Elenco di controllo di sicurezza semplice per i siti WordPress

Elenco di controllo di sicurezza semplice per i siti WordPress

Sapevi che ogni giorno vengono violati oltre 100.000 siti Web? Esatto, il crimine informatico è una seria minaccia per qualsiasi azienda, e nessuno con un sito WordPress non è sicuro. Ho avuto un incontro con gli hacker (e ho dovuto recuperare il mio sito WordPress), e probabilmente sai che è stato brutto.


Gli hacker sono attivamente alla ricerca di siti Web vulnerabili per violare e rubare dati che possono rilasciare per guadagno monetario o puro intento malizioso. Per proteggere te stesso e il tuo prezioso sito, dovresti seriamente considerare di rafforzare la sicurezza di WordPress.

Considerando che perderai entrate, tempo e sforzi quando gli hacker entrano nel tuo sito Web, abbiamo creato la seguente lista di controllo di sicurezza che puoi utilizzare per proteggere il tuo sito Web WordPress. Tutti gli elementi di sicurezza nella posta sono relativamente facili da implementare anche per i principianti:

Come puoi vedere, suddivideremo il post in più parti che coprono tutto, dalla scelta di un host sicuro al rafforzamento della tua area di amministrazione e di altri. Dovrai ripetere alcune attività di sicurezza, come l’aggiornamento regolare dei temi. Altre attività sono una cosa una tantum, ma hanno ancora un impatto significativo sulla sicurezza del tuo sito. Controlla cosa devi correggere e fallo subito perché neanche gli hacker perdono tempo.

Semplice elenco di controllo per la sicurezza di WordPress

1. Aggiorna WordPress

Il core di WordPress viene regolarmente verificato e verificato per le vulnerabilità di sicurezza. Se vengono rilevati difetti e bug di sicurezza, gli sviluppatori core di solito rilasciano aggiornamenti di manutenzione. Aggiornamenti minori vengono installati automaticamente sul tuo sito Web WordPress.

Tuttavia, dovrai aggiornare WordPress manualmente per tutte le principali versioni. È un processo relativamente semplice poiché ricevi un messaggio fastidioso nel tuo amministratore di WordPress. Solo il 22% dei siti Web funziona con l’ultima versione di WordPress, il che è triste considerando quanto sia facile aggiornarlo.

Non rimanere nel restante 78% poiché essenzialmente stai esponendo il tuo sito a tutti i tipi di attacchi non aggiornando il tuo sito web. Di solito, gli hacker sono il primo gruppo di persone a conoscere eventuali vulnerabilità nelle vecchie versioni, poiché contano sui difetti per lanciare attacchi di successo.

Prima di aggiornare WordPress, ti consigliamo di leggere le note di rilascio per vedere cosa è cambiato e fare un backup del tuo sito Web (solo per sicurezza). In questo modo ora cosa aspettarti quando fai clic su quel pulsante di aggiornamento e hai un fail-safe nel caso qualcosa dovesse andare storto.

2. Temi e plugin di aggiornamento

Durante l’aggiornamento del core di WordPress, non dimenticare di aggiornare anche i tuoi temi e plugin. Gli hacker sono particolarmente affezionati a vecchi temi e plugin con falle di sicurezza conosciute.

Sfruttano queste vulnerabilità di sicurezza e possono persino nascondere una backdoor in un vecchio tema o plugin. Se non esegui l’aggiornamento, possono hackerare il tuo sito Web ogni volta che lo desiderano.

Per evitare di perdere i tuoi stili personalizzati, ti consigliamo di utilizzare un tema figlio di WordPress rispetto al tema principale. In questo modo, non perderai le tue personalizzazioni quando aggiorni il tema.

Yo dovrebbe anche eliminare eventuali temi inattivi, plugin e installazioni di WordPress inutilizzate. Non solo risparmierai larghezza di banda e renderai il tuo sito web più veloce, ma tieni anche a bada gli hacker.

Un’altra nota veloce, non scaricare mai temi e plugin premium “annullati”. Vai solo con fonti attendibili come WordPress.org, Envato o altri negozi di temi affidabili.

3. Usa password uniche e forti

Sarai sorpreso di apprendere che la maggior parte dei siti Web viene hackerata quando i cattivi rubano le tue informazioni di accesso. Inoltre, gli attacchi di forza bruta sono abbastanza comuni e comportano il bombardamento della tua pagina di accesso con migliaia di combinazioni nome utente-password fino a quando qualcosa non dà.

