Come risolvere i buchi di sicurezza di WordPress per un’esperienza di acquisto più sicura

Quando si configura un sito di e-commerce su WordPress, la sicurezza deve essere la priorità numero uno. Ogni volta che hai a che fare con informazioni personali o dati finanziari delle persone, devi essere doppiamente attento. Non riuscire a dimostrare di essere un fornitore affidabile tramite loghi di sicurezza riconoscibili e ciò potrebbe farti perdere clienti. Ma non riuscire a rendere conto della sicurezza potrebbe portare a un risultato molto peggiore: furto e perdita di dati.


Questo è il peggior incubo del proprietario del sito di e-commerce. Per fortuna, non devi lasciare che questo accada a te. Qui, discuterò alcuni dei problemi di sicurezza più comuni che i siti di e-commerce basati su WordPress devono affrontare e ti guideranno attraverso i passi che devi compiere per colmare quei buchi di sicurezza una volta per tutte.

Passaggio 1: SSL

Quando lavori nello spazio e-commerce, una cosa su cui non puoi assolutamente scendere a compromessi è SSL. Questo è Secure Sockets Layer per i non iniziati e protegge le informazioni sensibili (sia tue che dei tuoi clienti) mentre vengono trasmesse per l’elaborazione. Un buon modo per garantire che i pagamenti sul tuo sito siano sicuri è utilizzare un sistema popolare come PayPal. Ciò mantiene tutte le informazioni finanziarie al di fuori del tuo sito e nelle mani di una società specializzata nella protezione di transazioni come questa.

Mentre un SSL jolly può essere costoso, molte delle migliori opzioni di hosting di WordPress offrono SSL gratuito tramite Let’s Encrypt. È veloce, facile e completamente gratuito.

Passaggio 2: utilizzare una piattaforma già pronta

Un modo per aumentare la sicurezza del sito è utilizzare una piattaforma di e-commerce già pronta. Questo elimina le congetture in termini di ciò che dovresti e non dovresti includere e rende molto più facile iniziare. Esistono diverse piattaforme là fuori come WooCommerce, Shopify e altre. Quindi, fai le tue ricerche per trovare una piattaforma di e-commerce adatta alle tue esigenze.

Se invece decidi di utilizzare solo un tema WordPress, è meglio utilizzare solo quelli che trovi nella directory di WordPress o su siti Web tematici affidabili. I temi di bassa qualità spesso mancano delle misure di sicurezza appropriate, che mettono a rischio il tuo sito e le informazioni dei tuoi clienti.

Passaggio 3: modifica .htaccess

codice

Un altro modo per rimediare a potenziali problemi di sicurezza di WordPress è modificare il file .htaccess. Molti attacchi al sito vengono eseguiti sul database che supporta la piattaforma. Se il database viene attaccato, non sarà in grado di eseguire gli script PHP che fanno funzionare il tuo sito.

L’iniezione SQL è un modo in cui gli hacker si infiltrano nel tuo sito. Lo fanno inserendo i propri comandi all’interno di un URL nel database. Questi comandi possono forzare il database a generare informazioni sul tuo sito, comprese le informazioni di accesso. Le variazioni di questo metodo di hacking possono causare l’esecuzione di specifici script PHP che installano malware sul tuo sito. Fondamentalmente, tutto ciò è una brutta notizia per qualcuno che cerca di gestire un sito sicuro di cui i suoi clienti possono sentirsi sicuri.

Per fortuna, puoi rimediare modificando il file .htaccess nei file del tuo sito WordPress. Esiste un’eccellente raccolta di frammenti di codice .htaccess che puoi inserire nel file per rafforzare la sicurezza del sito. Una volta stabilite queste regole, puoi impedire ad alcune persone di accedere al tuo sito, inclusi indirizzi IP specifici e richieste URL specifiche.

Puoi anche limitare i file che le persone possono vedere. Questi comandi possono anche essere aggiunti a .htaccess e consentono di impedire a qualsiasi persona anziana di accedere ai file privati ​​sul proprio server. In genere è possibile farlo bloccando l’accesso agli elenchi di directory. Non è necessario che i visitatori del sito visualizzino un elenco di tutti i file sul nostro sito, pertanto il blocco dell’accesso impedirà agli utenti malintenzionati di montare un attacco utilizzando tali informazioni.

