo più avanti o un plugin come Two Factor Authentication.
Dopo l'attivazione, è necessario fare clic sul collegamento "Autenticazione a due fattori" nella barra laterale di amministrazione di WordPress.
Successivamente, è necessario installare e aprire un'app di autenticazione sul telefono. Ce ne sono molti disponibili come Google Authenticator, Authy e LastPass Authenticator.
Ti consigliamo di utilizzare LastPass Authenticator o Authy perché entrambi ti consentono di eseguire il backup dei tuoi account sul cloud. Ciò è molto utile in caso di smarrimento, ripristino o acquisto di un nuovo telefono. Tutti gli accessi al tuo account verranno ripristinati facilmente.
Useremo LastPass Authenticator per il tutorial. Tuttavia, le istruzioni sono simili per tutte le app di autenticazione. Apri l'app di autenticazione, quindi fai clic sul pulsante Aggiungi.
Ti verrà chiesto se desideri scansionare un sito manualmente o scansionare il codice a barre. Seleziona l'opzione di scansione del codice a barre e quindi punta la fotocamera del telefono sul codice QR mostrato nella pagina delle impostazioni del plug-in.
Questo è tutto, la tua app di autenticazione ora lo salverà. La prossima volta che accedi al tuo sito web, ti verrà chiesto il codice di autenticazione a due fattori dopo aver inserito la password.
5. Utilizzare un plugin di backup
Se non stai ancora effettuando il backup del tuo sito web, devi iniziare subito. Un sistema di backup ti aiuterà a ripristinare il tuo sito se accade il peggio e il tuo sito finisce per essere violato.
Utilizza un plugin come UpdraftPlus per creare una pianificazione di backup regolare per il tuo sito Web e non dimenticare di archiviare i file di backup fuori dall'hosting per assicurarti che anche quei file non vengano infettati.
6. Rendi più sicura l'area di amministrazione
Per rendere più sicura l'area di amministrazione, è necessario modificare l'URL per accedervi e limitare il numero di tentativi di accesso non riusciti prima che un utente venga bloccato.
Per impostazione predefinita, l'URL dell'amministratore del tuo sito web sarà simile a questo: tuodominio.com/wp-admin . Gli hacker lo sanno e tenteranno di accedere direttamente a questo URL in modo da poter entrare sul tuo sito.
Puoi modificare questo URL con un plugin come WPS Hide Login .
Per quanto riguarda la limitazione del numero di tentativi di accesso non riusciti, è possibile utilizzare il plugin Login Lockdown .
7. Fai gli aggiornamenti
WordPress è un software open source che viene regolarmente mantenuto e aggiornato. Per impostazione predefinita, WordPress installa automaticamente gli aggiornamenti minori. Per le versioni principali, è necessario avviare manualmente l'aggiornamento.
Oltre a WordPress vanno aggiornati anche plugin e temi. Essi sono gestiti da sviluppatori di terze parti che rilasciano regolarmente (se hai scelto bene) gli aggiornamenti.
Gli aggiornamenti sono fondamentali per la sicurezza e la stabilità del tuo sito WordPress. Devi assicurarti che il core, i plugin e il tema di WordPress siano aggiornati.
Molti hanno timore di aggiornare, paura che possa succedere qualche disastro sul loro sito web, in realtà è esattamente quello che succederà se non li fanno perché gli aggiornamento non solo migliorano la sicurezza ma anche le prestazioni e funzionalità del tuo sito.
Ovviamente è buona prassi fare il backup prima di aggiornare, soprattutto quando ci sono aggiornamenti importanti.
8. Non consentire la modifica del file
Se entri nella dashboard come amministratore di WordPress puoi modificare tutti i file che fanno parte della tua installazione. Questo include tutti i plugin e i temi.
Senza entrare nel merito sull'utilità di questa funzionalità dal punto di vista della sicurezza è un fragilità importante. Se un hacker riesce ad entrare come amministratore avrà accesso alla modifica di tutti i file. Per impedire che accada basta semplicemente impedire la modifica dei file dalla dashboard di WordPress.
