7 best practice per la sicurezza di WordPress

Poiché gli hack e le violazioni della sicurezza diventano più una preoccupazione per chiunque gestisca un sito Web WordPress, è importante sapere che è possibile migliorare drasticamente la propria sicurezza utilizzando alcune best practice per la sicurezza di WordPress.

Se non disponi già di una strategia di sicurezza per WordPress, questo post ti aiuterà a capire sette modi in cui puoi proteggere e proteggere il tuo sito Web WordPress.

Best practice per la sicurezza di WordPress

• 1. Usa una password sicura con l'aiuto di un gestore di password.
• 2. TUTTE LE COSE A DUE FATTORI.
• 3. Cambia regolarmente i tuoi sali di WordPress.
• 4. Utilizzare autorizzazioni file sicure.
• 5. Usa sFTP quando possibile.
• 6. Usa SSL su tutti i tuoi siti WordPress.
• 7. Mantieni aggiornato il tuo sito WordPress e tutto ciò che contiene.

Comprendere la minaccia: cos'è un hacker?

Sfortunatamente, ci sono persone e sistemi che lavorano attivamente per hackerare i siti web. La parola "hacker" può far venire in mente alcune idee, tra cui:

• Il sempre sfuggente adolescente incappucciato che lavora in un seminterrato buio
• Agenti governativi che si infiltrano in criminali o governi stranieri
• Reti sotterranee che combattono per la libertà, l'uguaglianza o per esporre la corruzione

Sebbene tutti questi scenari di "hacker" esistano, è improbabile che prendano di mira il tuo sito Web WordPress personale. Potresti essere tentato di personificare gli attacchi, ma la realtà è che un "hacker" è più simile a un robot senza cervello.

Per robot intendiamo "bot" o codice automatizzato che ha una connessione a Internet. Proprio come un braccio robotico in uno stabilimento di produzione è programmato per svolgere attività specifiche, questi robot lavorano ogni secondo di ogni giorno per eseguire le attività programmate il più spesso possibile, su più siti possibile.

La logica dei bot di hacking può spesso essere riassunta come "trova un sito e lancia questo attacco specifico". L'obiettivo degli attacchi è spesso trasformare il sito attaccato in un altro bot a cui possono essere assegnati compiti. Le attività possono variare dall'attaccare altri siti all'invio di e-mail di spam o phishing. In altre parole, questi bot non sanno di cosa tratta il tuo sito né gli interessa. Per il creatore del bot, ogni sito compromesso dà loro accesso a più risorse per creare un flusso di entrate in un modo o nell'altro.

Perché qualcuno dovrebbe voler hackerare il mio sito web?

Attualmente ci sono decine di milioni di siti web sul web. WordPress alimenta circa il 26% di loro. Sfortunatamente, l'enorme numero di siti WordPress lo rende un bersaglio.

Di recente, Sucuri ha pubblicato un Hacked WordPress Report, con circa il 94% dei siti su cui ha lavorato nel terzo trimestre del 2019 erano siti WordPress.

Grafici come questo possono far preoccupare gli utenti che WordPress non sia sicuro: lo è. Nel grafico sopra, Sucuri ha scoperto che nella maggior parte dei casi i compromessi avevano poco o nulla a che fare con il core di WordPress. Invece, i compromessi di WordPress avevano a che fare con l'implementazione, la configurazione e la manutenzione generale improprie da parte del webmaster e degli host.

Anche con questi noti problemi di sicurezza di WordPress, WordPress è SICURO se lo tieni aggiornato e utilizzi queste best practice per la sicurezza di WordPress.

Come posso proteggere il mio sito WordPress?

Quando si tratta della sicurezza di WordPress, non si tratta di se vieni attaccato, ma piuttosto di come impedire che gli hack di WordPress abbiano successo. Quindi cosa possiamo fare? Puoi migliorare drasticamente la tua sicurezza di WordPress esaminando alcuni suggerimenti per la sicurezza di WordPress 101 e implementando queste best practice per la sicurezza di WordPress.

1. Usa password complesse con l'aiuto di un gestore di password

Ecco un rapido quiz. Conosci almeno una delle tue password? Hai usato quella password per un altro accesso da qualche altra parte? Se hai risposto sì a entrambe queste domande, la tua strategia per le password potrebbe richiedere un controllo serio.

