Come condurre un audit di sicurezza di WordPress

Pubblicato: 2021-11-08

La protezione del tuo sito WordPress non è un affare da fare. Non importa quanto ti fidi del tuo plug-in di sicurezza o quanto sei stato accurato con il rafforzamento del sito Web, un sito Web sicuro oggi non lo rende un sito Web sicuro domani. Per tenere a bada gli hacker, devi condurre regolarmente audit di sicurezza di WordPress e riempire le falle di sicurezza che trovi.

Le tattiche di hacking del sito web sono in continua evoluzione e con esse anche le misure preventive per mantenere il tuo sito al sicuro. Pensalo come un ciclo. Più un sito Web è sicuro, più gli hacker creativi devono essere per accedervi, il che significa che il tuo sito Web deve diventare ancora più sicuro e così via.

Cerca di condurre un audit di sicurezza di WordPress almeno ogni tre mesi. Ogni mese è migliore e ogni settimana (o anche ogni giorno, a seconda di quanto è sensibile il tuo sito) è la migliore. E, naturalmente, se ritieni che ci sia qualcosa che non va nel tuo sito, esegui immediatamente un audit di sicurezza. Uno dei seguenti dovrebbe alzare una bandiera rossa:

  • Il tuo sito web è lento e lento all'improvviso.
  • C'è un forte calo nel traffico del sito web senza una ragione apparente.
  • Ci sono nuovi account, tentativi di accesso o richieste di "password dimenticata".
  • Nuovi collegamenti che non hai aggiunto sono sul tuo sito.

I seguenti passaggi sono indispensabili per mantenere il tuo sito in perfetta forma, dal punto di vista della sicurezza. Con una lista di controllo a portata di mano, renderai i tuoi audit più snelli anziché schiaccianti.

Una panoramica dell'audit di sicurezza di WordPress

Ad un certo punto o nell'altro, quasi tutti i siti Web WordPress incontreranno qualche tipo di problema di sicurezza. Uno comune è un plug-in o un tema che viene afflitto da una vulnerabilità, consentendo agli hacker di accedere direttamente al tuo sito. Una volta che il tuo sito è stato violato, possono succedere molte cose:

  • Rubati i dati personali dei clienti
  • Annunci e contenuti illegali visualizzati
  • Traffico deviato altrove
  • Dati WordPress crittografati, eliminati o venduti

Questo è molto più di un mal di testa o di un sito abbattuto per alcune ore. Gli hacker possono trattenere i tuoi dati a scopo di riscatto. Le informazioni dal tuo sito possono essere vendute sul Dark Web. Google può inserire nella lista nera il tuo sito per la visualizzazione di spam nelle pagine web. I clienti possono denunciarti se i dati della loro carta di credito vengono rubati. Altri siti Web possono essere infettati una volta che gli hacker hanno ottenuto l'accesso al tuo.

Gli audit di sicurezza di WordPress identificano queste vulnerabilità in modo da poterle correggere immediatamente, prima che un hacker si sia fatto strada. Ti assicurerai che le misure di sicurezza che stai attualmente adottando funzionino ancora e scoprirai anche dove bisogno di più protezione.

Valuta il plug-in di sicurezza che stai utilizzando

Il tuo plugin di sicurezza per WordPress è uno degli strumenti più importanti per proteggere il tuo sito. Assicurati che il tuo plug-in di sicurezza funzioni ancora nei seguenti modi:

  • Registro attività: tiene traccia degli utenti del tuo sito, inclusi chi ha effettuato l'accesso e quando, tentativi di accesso non riusciti e modifiche al sito.
  • Firewall: bloccherà bot, hacker e indirizzi IP che stanno cercando di entrare nel tuo sito.
  • Tentativi di accesso: i plug-in di sicurezza di qualità imporranno password complesse, richiederanno l'autenticazione a due fattori e limiteranno i tentativi di accesso.
  • Protezione dell'accesso: blocca gli attacchi di forza bruta, ovvero quando gli hacker provano diverse combinazioni di nome utente e password per accedere.
  • Scansioni e pulizie malware: dovrebbero essere eseguite quotidianamente, scansionando in profondità il database, i file e le cartelle del tuo sito alla ricerca di malware e cancellando tutto ciò che trova.
  • Avvisi in tempo reale: il plug-in dovrebbe avvisarti immediatamente se c'è qualcosa di sospetto in corso con il tuo sito web.

Non hai ancora un plugin di sicurezza? Prendi in considerazione l'idea di ottenerne uno come passaggio preliminare nel tuo audit di sicurezza di WordPress. Abbiamo raccolto i 6 migliori plugin di sicurezza di WordPress tra cui scegliere.

Testa la tua soluzione di backup del sito web

Se qualcosa va storto sul tuo sito che è impossibile o troppo complesso da risolvere, avere un backup di WordPress significa che puoi ripristinare il tuo sito allo stato precedente da prima che si verificasse il problema. Tuttavia, se il backup non riesce, non hai nulla da ripristinare, il che significa che potresti essere bloccato con un sito infetto o malfunzionante. Idealmente, utilizzerai una soluzione di backup (che sia quella fornita dal tuo host o un plug-in che usi) che ti consenta di testare i tuoi backup, come BlogVault. Potresti anche voler leggere il nostro articolo con i 6 migliori plugin di backup di WordPress.

