Come proteggere il tuo blog WordPress, consigli utili per qualsiasi utente

È sempre tutto divertimento e giochi finché non riesci ad accedere al tuo amato sito Web WordPress perché i cattivi hanno preso il controllo. Tutto divertimento e giochi fino a quando qualcuno non viene violato, perde l’accesso alla dashboard di amministrazione di WordPress e si scatena l’inferno.


I tuoi umori prendono il primo colpo. Si smorzano rapidamente quando scopri di essere stato detronizzato. È a dir poco doloroso e frustrante, perché, beh, un ragazzo là fuori sta scherzando con il tuo sostentamento, intromettendosi nei tuoi affari e sputandoti in faccia.

E ragazzo, entrerai in azione, correndo freneticamente cercando di ripristinare il tuo sito WordPress, quindi la tua attività, al suo antico splendore. Fidati di me, non vuoi essere hackerato, nessuno lo fa. Tuttavia, succede a tutti quanti su una base quotidiana.

Tuttavia, abbiamo sempre a cuore i tuoi migliori interessi e, come tale, abbiamo messo insieme diverse misure che puoi utilizzare per rafforzare la sicurezza di WordPress e ridurre le possibilità di ospitare ospiti non invitati.

Con queste best practice sulla sicurezza di WordPress, vogliamo che tu abbia il più sicuro dei siti WordPress. Faremo del nostro meglio per scomporre i punti, ma se hai bisogno di aiuto con qualsiasi cosa, fai le tue domande e / o condividi la tua opinione nei commenti.

A parte questo, rinforziamo il tuo sito WordPress.

Inizia con hosting WordPress di qualità

La scelta di un piano di hosting

Sicuramente, non puoi aspettarti la massima sicurezza da un host web che paga un dollaro al mese. Abbiamo visto tutti quei piani di hosting “abbiamo-tutto-per-un-centesimo”. Quei piani ombrosi delle società di hosting ombrosi che promettono il paradiso per un minimo di $ 2 a $ 4 dollari al mese. Oh, non sono così allettanti?

Sono principalmente pacchetti di hosting condiviso che avranno il tuo sito Web, quindi la tua azienda, che vivono sullo stesso server con un milione e un altro sito. Tutti i tipi di siti – buoni e cattivi. Di solito sono meno sicuri rispetto a dire, hosting WordPress gestito che costa circa $ 30 al mese.

Se o / e quando uno dei siti Web è compromesso, sei a maggior rischio di essere compromesso. In realtà, sarai compromesso anche se sei vigile come il prossimo. L’unico modo per mitigare gli attacchi relativi all’host web è quello di scegliere un host di fiducia e un piano di hosting sicuro dall’inizio.

Scegliere il miglior hosting WordPress per la tua azienda non deve essere una sfida, considerando che ci sono solo alcuni fattori da tenere in considerazione. Includono costi, qualità del supporto, politiche su backup e gestione dei dati, aggiornamenti al server e software su di esso e tutto il resto tra.

Dai un’occhiata all’articolo collegato nel paragrafo precedente e cerca tra l’altro di scegliere un gentile host WordPress basato sulle funzionalità di sicurezza. Se desideri saltare la ricerca e passare direttamente all’hosting del tuo blog WordPress su server sicuri, utilizziamo, amiamo e raccomandiamo WPEngine. Forniscono un hosting WordPress di prim’ordine pieno di opzioni di sicurezza che ti lasceranno a bocca aperta. Tutto con un ottimo affare. Media Temple e Siteground sono anche altre fantastiche opzioni di hosting WordPress.

L’hosting condiviso Bluehost è un’ottima scelta anche per i principianti che testano le acque, ma se hai bisogno di hosting sicuro per il tuo sito WordPress, dovrai passare dal pacchetto di hosting condiviso a uno degli altri pacchetti.

Perché il tuo host è così importante? Sono stato hackerato tre volte (sì, tre volte) sul loro pacchetto condiviso. Bene, è stata in parte colpa mia perché avevo trascurato i siti delle vittime, il che ha dato agli hacker una giornata campale per giocare come desideravano. Da allora ho abbattuto quei siti perché erano potenziali rischi per altri siti Web su quel particolare server (rimani in mente come menzioneremo una cosa o due come trascurare il tuo sito può portare a brutte insulti con la feccia di Internet aka hacker. focalizzato; presta attenzione o pagherai con il tuo sito).