Cosa rende una buona password?

• Lungo
• A caso
• Unico

Se conosci le tue password, probabilmente sono troppo deboli. Ecco perché l'utilizzo di un gestore di password per gestire le tue password è il modo migliore per proteggere tutti gli accessi al tuo account.

Con l'aiuto di un gestore di password, puoi generare password lunghe, casuali e univoche e archiviarle in modo sicuro con l'aiuto di un'estensione del browser. Quindi l'unica password che dovrai ricordare è la tua password principale per accedere al tuo gestore di password.

Gestori di password:

• LastPass
• 1Password
• Dashlane

Con l'aiuto di un gestore di password, puoi iniziare a utilizzare una buona sicurezza della password per il tuo accesso. Scopri altri suggerimenti per la sicurezza della password di WordPress.

2. Due fattori per TUTTE LE COSE.

L'autenticazione a due fattori non è un semplice fastidio, è vera sicurezza. Hai usato l'autenticazione a due fattori e sai come funziona?

L'autenticazione a due fattori è un processo di verifica dell'identità di una persona che richiede due metodi di verifica: qualcosa che conosci, qualcosa che hai o qualcosa che sei.

Sebbene sia facile pensare che l'autenticazione a due fattori sia fastidiosa, è tempo di superare l'inconveniente ed educare tutti quelli che conosciamo sul valore dell'utilizzo di questo metodo per proteggere i tuoi accessi. Se qualcuno è in grado di strappare le tue credenziali, non servirà a nulla se hai abilitato l'autenticazione a due fattori. Non solo un hacker dovrebbe avere il tuo nome utente e password, ma anche il tuo dispositivo mobile per accedere con successo.

Aggiungi l'autenticazione a due fattori al tuo login di WordPress e quindi a due fattori tutte le cose, ovunque tu possa (inclusa la tua e-mail, gli account finanziari, persino il tuo social network, se disponibile).

Con iThemes Security Pro, puoi facilmente aggiungere l'autenticazione a due fattori di WordPress al tuo login WordPress.

3. Cambia regolarmente i tuoi sali e le tue chiavi di WordPress.

WordPress utilizza i cookie (o le informazioni memorizzate nel browser) per verificare l'identità degli utenti e dei commentatori registrati. Per proteggere meglio e garantire la crittografia delle informazioni di accesso memorizzate nei cookie di WordPress, WordPress include chiavi e sali di autenticazione segreti nel file wp-config.php. Essenzialmente, i sali e le chiavi di WordPress sono password aggiuntive per il tuo sito che sono lunghe, casuali e complicate, quindi sono quasi impossibili da violare.

Ci sono diversi plugin là fuori, incluso iThemes Security Pro che può cambiare i tuoi sali e le tue chiavi di WordPress per te.

• iThemes Security Pro
• Editor file di configurazione WP

4. Utilizzare i permessi file protetti.

Quanto è sicuro il tuo sito se chiunque può visualizzare o scrivere sui file del tuo server? Non è. Le autorizzazioni sicure per i file di WordPress sono un must.

Ad esempio, questi permessi per file e directory sono un no-no.

• Elenco – 777
• File – 666

Ciò che puoi effettivamente impostare può variare da server a server, ma di solito puoi regolare i permessi di file e directory tramite il pannello di controllo del tuo host e il client FTP. Dovresti avere i tuoi file da qualche parte tra 400 e 444. E le tue directory da qualche parte tra 700 e 744.

Il plug-in iThemes Security include un modo per controllare rapidamente lo stato dei permessi dei tuoi file se non sei sicuro.

5. Usa sFTP quando possibile.

Se modifichi file sul tuo sito web, è una buona idea iniziare a utilizzare sFTP anziché FTP. Se non modifichi direttamente il codice, assicurati che il tuo sviluppatore web utilizzi i protocolli di sicurezza più elevati per accedere ai file del server.