Se usi nomi utente e password deboli (come il famigerato “admin” o “12345”) stai rendendo incredibilmente facile per gli hacker entrare nel tuo sito web. Prendi l’abitudine di creare password uniche e forti che cambi regolarmente. Puoi persino usare un generatore online gratuito, come questo da LastPass.

La gestione di molte password complesse può essere un problema. Per aiutare, mi affido spesso a gestori di password come 1Password o LastPass, tra gli altri. Non riutilizzare la stessa password su più siti Web e mantenere sempre al sicuro le tue informazioni di accesso. Assicurati che anche gli utenti di WordPress utilizzino password complesse.

Mentre ci sei, ricordati di usare password complesse per la tua email, database cPanel, database MySQL e anche account FTP.

4. Installa un plugin di sicurezza per WordPress

Ogni volta che creo un nuovo sito Web WordPress, di solito ho diversi plug-in defacto che installo quasi automaticamente. Ricevo un plug-in anti-spam, Contact Form 7, Symple Shortcodes e iThemes Security, il mio plug-in di sicurezza per WordPress.

Il plugin mi permette di rafforzare le mie difese di WordPress senza perdere il sudore. Viene fornito con così tante funzionalità che rendono un gioco da ragazzi fuori dai miei siti Web un gioco da ragazzi. Configurare il plugin è super duper facile; dovresti essere attivo e funzionante in pochissimo tempo.

I migliori plug-in di sicurezza di WordPress offrono diverse funzionalità, quindi assicurati di controllare prima dell’installazione per accertarti di ottenere tutte le funzionalità necessarie per proteggere l’intero sito Web, non importa quanto unico. Le funzionalità standard includono scansione del malware, blocco IP, prevenzione della forza bruta, autenticazione a due fattori e molto altro ancora – spuntando molte delle caselle per questa checklist di sicurezza che stai leggendo in questo momento!

5. Scegli un ottimo hosting WordPress

In genere, i principianti si lanciano per il primo pacchetto di hosting economico che incontrano. Non lo terrei contro di te dal momento che non conosci alcun hosting condiviso, ma discutibilmente economico (o persino gratuito) può esporti a rischi per la sicurezza. Lo so per certo da quando sono stato violato su due diverse società di hosting che offrono hosting condiviso.

L’hosting condiviso implica la condivisione di un server con migliaia di altri siti Web. Ciò aumenta il rischio di contaminazione tra siti. Cioè, un hacker può accedere al tuo sito anche se il sito Web di qualcun altro era il punto di attacco originale.

L’hosting WordPress gestito, d’altra parte, si concentra solo sui siti Web WordPress. Non condividi un server con altri e ottieni più opzioni di sicurezza per restare al sicuro. Offrono anche supporto dedicato e più opzioni di ripristino dovrebbero accadere il peggio.

Se devi utilizzare l’hosting condiviso, supponi di iniziare con un blog che non guadagna ancora, assicurati che i siti siano isolati o “incarcerati”. Se stai gestendo un sito Web aziendale o di e-commerce, vale la pena utilizzare il miglior hosting WordPress che puoi inserire nel tuo budget fin dall’inizio, come VPS, hosting WordPress dedicato o gestito.

6. Usa SSL (HTTPS)

Oggi molte società di hosting WordPress offrono certificati SSL gratuiti fin dall’inizio e per una buona ragione. I certificati SSL rendono il tuo sito Web più sicuro rispetto ai siti senza SSL. Google consiglia inoltre di utilizzare i certificati SSL per proteggere i dati sul tuo sito Web (e assicurarsi che gli utenti sappiano se usi SSL o meno).

HTTPS è più sicuro del precedente HTTP. Un sito Web che utilizza HTTPS crittografa tutti i dati che si spostano tra il browser dell’utente e i tuoi server. Se un hacker intercetta la comunicazione, troverà solo dati crittografati utili come un uomo con una gamba sola in una competizione a calci nel culo ��

L’installazione dei certificati SSL sulla maggior parte degli host Web è semplice come A, B, C. La maggior parte offre programmi di installazione con un clic che semplificano l’intero processo. Accedi al tuo cPanel e fai clic su un singolo pulsante per installare e gestire i tuoi certificati SSL. Se desideri un approccio più pratico, prova a dare un’occhiata a Let’s Encrypt.

7. Creare un backup completo del sito

Quando gli hacker mi hanno detronizzato, ho dovuto ricostruire i miei siti Web da zero, un mal di testa che avrei evitato se mi fossi ricordato in modo affidabile di eseguire il backup di WordPress.

Ma no, i backup che erano con il mio host web sono stati danneggiati durante l’attacco e no, non avevo una soluzione di backup secondaria. Un caso classico di mettere tutte le uova nello stesso paniere che mi ha insegnato una dura lezione.

