Come proteggere il sito WordPress, guida passo passo per proteggere il tuo sito WordPress
Pubblicato: 2020-09-08Le persone tendono ad avere l'idea sbagliata che qualsiasi cosa gratuita e open source sia meno sicura. Ma la verità è che le comunità open source come quelle dietro WordPress sono molto grandi e si assicurano di mantenere WordPress aggiornato su tutte le ultime pratiche di sicurezza e controlli di qualità. Devi solo seguire le migliori pratiche e prendere le precauzioni necessarie. Devi avere una chiara conoscenza di come proteggere il sito WordPress per proteggere il tuo sito web.
Iniziamo con una guida passo passo su Come proteggere il sito WordPress, quindi puoi continuare a leggere per ulteriori suggerimenti per garantire un sito Web sicuro.
Guida su come proteggere il sito WordPress
Prima di iniziare a imparare il know-how Per proteggere il sito WordPress, capisci perché è necessario in primo luogo. Come ogni attività relativa al sito Web, la sicurezza richiede tempo, impegno e risorse. Prenderlo sul serio e allocare le risorse necessarie è totalmente gratificante perché non farlo causerà diversi danni alla reputazione del tuo marchio e alla crescita del tuo business.
Secondo un rapporto, oltre il 70% delle installazioni di WordPress è soggetto ad attacchi su oltre 40.000 siti Web WordPress elencati tra i primi 1 milione nelle classifiche di Alexa.
Un sito Web sotto attacco può portare a accordi commerciali mancati, perdita di privacy, perdita di tempo al computer e può causare pesanti perdite finanziarie. Considera i recenti attacchi ransomware che hanno portato molte aziende a dover pagare con i loro picchetti per recuperare i propri dati dagli hacker.
Ecco perché l'obiettivo principale delle misure di sicurezza deve essere la prevenzione piuttosto che la reazione. Devi utilizzare gli strumenti e le pratiche giuste in modo da non lasciare spazio a malware e attacchi informatici per trarre vantaggio da te.
Passaggio 1: mantieni aggiornato il tuo WordPress.
WordPress è supportato da una comunità di sviluppo in crescita che si assicura di continuare a fornire patch e soluzioni di sicurezza per coprire una vulnerabilità scoperta. Puoi ottenere questi aggiornamenti quando mantieni aggiornato regolarmente il tuo WordPress.
Per la maggior parte degli aggiornamenti minori, puoi impostare le impostazioni di WordPress per abilitare gli aggiornamenti automatici. Assicurati di aggiornare la tua versione di WordPress all'ultima versione non appena viene lanciata una nuova versione.
Le ultime versioni non ti offrono solo una sicurezza aggiornata; ti forniscono anche le ultime funzionalità e miglioramenti rispetto alle funzionalità esistenti. Gli aggiornamenti di WordPress sono essenziali per il buon funzionamento del sito e sono fondamentali per la sicurezza e la stabilità del tuo sito.
Suggerimento per professionisti: WordPress 5.5 è uscito, aggiorna subito il tuo sito Web all'ultima versione.
Passaggio 2: aggiorna plugin e temi
Oltre al core WordPress, devi anche aggiornare tutti i plugin e i temi che usi regolarmente.
Potresti utilizzare una serie di plugin e temi di terze parti, alcuni dei quali potrebbero avere una scarsa manutenzione. Prova a sostituire questi plugin con alternative migliori che garantiscano aggiornamenti regolari e funzionalità di sicurezza. Plugin obsoleti potrebbero presentare vulnerabilità di cui potresti non essere a conoscenza. Se sul tuo sito è in esecuzione un plug-in che non stai attualmente utilizzando, disattivalo.
Esegui un controllo mensile di tutti i plugin disponibili e scegli di conservare solo quelli necessari.
Passaggio 3: utilizza password complesse
Esistono diversi account utente come l'account di arresto, l'account amministratore di WordPress, gli account FTP, gli account di database e altro che gestiresti durante l'esecuzione di un sito WordPress. Ciascuno di questi account richiederà un ID e-mail e una password complessa per garantire l'utilizzo autorizzato.
Quindi scegli indirizzi e-mail personalizzati specifici per questo scopo e utilizza password complesse. Potrebbe essere difficile ricordare tutte le password, ma è una misura necessaria per garantire la sicurezza. Puoi provare a utilizzare un gestore di password per gestire tutte le tue password.
Passaggio 4: stabilire livelli di accesso adeguati
Quando gestisci un sito WordPress in gruppo o hai vari autori ospiti che scrivono sul tuo sito, assicurati di assegnare ruoli utente e capacità appropriati a ciascun utente.
Comprendere i ruoli disponibili in WordPress e creare account utente solo rispetto al ruolo assegnato.
Passaggio 5: scegli una piattaforma di hosting sicura
Questa è probabilmente la parte più importante della sicurezza di WordPress. Un buon partner di hosting dovrebbe essere in grado di fornire adeguate misure di sicurezza per evitare perdite di dati e attacchi informatici. Ecco alcune qualità di una buona piattaforma di hosting che dovresti verificare mentre ne scegli una.
