Come NON proteggere il tuo sito Web WordPress

Come NON proteggere il tuo sito WordPress

Qual è la prima cosa che faresti quando vuoi proteggere il tuo sito WordPress? Scopri i primi cinque plugin di sicurezza, considera quanto sono convenienti e poi vai avanti e installane uno. Fatto ciò, ora puoi sederti e rilassarti, giusto? Sbagliato!


L’uso di un plug-in di sicurezza non garantisce la sicurezza. La sicurezza non è una cosa assoluta e nessuno può garantire la sicurezza completa. Il meglio che possiamo fare è ridurre il rischio di un hack. E contrariamente alla credenza popolare, il proprietario del sito deve essere coinvolto nel mantenere il sito Web sicuro. Sapere cosa dovresti fare e cosa non dovresti fare è significativo.

Mentre ci sono diverse guide su cosa dovresti fare per proteggere il tuo sito WordPress, ti offriamo invece una guida su ciò che dovresti EVITARE di fare. Noterai che i consigli qui sono in conflitto con la convinzione generale. Ma dalla nostra esperienza, molti consigli là fuori sono obsoleti e offrono un falso senso di sicurezza.

Se la questione della sicurezza di WordPress ti assilla tanto quanto a noi, dai un’occhiata a quanto segue.

1. Non utilizzare troppi plug-in di sicurezza

Data l’ampia gamma di plugin disponibili là fuori, con vari set di funzionalità, è allettante utilizzare più di un plugin di sicurezza WordPress. Ad essere onesti, è eccessivo. Essere in ansia per la sicurezza del tuo sito è normale ma devi chiederti se hai davvero bisogno di più di un plugin di sicurezza? Quali sono le funzionalità essenziali per i requisiti del tuo sito? Le funzionalità stanno andando a pestare l’un l’altro le dita dei piedi?

Ad esempio, potrebbe sorgere un conflitto quando i plugin iniziano a modificare file come wp-config.php o htaccess. I plugin possono facilmente giocherellare con questi file ma non li stanno modificando in un unico modo unanime. Ciò potrebbe creare conflitti e rallentare il tuo sito web.

Con i siti WordPress, le cose possono andare storte di tanto in tanto. Tutti odiano il temuto White Screen of Death. Avere plug-in multipli che influiscono profondamente sul tuo sito Web può rendere difficili i problemi di debug. Ora, se ci fosse stato un solo plugin, trovare e correggere la causa dell’errore sarebbe stato più semplice e meno complicato.

2. Non modificare il prefisso DB

Esistono diversi modi in cui un sito WordPress può essere compromesso. Il pirata informatico può ottenere l’accesso al database di un sito attraverso un attacco di iniezione SQL. Una vulnerabilità in un plug-in o in un tema può essere utilizzata per irrompere nel database del sito (motivo per cui ti consigliamo invece di utilizzare un Plugin di backup del database di WordPress per evitare simili insidie). Un metodo popolare per impedire agli hacker di approfondire il tuo sito è quello di modificare il prefisso della tabella predefinito. Come puoi vedere nell’immagine qui sotto, in WordPress, il prefisso di tabella predefinito è “wp_”. WordPress ti consente di modificare il prefisso di tabella (per dire “xzy_”) in modo da nascondere alcune tabelle.

Prefissi del database di WordPress

In apparenza, questa sembra una buona idea. Se gli hacker non conoscono il nome della tabella, non possono recuperarne i dati. Questo, tuttavia, è un falso ragionamento. Una volta che qualcuno entra nel tuo database, ci sono ancora modi per scoprire le tabelle. Quindi cambiare i nomi del prefisso non è di alcuna utilità. Inoltre, la modifica del prefisso predefinito può causare il malfunzionamento di diversi plugin.

Inoltre, modificare il prefisso del database midflight è difficile da implementare e può causare l’arresto anomalo del sito Web. Questo perché ci sono molti cambiamenti che devono essere fatti ad ogni livello. Qualsiasi errore nel processo si rivelerà catastrofico per il tuo sito.

3. Evita di nascondere la tua pagina di accesso

C’è sempre qualcuno che cerca di entrare nel tuo sito decifrando la tua password. Durante gli attacchi di forza bruta, gli hacker cercano di accedere al tuo sito Web utilizzando una combinazione di nomi utente e password popolari. E se nascondessimo la pagina di accesso? Questo ucciderà due uccelli con una fava, giusto? Il pirata informatico non sarebbe in grado di trovare la pagina di accesso e il carico sul server verrà ridotto.

WordPress ha una pagina di accesso predefinita. L’URL della pagina di solito è simile a questo esempio.com/wp-login.php. Un modo ben noto per salvare il tuo sito Web dall’attacco di forza bruta è nascondere o modificare la pagina di accesso predefinita in qualcos’altro come esempio.com/miologin.php. Anche se questo sembra un piano infallibile, scopriamo quanto sia efficace il metodo per proteggere il tuo sito WordPress.

Riduzione del carico del server

Dopo aver nascosto o modificato la posizione della tua pagina di accesso, ogni volta che qualcuno tenta di aprirla, si verificherà un errore 404. Tuttavia, i tentativi di accesso sono un processo pesante. Ogni volta che viene caricata la pagina di errore 404, esso consuma molte risorse del server. E finisce per rallentare il tuo sito web. Pertanto, la convinzione comune che nascondere la pagina di accesso ridurrà il carico sul server non è corretta.