Tornando alla scelta di hosting WordPress di alta qualità, come si fa? Una semplice telefonata al tuo host web preferito dovrebbe essere sufficiente. Dovresti mirare a vedere se eseguono i server più recenti. Chiedi informazioni sulle versioni dei loro server, sulla sicurezza di detti server e sul software che eseguono su questi server.

Quindi eseguire una rapida ricerca su Google per verificare (o confermare) le date di rilascio del software server. Questo dovrebbe darti un’idea se stanno eseguendo o meno il software più recente. Ti aiuterà anche a determinare la frequenza con cui aggiornano i loro server. Se durano a lungo senza aggiornamenti, non dovresti fidarti di loro con la tua attività online.

Sii vigile e fai altre domande correlate e non fermarti mai finché non sei soddisfatto che il tuo host web più sicuro che il denaro possa comprare.

Prepara il fieno mentre il sole splende e sii preparato

Tasto del computer di backup in blu per archiviazione e archiviazione

Tasto del computer di backup in blu per archiviazione e archiviazione

Anche se potrebbe non impedire ai cattivi di entrare nel tuo blog o negozio online di WordPress, la preparazione può ridurre l’impatto dell’attacco. Sto parlando di backup dei dati qui amico mio; backup regolari che ti proteggeranno dalla perdita di dati importanti.

Un backup ti dà la tranquillità in modo da poter dormire meglio di notte. Un backup è la soluzione rapida che desideri quando le cose vanno a sud. Quando il tuo fantastico sito di ricette inizia a vendere il Viagra su tutte le pagine, puoi solo fare affidamento su un backup per recuperare da un simile attacco.

Dovresti mirare a eseguire il backup dell’intera installazione di WordPress; file core, database e tutto il resto. Gli esperti raccomandano inoltre di crittografare i backup e di archiviarne una copia su supporti di sola lettura.

È possibile pianificare facilmente backup giornalieri o sfruttare strumenti come MySQL Workbench, Backup del database WordPress (WP-DB-Backup) e BackWPup tra gli altri. Puoi saperne di più anche:

Plugin di WordPress

Proprio l’altro giorno, Ryan Dewhurst di WPScan scoperto (e segnalato) una vulnerabilità di Blind SQL injection in WordPress SEO di Yoast. Ora, WordPress SEO di Yoast è un popolare plug-in SEO, con oltre un milione di installazioni attive. Ciò significa che se un hacker dovesse sfruttare questa falla di sicurezza, avrebbe avuto più di un milione di siti WordPress in balia di loro. Oltre un milione di siti Web!

Oh no per favore, non essere allarmato. Yoast ha rilasciato una correzione di sicurezza lo stesso giorno in cui è stata scoperta la vulnerabilità. C’è solo un problema però. A differenza di WordPress, i plugin non si aggiornano automaticamente, il che significa che sei ancora vulnerabile se non sei aggiornato all’ultima versione di WordPress SEO.

Potresti anche sostenere che non ne sapevi nulla, ma gli hacker hanno tutti i dettagli poiché le informazioni sono di dominio pubblico, dove sono prontamente disponibili a tutti. Cosa diavolo stai aspettando? Premi quel pulsante di aggiornamento già. Aggiorna anche tutti gli altri plugin.

Sempre in questo settore di plug-in WordPress, è necessario acquistare o scaricare plug-in WordPress solo da fonti attendibili. Per essere al sicuro, procurati i tuoi plugin dall’ampio Repository di plugin per WordPress o da fornitori affidabili come CodeCanyon.

Ci sono hacker che si maschereranno come sviluppatori di plugin legittimi nel tentativo di offrirti plugin allineati con codice dannoso. Non cadere per i loro trucchi economici, ottieni i tuoi plug-in da siti Web affidabili. Inoltre, non lasciare in giro plug-in inattivi: elimina tutti i plug-in inutilizzati perché sono un punto di accesso preferito dagli hacker. Sì, lo sono anche quando sono disattivati.