- Funzionalità di monitoraggio continuo della rete per rilevare qualsiasi attività sospetta.
- Strumenti per bloccare gli attacchi DDOS
- Fornire server di backup in caso di interruzione di corrente o attacco informatico in corso.
- Hardware e software aggiornati per riparare qualsiasi vulnerabilità nota
- Corretto ripristino di emergenza e piano di emergenza per proteggere i dati in caso di incidenti o contrattempi.
I piani di hosting condiviso sono più rischiosi dei server di hosting dedicati poiché condividerai le risorse del server con altri clienti. Questo può metterti in uno stato vulnerabile per la contaminazione tra siti in cui un sito vicino può essere utilizzato per hackerare il tuo sito.
Qualcosa da tenere a mente, ci sono alcuni provider di hosting web che offrono in aggiunta alla loro protezione di base del server componenti aggiuntivi di sicurezza a pagamento come Sitelock.
Nel complesso, per una maggiore sicurezza, prova a optare per un piano di hosting WordPress gestito.
Passaggio 6. Avere una soluzione di backup in atto
Tieni sempre un backup aggiornato per aiutarti in caso di attacco o incidente grave. I backup consentono un ripristino più rapido del tuo sito WordPress e il ripristino di uno stato corretto. Esistono molte versioni gratuite e a pagamento dei plug-in di WordPress che ti consentono di eseguire backup e archiviarli in modo sicuro in una posizione remota.
L'archiviazione in una posizione remota è molto più sicura rispetto ai backup effettuati sul tuo account di hosting. Puoi utilizzare qualsiasi servizio di archiviazione cloud come Amazon e Dropbox.
Esegui il backup del tuo sito una volta al giorno e impostalo per il backup automatico. Puoi aumentare o diminuire la frequenza di backup a seconda della frequenza dei tuoi aggiornamenti.
Passaggio 7. Utilizza i plug-in di sicurezza di WordPress
Installa un buon plug-in di sicurezza che ti aiuterà a controllare e monitorare le attività del tuo sito. I plug-in di sicurezza possono anche aiutarti a tenere traccia di ogni interazione che il tuo sito fa con canali di terze parti e rilevare qualsiasi attività sospetta o tentativo di hackerare il tuo sito.
Ad esempio, attività come tentativi di accesso non riusciti e attacchi di bot possono essere monitorate e bloccate al momento giusto utilizzando i plug-in di sicurezza. Puoi anche eseguire scansioni di malware, controlli dell'integrità dei file e altre attività relative alla sicurezza utilizzando i plug-in di sicurezza. Fai qualche ricerca sui migliori plugin di sicurezza disponibili che si adattano alle tue esigenze e inizia a usarli.
Suggerimento per professionisti: alcuni dei plug-in di sicurezza che puoi utilizzare sono Sucuri, Wordfence Security, Defender e VaultPress.
Passaggio 8. Abilita il firewall delle applicazioni Web
I firewall ti aiutano a fornire un sistema di difesa per impedire a qualsiasi traffico dannoso di accedere al tuo sito. Ci sono due livelli di firewall che devi usare.
- Firewall del sito Web di livello DNS
Questo firewall indirizzerà le tue richieste web attraverso server proxy cloud e consentirà solo al traffico legittimo di raggiungere il tuo sito.
- Firewall a livello di applicazione
Questo firewall esaminerà la richiesta sul lato server e consentirà l'esecuzione degli script solo se viene trovata una richiesta genuina. Ma questo tipo di firewall può aumentare il carico del server.
Passaggio 9. Passa a https
I siti HTTP sono molto più sicuri dei normali siti HTTP poiché accettano solo connessioni sicure basate sulla crittografia. Il livello socket SSL crittografa ogni trasferimento di dati tra il tuo sito web e il browser, rendendo difficile per gli hacker l'accesso al tuo sito web.
I prezzi dei certificati SSL emessi da autorità private partono da $ 80 all'anno. Puoi anche optare per certificati gratuiti forniti nell'ambito del programma Let's Encrypt.
Suggerimenti su come proteggere il sito WordPress
Qualunque cosa sia stata discussa sopra era la roba di base, di cui devi occuparti per la sicurezza. Ecco alcuni suggerimenti e suggerimenti aggiuntivi per creare un sito Web protetto.
Usa un ID utente personalizzato.
Abbandona il solito nome utente admin per qualcosa di più personale e difficile da indovinare per gli hacker. Per fortuna, WordPress ora richiede di selezionare da un nome utente personalizzato per il tuo account. Ma quando esegui installazioni con un clic, il nome utente predefinito è impostato su admin e quindi dovrai installare WordPress per impostare manualmente un nome utente personalizzato appropriato. Se hai già impostato admin come nome utente, crea un nuovo nome utente amministratore ed elimina quello vecchio. È possibile utilizzare un plug-in o la pagina phpMyAdmin per questa attività.