URL alternativo non difficile da indovinare

Parte del successo di WordPress come CMS è dovuto ai plugin che rendono più semplice la modifica di un sito Web. Non sorprende che un modo popolare di nascondere una pagina di accesso di un sito sia utilizzare un plug-in. Questi plugin sono dotati di una serie di URL di accesso alternativi predefiniti come xzy.com/wplogin.php, ecc. Siamo stati addestrati a utilizzare solo le impostazioni predefinite. Una volta installato il plug-in e modificato il nostro URL, non ci pensiamo molto. Ma ci sono solo così tanti URL che un plugin può offrire. Non è troppo difficile scoprire questi URL di accesso preimpostati. Pertanto, l’utilizzo di URL alternativi può essere inefficace nella maggior parte dei casi.

Problemi di usabilità

Il bello di WordPress è che è facile da usare. È una piattaforma familiare. Per un sito con una moltitudine di utenti, modificare o nascondere la pagina di accesso potrebbe comportare alcuni problemi. Diverse volte ci siamo imbattuti in post nei forum di WordPress in cui gli utenti sono bloccati da un sito a causa di una modifica dell’URL di accesso. Nella maggior parte dei casi le modifiche sono state apportate utilizzando un plug-in e gli utenti non sono stati resi consapevoli della situazione che causa il caos.

4. Non bloccare manualmente gli indirizzi IP

Se sul tuo sito è installato un plug-in di sicurezza, riceverai una notifica ogni volta che qualcuno tenta di accedere al tuo sito Web. Puoi facilmente ottenere l’IP inviando quelle richieste dannose e bloccali usando il file .htaccess. È un lavoro manuale intensivo e non è una pratica molto conveniente.

Non facile da usare

Una persona non tecnica che tenta di modificare i file .htaccess è una ricetta per il disastro. Un sistema di gestione dei contenuti come WordPress ha una formattazione molto rigorosa. Anche l’utilizzo degli strumenti più popolari come FTP / SFTP è molto rischioso. Un errore minore o un posizionamento errato del comando può causare l’arresto anomalo del sito.

Troppi IP da bloccare

Per evitare di essere inseriti nella lista nera, gli hacker utilizzano gli indirizzi IP di tutto il mondo. In precedenza, abbiamo discusso del blocco manuale degli indirizzi IP che cercano costantemente di entrare nel tuo sito. Il lavoro (come abbiamo menzionato in precedenza) richiede molto tempo e molti sforzi, ma non è esattamente un uso molto efficiente del tempo. Ma se usi uno dei migliori plugin di sicurezza di WordPress, ad esempio Malcare, puoi automatizzare il processo di blocco. Tali plugin di sicurezza si occupano di tutte le falle di sicurezza del WP.

5. Nascondere WordPress

C’è un presupposto generale che nascondere il tuo CMS rende più difficile per le persone con vili intenzioni entrare nel tuo sito. E se potessimo nascondere il fatto che il tuo sito Web è in esecuzione su WordPress. Ciò proteggerebbe il tuo sito dagli hacker che vogliono sfruttare vulnerabilità comuni. Un modo semplice per farlo è (hai indovinato) usando un plugin. Ma il metodo fallisce quando gli hacker non si preoccupano della piattaforma su cui è in esecuzione il tuo sito web. Inoltre, ci sono molti modi per scoprire se un sito è in esecuzione su WordPress.

Oltre ad usare un plugin, si può scegliere di fare il lavoro manualmente. Ma è un processo che richiede tempo. Un singolo aggiornamento di WordPress può annullare tutto il lavoro in pochi secondi. Ciò significa che dovresti ripetere il processo più volte o rifuggire dagli aggiornamenti di WP. Saltare gli aggiornamenti di WordPress è come aprire la porta di casa affinché un hacker possa entrare direttamente a casa tua.

6. Protezione password wp-admin non funziona

La pagina di accesso predefinita di WordPress (simile a questa – esempio.com/wp-admin) è un gateway per il tuo sito. Una tipica pagina di accesso è simile all’immagine seguente.

Qui dovrai utilizzare le tue credenziali per accedere alla dashboard di WordPress. La protezione con password della pagina di accesso aiuta a nascondere o proteggere questo gateway alla dashboard. È una buona idea ma non senza le sue scappatoie.

Esempio di protezione password LookLinux

Foto per gentile concessione: LookLinux

Prima di tutto, è difficile mantenere o addirittura modificare la password, se ti capita di perderla. Oltre ad essere inefficace nel fornire ulteriore sicurezza, tali modifiche al tuo sito possono rivelarsi molto pericolose. Ad esempio, quando si protegge con password la pagina di amministrazione, richieste come /wp-admin/admin-ajax.php non possono ignorare la protezione. Ci sono plugin che potrebbero dipendere dalla funzionalità Ajax del tuo sito. E quando non sono in grado di accedere a questa funzionalità, iniziano a comportarsi male. Pertanto, ciò può causare la rottura del sito Web.

A voi

Se hai domande o suggerimenti su ciò che devi evitare per proteggere il tuo sito WordPress, faccelo sapere nei commenti.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map