A proposito, a meno che non ti piaccia WPEngine e Siteground, non contare sul tuo host web per tenerti al sicuro per quanto riguarda le vulnerabilità dei plug-in: prenditi la responsabilità e morde il proiettile.

Temi WordPress

Se gli hacker non si fanno strada attraverso plugin obsoleti, compromessi o scarsamente codificati, troveranno delle lacune nei tuoi temi. In effetti, la maggior parte degli attacchi avviene tramite temi e plugin, quindi sì, devi essere più vigile qui.

In primo luogo, proprio come con i plugin di WordPress, non puoi permetterti di andare in giro a raccogliere temi da qualsiasi luogo. Catturerai un virus, un malware o peggio e poi piangerai male quando sh * t colpisce la ventola.

Se stai operando con un budget molto limitato o hai appena iniziato, puoi dare un’occhiata ad alcuni dei nostri temi WordPress gratuiti ma codificati professionalmente o alle migliaia di temi gratuiti su WordPress.org. Attualmente uso il tema elegante gratuito dalla nostra scuderia e ha funzionato a meraviglia. Vedere? Niente acqua di predicazione e vino assorbente qui ��

Su temi premium, un grande tema ti riporterà circa $ 60 dollari su alcuni dei migliori mercati a tema come temi eleganti e foresta tematica. Tra le altre cose, otterrai un ottimo prodotto, supporto top-drawer e aggiornamenti di sicurezza. Se hai bisogno di puntare nella giusta direzione, mi piacerebbe raccomandare il grazioso tema Total WordPress che è a dir poco bello e sicuro.

Dovresti cercare di mantenere i tuoi temi aggiornati in ogni momento per evitare problemi di corte. Detto questo, elimina tutti i temi non utilizzati per ovvi motivi.

Se hai del verde extra da spendere o sei uno sviluppatore di WordPress tu stesso, puoi cercare di creare temi personalizzati. Questo è l’unico mezzo sicuro anche se costoso per ottenere temi WordPress sicuri.

Naturalmente, tu (o il tuo sviluppatore) dovete seguire i migliori standard di codifica Web e aggiornare i temi, se necessario. Se assumi uno sviluppatore web per crearti un tema, assicurati che siano affidabili per primi. Puoi anche verificare se il tuo tema soddisfa gli ultimi standard di temi WordPress usando un plugin come Controllo del tema. Andare avanti…

Aggiorna WordPress

wordpress-updates

Dovresti sempre gestire la tua attività online sull’ultima versione di WordPress che è un gioco da ragazzi. Dovresti pensare che è ovvio che tutti aggiornerebbero WordPress regolarmente, considerando che tutti riceviamo notifiche nella dashboard.

Tuttavia, questo non è sempre il caso, poiché spesso catturerai imprenditori online che non aggiornano all’ultima versione settimane e persino mesi dopo il rilascio dell’aggiornamento.

Puoi sempre ottenere il sapore ufficiale e più recente di WordPress su WordPress.org. Si consiglia inoltre di non scaricare o installare WordPress da qualsiasi altro sito Web, poiché è possibile che si verifichi qualcosa. Qualcosa di veramente brutto come un hack exploit backdoor o un codice JavaScript che carica cestino e altri hack sul tuo server. Non scaricare WordPress da siti diversi da WordPress.org.

Aggiornare la tua installazione di WordPress è un lavoro facile e semplice – basta una questione di punta e clicca. Si consiglia, tuttavia, di eseguire il backup del sito prima di qualsiasi aggiornamento in caso di interruzione del processo. Inoltre, perderai tutte le modifiche apportate ai file core poiché il processo di aggiornamento influisce su tutti i file e le cartelle di WordPress.

La funzione di aggiornamento automatico è stata introdotta in WordPress 3.7 per occuparsi di piccole correzioni di sicurezza e rendere l’intero processo di aggiornamento più semplice sia per gli sviluppatori che per gli utenti finali. Ora, devi solo preoccuparti degli aggiornamenti della versione principale, quindi sì, il tuo lavoro dovrebbe essere facile. Devi solo attivare l’aggiornamento automatico.