Per fare questo, aggiungi quanto segue al file wp-config.php (alla fine):
define ('DISALLOW_FILE_EDIT', true);9. Impostare attentamente le autorizzazioni per le directory
Autorizzazioni errate delle directory possono essere fatali, soprattutto se lavori in un ambiente di hosting condiviso.
Le autorizzazioni di cui parlo indicano i permessi di lettura scrittura ed esecuzione sui file e cartelle del tuo server. L'impostazione dei permessi della directory su "755" e dei file su "644" protegge l'intero file system: directory, sottodirectory e singoli file.
Questo può essere fatto manualmente tramite il File Manager all'interno del tuo pannello di controllo di hosting, o tramite il terminale (connesso con SSH) - usa il comando "chmod".
Per ulteriori informazioni, puoi leggere lo schema di autorizzazione corretto per WordPress o installare il plugin iThemes Security per controllare le tue attuali impostazioni di autorizzazione.
10. Proteggi il tuo computer
Potresti chiederti cosa ha a che fare il tuo computer con il tuo sito web. Se il tuo computer è infetto da un virus e accedi al tuo sito o carichi file su di esso, anche quei file infetti possono infettare il tuo sito web. In breve, vuoi assicurarti di:
- Evita di utilizzare reti Wi-Fi pubbliche per accedere al tuo sito
- Installa il software antivirus e assicurati che sia aggiornato
11. Utilizza plugin per la sicurezza
Esistono plugin sviluppati appositamente per aumentare la sicurezza del tuo sito WordPress e restituire statistiche e report su eventuali tentativi di attacco.
Ti segnalo tre plugin qui Sucuri, WordFence e iThemes Security.
Si differenziano per funzionalità offerte e costi di acquisto.
Sucuri è la soluzione più semplice che copre l'intera sicurezza del tuo sito web. E sei completamente coperto in caso di hack (se sei così sfortunato). Il team di Sucuri ripulirà il tuo sito web un numero illimitato di volte senza costi aggiuntivi se il tuo sito viene violato o riceve malware.
WordFence ha un'ottima scansione e monitoraggio ed è facile da usare. Ti permette di rimuove alcuni tipi di malware e nella versione premium di monitorare e bloccare gli ip che provano ad attaccare il tuo sito.
iThemes Security è una delle migliori soluzioni nel rapporto qualità prezzo. Presenta un serie di attività da eseguire per rendere il tuo sito più sicuro ed ha una buona funzionalità di monitoraggio. La versione a pagamento aggiunge un firewall per la protezione e la funzione di backup.
12. Utilizzare HTTPS e SSL
Da un po' di tempo Internet pullula di articoli sull'importanza del protocollo HTTPS e sull'aggiunta di certificati di sicurezza SSL al tuo sito (puoi leggere il nostro qui Certificato SSL ed HTTPS per il tuo sito WordPress).
HTTPS è l'acronimo di Hypertext Transfer Protocol Secure mentre SSL è l'acronimo di Secure Socket Layers. In poche parole, HTTPS consente al browser del visitatore di stabilire una connessione sicura con il tuo server di hosting (e quindi, il tuo sito). Il protocollo HTTPS è protetto tramite SSL. Insieme, HTTPS e SSL assicurano che tutte le informazioni tra il browser dei visitatori e il tuo sito siano crittografate.
L'utilizzo di entrambe non solo aumenterà la sicurezza del tuo sito, ma andrà anche a vantaggio del tuo posizionamento nei motori di ricerca, creerà fiducia nei tuoi visitatori e migliorerà il tuo tasso di conversione .
13. Spostare il file wp-config.php in una directory non WWW
Come accennato in precedenza, il file wp-config.php è uno dei file più importanti nella tua installazione di WordPress. Rendi più difficile l'accesso spostandolo dalla directory principale a una directory non accessibile da www.