Passaggio 4: saltare l’amministratore

Un’altra cosa che devi assolutamente fare durante la configurazione del tuo sito WordPress di e-commerce è assicurarsi che il tuo nome utente e password siano composti da una combinazione di lettere, numeri e caratteri. Non dovresti mai mantenere il tuo nome utente come “admin” predefinito. Questo è ciò che gli hacker “indovinano” come nome utente il più spesso quando montano attacchi di forza bruta (vedi sotto). E sicuramente non vuoi semplificare la vita degli hacker. Quindi crea il tuo nome utente e password complicata.

Il plug-in Keyy

Potresti anche voler installare l’autenticazione in due passaggi sul tuo sito. Qualcosa di simile a Keyy Two Factor potrebbe fare il trucco.

Passaggio 5: limitare i tentativi di accesso

Come accennato in precedenza, le persone possono accedere al tuo sito attraverso attacchi di forza bruta. Questi attacchi sono eseguiti da script automatici che tentano ripetutamente di accedere al tuo sito più e più volte. Poiché gli script vengono eseguiti migliaia di volte, le probabilità sono buone che alla fine avranno successo.

Cioè, a meno che non si inserisca una misura di sicurezza. Uno di questi è un limitatore di accesso. Un limitatore di accesso è uno strumento che impedisce agli indirizzi IP o ai nomi utente specifici di accedere per un determinato numero di volte entro un periodo di tempo specificato. Un limite tipico di 10 volte in un paio di minuti farà sì che quell’utente o IP subisca un timeout per un’ora. Gli aggressori a forza bruta non sono efficaci di fronte a un limitatore di accesso perché non possono effettuare le migliaia o milioni di tentativi di accesso necessari per avere successo. Passeranno quindi spesso dal tuo sito e cercheranno territori più facili.

Sicurezza iThemes

Ci sono molti plugin limiter di accesso disponibili ma lascia che ti parli di alcuni che mi piacciono personalmente. Prima di tutto Sicurezza iThemes, che è un plug-in robusto progettato per proteggere il tuo sito da una vasta gamma di attacchi. In effetti, include oltre 30 modi per prevenire attacchi al sito, tra cui tattiche di oscurità, limitazione dell’accesso, rilevamento di bot e altro.

E poi c’è Limita i tentativi di accesso, che impedisce gli attacchi di forza bruta consentendoti di limitare il numero di volte in cui una persona può tentare di accedere. È anche completamente personalizzabile e fornisce registrazioni e notifiche email facoltative quando si verificano blocchi del sito.

Ci sono altre opzioni, ovviamente, ma queste sono solo due che ho trovato affidabili.


Indipendentemente dal tipo di sito che gestisci, è importante tenere presente la sicurezza. Ma è ancora più importante per coloro che gestiscono siti di e-commerce. Quando sei responsabile delle informazioni di altre persone, è fondamentale che tu faccia tutto il possibile per proteggerle. Ciò potrebbe significare l’utilizzo di una piattaforma di e-commerce pronta per l’uso o la scelta di eseguire tutte le transazioni fuori sede tramite un servizio sicuro. In alternativa, potrebbe essere necessario accedere manualmente ai file del tuo sito WordPress e aggiungere un po ‘di codice per proteggerlo da malintenzionati. E quando assicurarsi che il tuo nome utente e la password siano all’altezza non è sufficiente, puoi anche limitare i tentativi di accesso per prevenire attacchi di forza bruta.

Tutti questi metodi se usati insieme possono aiutare a rafforzare la sicurezza del tuo sito e rendere l’esperienza di acquisto più sicura per i tuoi clienti. Il che è un po ‘il punto, non credi?

Adesso a te. Quali metodi usi per migliorare la sicurezza del sito WordPress per i negozi online? Quali strumenti o plugin sono indispensabili per te? Mi piacerebbe sapere tutto nei commenti!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me