Aggiorna, aggiorna, aggiorna o preparati a rimpiangere, rimpiangere, rimpiangere.

Pulisci il tuo computer

Dopo il liceo, circa dieci anni fa, ho lavorato brevemente in un cyber café. È stato molto interessante quando ho incontrato così tante persone e fatto la mia irruzione nel mondo del marketing digitale.

Ma non è stato sempre divertente grazie a worm, trojan horse, virus, malware ecc. Ricordo che a volte dovevo chiudere il bar per il giorno solo per formattare i computer. Non importava se avevo programmi antivirus installati e funzionanti su tutti i computer. Ma sto divagando.

Se un hacker riesce a ottenere un keylogger sul tuo computer come un cavallo di Troia (il che significa che il keylogger è nascosto in un altro programma per mascherare il fatto che l’hacker sta registrando ogni tasto premuto sul tuo PC), non proteggerai mai il tuo sito web, non importa che cosa.

Il tuo sito sarà violato più e più volte, dato che stai solo dando le tue informazioni di accesso ai cattivi. E poiché possono vedere tutti i tasti premuti, avranno accesso ai tuoi account online, tutti. Parla di e-mail, Facebook, Twitter, YouTube ecc.

Aiutano i key logger, ci sono cose peggiori sul lato oscuro di Internet. Per esempio:

Esistono effettivamente virus allo stato selvatico che infetteranno il tuo computer locale, quindi cercheranno connessioni FTP aperte e caricheranno automaticamente un file hack sul tuo host web usando quella connessione. – Brad Williams, Blocco di WordPress

I computer Cyber ​​Cafe non sono esattamente come si desidera accedere alla dashboard di amministrazione di WordPress. Forse è inevitabile, ma assicurati sempre che tutti i computer che usi non odino malware, virus e spyware. Altrimenti, consegnerai agli hacker le tue informazioni di accesso e altro su un piatto d’argento.

Assicurati che il tuo sistema operativo e i programmi sul tuo computer siano aggiornati. Quindi attiva i firewall e ottieni il miglior programma antivirus. Mi sono stancato di formattare i computer tutto il tempo, quindi sono andato in viaggio alla ricerca del miglior programma antivirus. E l’ho trovato. Da allora ho usato e amato Eset.

Inoltre, stai lontano da siti non attendibili, ma se è necessario perché – curiosità, disabilita tutti gli script come Java, JavaScript, Flash ecc. Nel tuo browser. O semplicemente non visitare quei maledetti effin’ siti.

Crea password più forti

Reset-wordpress-Password

È tempo della storia. Questa volta ho bevuto un caffè di troppo e ho creato un sito WordPress che ho battezzato “in modo creativo” # YouCan’tHackThis. Creativamente è tra virgolette perché stavo cavalcando le onde di un caffè in alto. Forse avevo bevuto un paio di drink prima del caffè; Non riesco proprio a ricordare. Creo molti siti Web WordPress solo per divertimento.

Il mio nome utente era … aspetta … Unhackulture (daremo la colpa al caffè) e la mia password era, beh, non ricordo. Tuttavia, è stata una truffa, la password, e proprio per questo, non ha mai tenuto il passo quando una persona maleducata (o cosa) di Internet ha colpito la pagina di accesso con “forza bruta”.

Per farla breve, le mie difese crollarono e # YouCan’tHackQuesto cadde come le mura di Gerico. Google mi ha inviato l’e-mail temuta “Hacking Suspected” con un URL di esempio e, su ulteriori indagini, ho trovato un sacco di spazzatura.

L’hacker ha avuto l’audacia di pubblicare uno screenshot del proprio desktop sul mio amato # YouCan’tHackThis come per provocarmi. Lui / lei aveva coraggio, te lo dico, perché in cima allo screenshot c’erano pagine e pagine di lanugine, contenuto di riempimento che non aveva direzione.