- Per cominciare, copia il contenuto del tuo file wp-config.php in un nuovo file e salvalo come wp-config.php.
- Torna al tuo vecchio file wp-config.php e aggiungi la riga di codice qui sotto:
<?php include ( '/home/tuonome/wp-config.php' ) ;
- Carica e salva il nuovo file wp-config.php in una cartella diversa.
Un'altra possibilità, utilizzabile sono se hai una sola installazione di WordPress è quella di spostare il file wp-config.php nella cartella superiore a quella dell'installazione, in questo caso non devi fare altro in quanto WP lo andrà a caricare automaticamente.
14. Rimuovere il numero di versione di WordPress
Chiunque dia un'occhiata al codice sorgente del tuo sito web sarà in grado di dire quale versione di WordPress stai utilizzando. Poiché ogni versione di WordPress ha changelog pubblici che dettagliano l'elenco di bug e patch di sicurezza, possono facilmente determinare quali buchi di sicurezza utilizzare.
Fortunatamente, c'è una soluzione semplice semplice per ovviare a questo problema. Puoi rimuovere il numero di versione di WordPress modificando il file functions.php del tuo tema e aggiungendo quanto segue:
remove_action ( 'wp_head' , 'wp_generator' ) ;
Per modificare il functions.php ti consiglio di installare il tema child in modo che il file non venga sovrascritto ad ogni aggiornamento.
15. Prevenire l'hotlinking
L'hotlinking non è una violazione della sicurezza vera e propria ma considerando che si riferisce a un altro sito Web che utilizza l'URL del tuo sito per puntare direttamente a un'immagine o a un altro file multimediale, è considerato un furto. In quanto tale, l'hotlinking può portare a costi imprevisti sia per quanto riguarda azioni legale che per l'utilizzo dell'hosting se il sito che ha rubato la tua immagine riceve molto traffico.
Aggiungi il codice seguente al tuo file .htaccess se stai utilizzando il server Apache e sostituisci il dominio fittizio con il tuo nome di dominio effettivo:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http://(www\.)example.com/.*$ [NC]
RewriteRule \.(gif|jpg|jpeg|bmp|zip|rar|mp3|flv|swf|xml|php|png|css|pdf)$ - [F]
16. Disconnetti automaticamente gli utenti inattivi dal tuo sito
Se hai un più utenti che accedono al tuo sito è bene impostarne la disconnessione dopo un certo periodo di inattività in modo da evitare brutte soprese.
Puoi farlo utilizzando un plug-in come BulletProof Security . Questo plugin ti consente di impostare un limite di tempo personalizzato per gli utenti inattivi, dopodiché verranno automaticamente disconnessi.
17. Monitora i tuoi file
Questo è un punto strettamente collegato al punto 11.Se desideri una maggiore sicurezza per WordPress, monitora le modifiche ai file del tuo sito Web tramite plug-in come Wordfence o, ancora, iThemes Security.
18. Disabilitare XML-RPC
XML-RPC consente al tuo sito di stabilire una connessione con le app mobili e i plugin di WordPress come Jetpack. Sfortunatamente, è anche uno dei preferiti degli hacker di WordPress perché possono abusare di questo protocollo per eseguire più comandi contemporaneamente e ottenere l'accesso al tuo sito. Utilizzare un plug-in come Disable XML-RPC plugin per disabilitare questa funzione.
Ovviamente verifica prima che non hai plugin che utilizzino XML-RPC.
Considerazioni Finali
WordPress è un CMS potente e popolare che rende facile per chiunque creare un sito web . Ma poiché è così popolare, è anche un obiettivo preferito dagli hacker.
Fortunatamente, ci sono una serie di passaggi che puoi adottare per proteggere il tuo sito WordPress e se segui i suggerimenti in questo articolo, sarai sulla buona strada per avere un sito Web WordPress sicuro.