Mentre i protocolli SFTP e FTP trasferiscono entrambi i dati, è qui che finiscono le loro somiglianze. Proprio come un primer, FTP sta per File Transfer Protocol. FTP trasferisce i dati tra due connessioni remote, in testo normale. Ogni volta che un utente apre una normale sessione FTP, l'intera trasmissione effettuata tra l'host e l'utente viene inviata in testo normale. Chiunque abbia la capacità di curiosare nella rete può leggere i dati, comprese le informazioni sulla password.

sFTP è una forma sicura del comando FTP. sFTP garantisce che i dati vengano trasferiti in modo sicuro in privato con l'uso del protocollo SSH2. Quando si utilizza sFTP invece dell'FTP, l'intera sessione di accesso, inclusa la trasmissione delle password, è crittografata. Quindi è molto più difficile per qualcuno che curiosa nella rete osservare e raccogliere le password.

6. Usa SSL su tutti i tuoi siti WordPress.

Che cos'è SSL? Perché dovresti usarlo? Abbiamo tutti visto il lucchetto verde nel nostro browser accanto all'URL a cui stiamo accedendo, ma perché è così importante?

Ecco una breve introduzione alla terminologia SSL/HTTPS:

• HTTP sta per Hyper Text Protocol. Quando si utilizza HTTP per trasferire informazioni, è relativamente facile per una persona esperta intercettarle e visualizzarle.
• HTTPS sta per Hyper Text Protocol Secure. Quando si utilizza HTTPS, se qualcuno è in grado di intercettarlo, non sarà comunque in grado di decifrarlo perché è crittografato.
• SSL – Secure Socket Layers è la sicurezza durante il trasferimento durante l'utilizzo di HTTPS.

Agli albori del web, gli amministratori avevano bisogno di un modo per condividere le informazioni che mettevano online. Hanno sviluppato il protocollo HTTP per questo, ma hanno imparato rapidamente che è facile intercettare e visualizzare le informazioni. Hanno quindi concordato una procedura per proteggere le informazioni che stavano condividendo, e questo è il protocollo HTTPS.

È qui che entrano in gioco i certificati SSL e SSL. I certificati SSL su ogni computer coinvolto nel trasferimento hanno chiavi o blocchi univoci. I dati vengono trasferiti tramite Secure Socket Layers. Puoi immaginare che i dati stiano viaggiando attraverso un tunnel sicuro con lucchetti ad entrambe le estremità in modo che nessun altro sia privilegiato per le tue informazioni.

I certificati SSL variano nel prezzo, ma sono assolutamente necessari per mantenere sicure le informazioni sul tuo sito web. Esistono anche diversi posti per acquistare certificati SSL, ma il percorso più semplice è acquistarlo dal tuo host e lasciare che lo installino. Puoi anche dare un'occhiata alla nostra formazione su WordPress HTTPS.

7. Mantieni aggiornato il tuo sito WordPress e tutto ciò che contiene.

Tenere il passo con la manutenzione di WordPress è la parte finale di avere una solida strategia di sicurezza di WordPress. Proprio come il tuo prato deve essere falciato o la tua auto ha bisogno di cambiare l'olio, devi fare una manutenzione regolare sul tuo sito Web WordPress, il che significa tenere attivamente il passo con gli aggiornamenti del core, dei temi e dei plug-in di WordPress.

• Mantieni aggiornato il core di WordPress.
• Tieni aggiornati plugin e temi.
• Aggiorna regolarmente le tue password.
• Controlla regolarmente i tuoi siti per plug-in, temi e utenti che non vengono utilizzati e rimuovili.
• Avere SEMPRE un backup di WordPress recente. Avere un backup del tuo sito non solo può farti risparmiare tempo se qualcosa va storto, ma può anche farti risparmiare un'esperienza costosa. Utilizza un plug-in di backup di WordPress come BackupBuddy per creare backup automatici di WordPress e archiviare i file di backup fuori sede in una destinazione sicura.

Se gestisci più siti WordPress, esistono strumenti per semplificare la manutenzione di WordPress come iThemes Sync. Invece di accedere a ogni singolo sito Web per eseguire gli aggiornamenti, hai una dashboard centrale per eseguire più siti Web contemporaneamente. iThemes Sync può anche inviare e-mail di notifica quando sono disponibili nuovi aggiornamenti per il tuo sito WordPress in modo da non perdere mai un importante aggiornamento di sicurezza.

Comunque lo fai, assicurati di mantenere aggiornato il tuo sito Web WordPress e tutto ciò che contiene.

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.