Oggi creo backup di siti Web completi che includono file e database del mio sito Web. Uso principalmente ManageWP, ma uso anche il Plug-in duplicatore per archiviare i backup sul mio computer e in Google Drive.

Vi esorto a creare regolarmente backup completi. Molte soluzioni di backup di WordPress ti consentono di automatizzare l’intero processo, risparmiando tempo e tranquillità.

8. Utilizzare un Web Application Firewall (WAF)

Per aggiungere un ulteriore livello di sicurezza al tuo sito WordPress e dormire meglio di notte, abilita un firewall per applicazioni Web (WAF). Un WAF protegge il tuo sito Web bloccando il traffico dannoso molto prima che arrivi al tuo sito. È una misura proattiva per fermare i cattivi morti nelle loro tracce prima che possano causare danni.

Il firewall filtra il tuo traffico in entrata, eliminando gli hacker lasciando passare gli utenti legittimi. Molte società di sicurezza di WordPress offrono firewall per applicazioni Web oltre ad altre funzionalità. Le opzioni popolari nel settore includono Sucuri e Cloudflare.

9. Disabilitare la modifica dei file nell’amministratore di WordPress

WordPress CMS viene fornito con un fantastico editor di codice che ti consente di modificare i plug-in e i file dei temi all’interno della dashboard di amministrazione di WordPress. L’editor di codice è un ottimo strumento da avere a tua disposizione, ma nelle mani sbagliate, gli hacker possono usarlo per sfigurare o aggiungere malware sul tuo sito web.

Puoi sempre modificare i tuoi file di temi e plugin (se necessario) tramite FTP o file manager in cPanel, il che significa che puoi disabilitare del tutto l’editor di codice in WordPress. Non vuoi che gli hacker che ottengono l’accesso alla tua area di amministrazione di WordPress abbiano accesso all’editor del codice, perché possono causare molti danni con poche righe di codice.

Cosa fare? È possibile disabilitare l’editor di codice integrato utilizzando la versione gratuita Sucuri Security collegare. In alternativa, puoi aggiungere il seguente codice al tuo wp-config.php file:

// Non consentire la modifica dei file
define ('DISALLOW_FILE_EDIT', true);

Stiamo andando avanti.

10. Proteggi la tua pagina di accesso

Di solito, il modulo di accesso su WordPress ha due campi; nome utente e password. Con gli attacchi di forza bruta e i robot che diventano sempre più intelligenti di giorno in giorno, come si impedisce agli hacker di accedere alla propria area di amministrazione di WordPress? È semplice; aggiungi CAPTCHA o domande di sicurezza che rendono più difficile per chiunque ottenere accesso non autorizzato.

E non è necessario modificare il codice in aggiungi CAPTCHA o domande di sicurezza alla tua pagina di accesso. Esiste un popolare plugin per WordPress noto come Domanda sulla sicurezza del WP è facile da configurare e utilizzare. Se desideri utilizzare CAPTCHA, puoi utilizzare Accesso semplice Captcha, WordFence, o una delle tante altre opzioni disponibili gratuitamente su WordPress.org.

Allo stesso tempo, puoi cambia il tuo URL di accesso wp a qualcosa di unico. In questo modo, i robot e gli hacker avranno difficoltà a provare a indovinare l’URL della tua pagina di accesso. wp-login è già popolare tra gli hacker, quindi ha perfettamente senso cambiare l’URL in qualcos’altro. Puoi usare un plugin come WPS Nascondi accesso.

11. Aggiungi autenticazione

Inoltre, considera l’implementazione dell’autenticazione a due fattori e multi-fattore. Nel caso in cui un hacker ottenga l’accesso ai tuoi dati di accesso, non sarà in grado di accedere al tuo sito WordPress. Ci sono molte opzioni disponibili, ma Google Authenticator è una scelta popolare.

Oltre a ciò, limitare gli accessi nella pagina di accesso. Se un visitatore sta tentando di accedere con un account che non esiste o sta tentando di accedere più volte, è molto probabile che sia un hacker o un bot che tenta di forzare la propria forza. È possibile utilizzare un plug-in come Limita i tentativi di accesso o Blocco accesso per tenere lontani questi elementi invadenti.

12. Disconnettersi da utenti inattivi

Quando hai un sito Web WordPress multiutente, non puoi controllare completamente come o dove gli utenti accedono al tuo sito web. Un autore potrebbe decidere di utilizzare il Wi-Fi pubblico gratuito per apportare gli ultimi ritocchi a un articolo. Un web designer potrebbe lasciare la propria scrivania e tornare dopo un’ora di pausa pranzo.