Disabilita la modifica dei file
Per disabilitare l'editor di codice integrato in WordPress, devi modificare il file wp-config.php. Imposta 'DISALLOW_FILE_EDIT' su true. Questa funzione può essere abilitata anche rafforzando il tuo account WordPress tramite un plug-in di sicurezza.
Quando non è necessario eseguire uno script da determinate directory, è possibile disabilitarli lì. Ad esempio, puoi disabilitare l'esecuzione del file PHP aggiungendo voci pertinenti al file htaccess
Limita i tentativi di accesso
Questo può essere impostato utilizzando un plug-in di sicurezza in grado di monitorare i tentativi di accesso non riusciti da un account e bloccarlo per un determinato periodo. Questo aiuta a prevenire gli attacchi di forza bruta.
Rendi più forti i tuoi accessi utilizzando l'autenticazione a due fattori. L'autenticazione a due fattori richiede un processo di accesso in due passaggi in cui, oltre a una password, viene inviato un messaggio di verifica o una password una tantum al cellulare o all'indirizzo e-mail dell'utente. Dovresti anche pensare alla sicurezza della tua pagina di accesso. Il tuo URL di accesso a WordPress è uno dei luoghi più vulnerabili.
Puoi anche utilizzare le applicazioni di autenticazione per fornire un forte livello di protezione per ogni tentativo di accesso.
Personalizza le convenzioni di denominazione del database.
Per impostazione predefinita, le tabelle di database in WordPress iniziano con un prefisso wp_, che può consentire agli hacker di fare supposizioni sui nomi delle tabelle. Prova a modificare questi prefissi con una denominazione più personalizzata che offrirà una protezione aggiuntiva
Aggiungi ulteriore protezione con password a livello lato server per frenare qualsiasi tentativo di attacco DOS.
Disabilita l'indicizzazione e la navigazione delle directory.
Quando gli hacker possono eseguire ricerche nelle directory e nei file, possono identificare qualsiasi vulnerabilità e cercare di trarne vantaggio. Questa impostazione può essere eseguita modificando il file htaccess.
Disabilita XML-RPC. XML RPC è stato aggiunto da WordPress 3.5 per ottimizzare la gestione delle richieste. Ma questo può fungere da backdoor per facilitare gli attacchi di forza bruta da parte degli hacker. Quindi, se non hai alcuna utilità per XML-RPC nel tuo sito, assicurati di disabilitarlo modificando il file htaccess o usando un firewall.
Disconnettere gli utenti inattivi dopo un periodo di inattività.
È possibile utilizzare il plug-in di disconnessione inattivo per disconnettersi automaticamente dagli utenti inattivi.
Aggiungi domande di sicurezza alla schermata di accesso per un livello di autenticazione aggiunto.
Esegui scansioni
Esegui regolarmente scansioni malware e, se vengono rilevati malware o file spazzatura, assicurati di ripulirli. Riparare un sito Web violato può essere un affare complicato. È meglio assumere un professionista della sicurezza o un webmaster esperto che se ne occupi. Se stai cercando di farlo da solo, assicurati di ricercare bene, eseguire il backup dei file importanti e iniziare a riparare il tuo sito.
Scegli una buona società di hosting che abbia più livelli di sicurezza.
Quando gestisci un sito Web che include dati sensibili dei clienti, devi investire per mantenere i dati protetti. Quindi non lasciarti tentare dalla scelta di piani di hosting più economici privi di misure di sicurezza. Fai della sicurezza la preoccupazione principale quando scegli la tua piattaforma di hosting.
Ottieni i tuoi temi e plugin da fonti verificate. Temi e plug-in gratuiti potrebbero sembrare allettanti, ma senza un'adeguata manutenzione e supporto, questi plug-in o temi obsoleti possono contenere blocchi di codice vulnerabili che possono compromettere la sicurezza del tuo sito.
Inoltre, nascondi i file core di WordPress come htaccess e wp-config.
Avvolgendo
Ricorda i principi chiave per la protezione di qualsiasi software: limitare l'accesso e impostare livelli di autorizzazione adeguati. Inoltre, contiene e protegge i componenti critici in un database. Assicurati di aggiornare regolarmente il tuo sistema e di mantenere i backup in una posizione remota sicura. E usa sempre plugin e temi solo da fonti attendibili.
Utilizzare password complesse, non condividere le password, limitare i privilegi degli utenti e monitorare regolarmente l'attività del sito. Impiega strumenti di sicurezza per aiutarti a monitorare e intraprendere azioni proattive per proteggere il tuo sito.
Infine, ricorda di segnalare qualsiasi problema di sicurezza e di chiedere aiuto al supporto tecnico per ulteriori indagini. Non esitate ad assumere esperti per affrontare i problemi di sicurezza.
Quindi sì, è tutto dalla mia parte, spero che tu capisca come proteggere il sito WordPress.