Ho demolito l’intero sito e rafforzato la sicurezza sugli altri miei siti Web. Ho installato iThemes Security e oggi ricevo solo email di “Notifica blocco sito”. Se qualcuno tenta di farsi strada in uno dei miei siti usando la forza bruta, viene bloccato per un secolo! Sì, sono passati 100 anni dall’hacker. Ahah, mi sto portando via.

sito-blocco-notifica

Le password deboli ti faranno violare. Allo stesso modo, quel nome utente admin a cui tieni così tanto sarà facile per gli hacker. Crea nomi utente personalizzati durante l’installazione di WordPress e usa l’indicatore di forza durante la creazione della password. Dovrebbe bastare, ma se vuoi fare il possibile, dovresti dare un’occhiata a 1Password e KeePass utensili.

Segnala vulnerabilità di sicurezza

È una tua responsabilità come utente di WordPress segnalare una vulnerabilità di sicurezza non appena la scopri.

Innanzitutto, è un buon karma. In secondo luogo, ciò che accade viene. In terzo luogo, se la vulnerabilità si trova in un plug-in o in un tema che usi, ricevi aggiornamenti di sicurezza e un grande ringraziamento. Il tuo sito non è compromesso di conseguenza e costruisci un buon rappresentante, rendendo il mondo un posto migliore.

È nostra responsabilità collettiva come WordPresser sottolineare tutti i buchi di sicurezza che incontriamo. Dopotutto, è per il nostro bene.

Stringere le autorizzazioni per file / cartelle

Ora stiamo entrando nel vivo della sicurezza di WordPress. Come un principiante assoluto, odio che tu impazzisca. Lo scuoterò e lo servirò freddo come piace a te. Eccoci qui.

Se tutti i Tom, Dick e Harry che ottengono l’accesso al tuo server possono modificare (ovvero scrivere in) file e cartelle, allora c’è così poco che puoi fare per fermare il danno che ne conseguirà.

Ma cosa succede se alcuni file e cartelle rendiamo scrivibili solo da te? Bene, gli hacker non sanno cosa fare. Potrebbero rompersi bene, ma il danno che causerebbero quando i tuoi file non sono modificabili / scrivibili è minimo. Il blocco delle autorizzazioni dei file è una misura di sicurezza che si desidera implementare, soprattutto se si utilizza un piano di hosting condiviso.

Ma come si procede per questa attività di autorizzazione di file / cartelle? Ecco un possibile schema da seguire:

  • Tutti i file nella cartella principale devono essere scrivibili solo da te
  • / wp-admin / – tutti i file dovrebbero essere scrivibili solo da te
  • / wp-Includes / – tutti i file devono essere scrivibili solo da te
  • / wp-content / themes: tutti i file devono essere scrivibili da te e dal server web
  • / wp-content / plugins: tutti i file devono essere scrivibili dall’utente

Come si impostano le autorizzazioni per file / cartelle?

Per soddisfare lo schema sopra, è necessario impostare le autorizzazioni su 755 per le cartelle e 644 per i file. Come? Questa è la parte più semplice. Puoi usare il tuo client FTP (come Filezilla) o accedere direttamente al tuo File Manager tramite cPanel.

Usando FTP

Dopo aver effettuato l’accesso al server Web tramite FTP, individuare la directory / file che si desidera impostare le autorizzazioni, fare clic con il tasto destro su di esso e selezionare “Autorizzazioni file”. Nella schermata popup che appare, seleziona le autorizzazioni che ritieni adatte. Il popup potrebbe assomigliare a questo:

file-permessi-popup-FileZilla

Ed ecco l’elenco completo delle autorizzazioni per i file da 000 a 777.

file-permessi-full-list

Utilizzando File Manager

wordpress-sicurezza-bluehost-cPanel

Accedi al tuo cPanel e vai a File Manager. Quando viene caricato, seleziona la directory o il file e fai clic su “Modifica autorizzazioni” nel menu in alto. In alternativa, è possibile selezionare la cartella o il file, fare clic con il tasto destro del mouse e selezionare “Modifica autorizzazioni” dal menu a discesa che appare.