In tali scenari, l’utente può esporre inconsapevolmente il proprio sito Web a rischi per la sicurezza. Una persona malintenzionata potrebbe subentrare nella sessione, modificarne i dettagli e semplicemente provocare il caos. Se la parte non autorizzata sa cosa sta facendo, può facilmente assumere l’account dell’utente e causare danni.

Cosa fare? È possibile disconnettersi automaticamente dagli utenti inattivi dopo un periodo predefinito. E la parte migliore? Ci sono plugin per questo preciso scopo. Un’opzione popolare è il Logout inattivo plugin che include opzioni per personalizzare il tempo di inattività prima della disconnessione, messaggio popup personalizzato o reindirizzamento alla disconnessione e timeout in base al ruolo dell’utente.

13. Scansiona malware e problemi (regolarmente)

Spesso dimenticato, scansionare regolarmente il tuo sito Web WordPress può aiutarti a identificare tempestivamente i problemi di sicurezza. Ci vuole solo un secondo per un hacker di entrare nel tuo sito Web e fare ogni sorta di cose brutte. Questo è esattamente il motivo per cui dovresti essere sempre aggiornato.

Molti plug-in di sicurezza di WordPress per la ricerca di infezioni da malware, vulnerabilità di sicurezza note, script obsoleti, attacchi di forza bruta, backup inesistenti e così via. I plug-in ti inviano report dettagliati su problemi noti, così puoi risolverli o assumere un professionista.

Esistono molti scanner di siti Web, come ad esempio Sucuri SiteCheck, che puoi utilizzare per controllare il tuo sito in un lampo. Tutto quello che devi fare è inserire il tuo URL e gli strumenti controlleranno automaticamente il tuo sito web. Successivamente, ti offrono un rapporto su ciò che devi correggere. Una volta che hai il rapporto, correggi immediatamente tutte le vulnerabilità di sicurezza.

14. Usa una VPN

Se gestisci un sito Web che contiene informazioni riservate che non devono mai essere in mano agli hacker, prendi in considerazione l’utilizzo di una rete privata virtuale (VPN), soprattutto quando utilizzi il Wi-Fi pubblico gratuito. Una VPN ti protegge dagli attacchi man-in-middle che sono comuni nelle reti pubbliche, anche a casa e al lavoro.

Una rete privata virtuale garantisce che anche se gli aggressori ottengono l’accesso al sistema e rubano i tuoi dati, non possono fare nulla con i dati che prendono da te. Se disponi di una rete Internet che condividi con molte persone, utilizza sempre una VPN prima di accedere all’area di amministrazione di WordPress.

Altre opzioni di sicurezza di WordPress

Hai bisogno di altro da fare? Ci piacerebbe mantenere il tuo sito Web sicuro in ogni momento, quindi qui ci sono elementi di sicurezza bonus da aggiungere alla tua lista di controllo:

  • Disabilita l’esecuzione del file PHP in / wp-content / wp-uploads /
  • Cambia il prefisso del tuo database WordPress
  • Proteggi con password le pagine di amministrazione e di accesso sul lato server
  • Disabilita l’indicizzazione della directory
  • Disabilitare l’API REST WP e XML-RPC se non necessari
  • Non modificare / cambiare il core di WordPress: scrivi o utilizza un plug-in che offre invece le funzionalità di cui hai bisogno
  • Assicurati che il tuo sito web esegua l’ultima versione di PHP
  • Usa un programma antivirus sul tuo computer
  • Abilita Google Search Console
  • Riduci le vulnerabilità di XSS e SQL Injection (potresti aver bisogno di una persona più esperta di tecnologia per aiutare con questi due)

In realtà, il numero di passaggi che puoi adottare per proteggere il tuo sito è infinito. Ma se riesci a spuntare i 14 articoli che abbiamo elencato, è un grande passo per proteggere il tuo sito.


Proteggere il tuo sito Web WordPress è impegnativo ma non impossibile. Con gli strumenti e le competenze giuste, puoi rafforzare rapidamente la sicurezza di WordPress e tenere lontani i cattivi attori.

Come riepilogo, mantieni sempre aggiornato il tuo sito web. Inoltre, non scaricare mai temi o plugin da siti inaffidabili. E per essere al sicuro se dovesse accadere il peggio, disporre sempre di una soluzione di backup affidabile.

Ci auguriamo che abbiate trovato tutti i suggerimenti necessari per proteggere il vostro sito Web WordPress, quindi il business online. Se hai una domanda o hai bisogno di aiuto per capire come proteggere il tuo sito Web WordPress, faccelo sapere nei commenti. Rimanga sicuro!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map