Vai al tuo amministratore di WordPress e alla configurazione FTP

Con WordPress, puoi avere più persone che accedono per lavorare su vari progetti, ma ciò non significa che ogni singola persona con un login dovrebbe avere pieno accesso al tuo sito web. E quando si tratta del tuo client FTP, consentire l'accesso a più persone significa che potrebbero apportare modifiche al tuo sito... beh, tutto.

Quando aggiungi un nuovo utente in WordPress, gli assegni un ruolo (e puoi anche modificare il suo profilo per cambiare ruolo):

controllo di sicurezza wordpress

Ruoli diversi hanno capacità diverse. Ad esempio, un amministratore può accedere a tutti gli strumenti di amministrazione del sito (come cambiare il tema o installare un plug-in), ma un collaboratore può solo scrivere e gestire i propri post. Ecco una ripartizione completa dei diversi ruoli e delle loro capacità.

Per il tuo audit di sicurezza di WordPress, procedi come segue:

  • Scopri quali utenti di WordPress hanno accesso a livello di amministratore.
  • Decidi se tutti quegli utenti hanno bisogno di quel livello di accesso (e se altri che hanno un accesso limitato dovrebbero essere amministratori).
  • Riduci le autorizzazioni e limita l'accesso aggiornando i ruoli utente per tali individui.
  • Se non riconosci gli utenti nella dashboard, eliminali: potrebbero essere account creati da un hacker.
  • I nomi utente sono semplicemente "admin"? Questo è un nome utente fin troppo comune e uno che gli hacker spesso cercano di utilizzare per accedere al tuo sito. Crea un nuovo account utente per la persona ed elimina il vecchio account.
  • Elimina gli account FTP per gli utenti che non necessitano di un livello di accesso così elevato.

Infine, se il tuo sito consente ai membri, devi assicurarti che debbano effettivamente creare un account al momento della registrazione e che il loro ruolo predefinito non consenta l'accesso come amministratore. Vai su Impostazioni > Generali . Deseleziona la casella accanto a Chiunque può registrarsi . Quindi, seleziona l'opzione appropriata in Ruolo predefinito nuovo utente .

Assicurati che WordPress sia aggiornato

Potresti farlo funzionare automaticamente, ma vale comunque la pena ricontrollare che WordPress sia aggiornato alla sua versione più recente. Gli aggiornamenti non si limitano a correggere le falle di sicurezza, ma migliorano anche le prestazioni e aggiungono funzionalità. Vai su Dashboard > Aggiornamenti per vedere se uno è pronto.

controllo di sicurezza wordpress

Pulisci i tuoi plugin e temi

I plugin possono estendere le capacità del tuo sito web, ma sono anche vulnerabili agli attacchi, soprattutto se non vengono aggiornati per troppo tempo. Gli sviluppatori affidabili rimarranno aggiornati sulle vulnerabilità dei loro plug-in e rilasceranno aggiornamenti con patch. Durante l'aggiornamento della sicurezza di WordPress, vai all'elenco dei plug-in e procedi come segue:

  • Disattiva e disinstalla tutti i plugin che non utilizzi più o che non riconosci.
  • Aggiorna tutti i plug-in rimanenti che hanno aggiornamenti pronti.
  • Se stai utilizzando un plug-in che non ha ricevuto aggiornamenti dallo sviluppatore, considera l'utilizzo di un altro con la stessa funzionalità: un plug-in obsoleto è troppo vulnerabile ai problemi di sicurezza.

Anche se esegui il controllo di sicurezza di WordPress una volta al mese circa, è una buona idea controllare i plug-in più regolarmente per aggiornarli secondo necessità. Inoltre, rimuovi tutti i temi che non stai attualmente utilizzando o che non prevedi di aver bisogno. Proprio come con i plug-in, i temi presentano il rischio di vulnerabilità della sicurezza, quindi è meglio mantenere il tuo sito Web il più ordinato possibile.

Stai al sicuro là fuori!

Non smetti di lavorare su altre parti della tua attività: inventare nuovi prodotti o servizi, commercializzarli, venderli, ecc. La sicurezza del tuo sito Web non dovrebbe essere diversa. Un piccolo problema può portare rapidamente a un hack pericoloso per l'azienda se non lo prendi in tempo, ma senza sapere dove si trovano le aree problematiche, non saprai quali soluzioni implementare.

Mantenere il tuo sito web al sicuro è un processo continuo e avere una checklist per il controllo di sicurezza di WordPress ti evita la fatica di cercare di ricordare cosa fare ogni mese. Inoltre, più puoi automatizzare con un plug-in di sicurezza, meglio è. La tua lista di controllo di sicurezza di WordPress può essere molto più piccola se la maggior parte di ciò che devi fare è ricontrollare che il plug-in funzioni ancora correttamente. Abbiamo una panoramica approfondita delle recensioni di due principali plugin di sicurezza, Sucuri e Wordfence.