Ecco alcune indicazioni:

wordpress-security-change-file-permessi

L’opzione del tasto destro …

wordpress-security-change-file-permessi-tasto destro del mouse

Il popup “Modifica autorizzazioni”:

wordpress-security-change-file-permessi-popup

Vuoi saperne di più? Ulteriori informazioni sulle autorizzazioni dei file Qui. Passando rapidamente …

Autenticazione in due passaggi

Il modo migliore per proteggere le tue risorse online è rendere incredibilmente difficile l’accesso ai cattivi. Se riesci a tenerli fuori, hai vinto metà della battaglia. È qui che entra in gioco l’autenticazione in due passaggi (o due fattori).

Quando si combinano password complesse e autenticazione a due fattori, si aggiunge un livello di protezione al sito Web. Migliora la sicurezza del tuo sito WordPress duplice.

E poiché abbiamo plugin come Google Authenticator, WordFence, Authy e Duo, l’implementazione dell’autenticazione in due passaggi dovrebbe essere la misura di sicurezza di WordPress più semplice che puoi implementare in questo momento.

Usa SSL

SSL è l’acronimo di Secure Sockets Layer, che è un modo standard per stabilire un collegamento sicuro e crittografato tra il server di un sito Web e il browser di un utente.

A volte, invece di cercare di abbattere le difese del tuo sito Web, gli hacker potrebbero decidere di dirottare i pacchetti di dati che invii dal tuo browser al server web. Quando aprono questi pacchetti, ottengono facilmente l’accesso alle informazioni di accesso e così via.

Cosa fare? È necessario utilizzare la crittografia SSL che protegge la privacy e l’integrità di tutti i dati che passano tra il tuo sito Web e il server. Questo è esattamente il motivo per cui troverete tutti i principali siti che utilizzano HTTPS anziché HTTP nei loro domini.

È facile da implementare e può farti risparmiare un sacco di tempo e frustrazione. Basta controllare con il registrar del dominio o l’host web e saranno lieti di installare SSL per te. Anche i certificati SSL sono generalmente economici, quindi puoi risparmiare un paio di dollari.

Disabilita gli account utente non utilizzati

Pensa agli account utente sui tuoi siti WordPress come posti su un autobus. Se c’è un posto vuoto, qualcuno salirà. Se il posto è altrimenti occupato o non esiste, beh, nessuno siederà a quel posto particolare.

Se hai abilitato la registrazione degli utenti sul tuo sito Web WordPress, controlla gli account utente una volta ogni tanto ed elimina gli account inutilizzati e tutti gli account creati dagli spammer. Se li lasci in giro, stai solo chiedendo di essere hackerato e lo sarai.

In alternativa, puoi disabilitare del tutto la registrazione dell’utente andando su Impostazioni -> Generale e deselezionando “Chiunque può registrarsi” dove si trova membri. Puoi vedere tutti gli utenti accedendo a Utenti -> Tutti gli utenti nel menu di amministrazione di WordPress.

Allo stesso tempo, è possibile limitare le autorizzazioni per i nuovi account utente. Puoi farlo facilmente navigando verso Impostazioni -> Generale – Ruolo predefinito nuovo utente e impostando l’opzione su “Abbonato”. Altri ruoli includono Collaboratore, Autore, Redattore e Amministratore. Non vorrai assolutamente che i nuovi utenti dispongano dei privilegi di amministratore. Meglio assegnare agli utenti solo i privilegi di cui hanno bisogno per fare il loro lavoro.


Potrei continuare ad andare avanti e avanti, ma ti sopraffarrò con molte informazioni, che sicuramente non è mai mia intenzione. Ci piacerebbe che tu avessi suggerimenti pratici che puoi iniziare a implementare proprio in questo momento, ma sarebbe un sogno irrealizzabile se affogassi la tua attenzione in una diga di factoidi e quant’altro. Quindi, è qui che prendo il mio arco e lascio chiudere le tende.

Tornando a te, ti preghiamo di iniziare a lavorare sulle aree che abbiamo menzionato in questo momento, perché più a lungo aspetti, più facile sarà per i cattivi. Basta iniziare con un’area e passare da lì, e se sei bloccato o in dubbio, porta i tuoi dubbi nella sezione commenti qui sotto. Oppure, se hai un consiglio da aggiungere, faccelo sapere: ti aspetteremo e questa è una promessa solenne. Tutti i migliori amigos!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me