Come proteggere il tuo sito web wordpress

Pubblicato: 2020-05-01

Ogni creatore di siti WordPress deve essere preoccupato per la sicurezza del proprio sito, Google blacklist (lista nera) più di 10.000 siti ogni giorno, perché questi siti sono stati infettati da malware.

Sfortunatamente, non succede solo agli altri. Prima te ne accorgi, meglio sarà per te.

Anche se il kernel di WordPress è molto sicuro grazie a un centinaio di sviluppatori, resta il fatto che rimane vulnerabile, in quanto molto preso di mira dagli hacker perché circa il 25% dei siti web sono realizzati con WordPress.

Come webmaster, ci sono molte cose che puoi fare per aumentare la sicurezza del tuo sito WordPress.

Per questo ho deciso di scrivere questo articolo nella speranza che fosse il più semplice e chiaro possibile.

Vedrai che ci sono molti passaggi che puoi intraprendere per evitare che il tuo sito venga infettato o distrutto da un hacker.

Anche se queste misure non elimineranno completamente i rischi, li ridurranno considerevolmente.

Nel caso in cui il tuo sito Web sia già infetto da malware, ti consigliamo di seguire questi passaggi, questo ti guiderà nella rimozione dei malware dal tuo sito.

Quindi iniziamo.

Hai bisogno di aiuto per mantenere il tuo sito web sicuro al 100%? Prenota subito la tua chiamata con WP Buffs e ottieni uno sconto del 10-20%!

Visita WP Buffs

1: Aggiorna WordPress e i suoi temi e plugin.

WordPress viene aggiornato regolarmente, anche i temi e i plugin di qualità. Questo è fondamentale per la sicurezza e la stabilità del tuo sito.

1: Aggiorna WordPress e i suoi temi e plugin.
Progettato da Freepik

2: Rafforza le tue password per proteggere WordPress

L'attacco più comune è il furto di password a causa di una password relativamente debole.

Puoi complicare notevolmente il compito per un hacker rafforzando la tua password WordPress, ma anche quelle quando ti connetti al tuo account FTP, al tuo database, al tuo host, alle tue e-mail, ecc.

A molti di voi non piace usare una password troppo complessa per paura di dimenticarla. In questo caso ti consiglio di utilizzare un “password manager”.

Un gestore di password memorizzerà tutte le tue password in un cloud sicuro e ti consentirà di gestirle con un'unica password.

Ce ne sono tanti, ma ti consiglio LastPass , è facile da usare e gratuito.

3: Installa un plug-in di backup

3: Installa un plug-in di backup
Progettato da Freepik

Il backup del tuo sito è un buon modo per riparare eventuali danni che un hacker potrebbe aver causato al tuo sito.

In caso di attacco, un plug-in di backup ti consentirà di ripristinare il tuo sito in uno stato precedente all'attacco.

Esistono molti plugin di backup per WordPress, ma non tutti sono uguali. Deve essere facile da usare, consentire di eseguire il backup dell'intero sito, eseguire backup automatici regolari e, naturalmente, essere in grado di salvare i backup al di fuori dei server dell'host (disco rigido, cloud, ecc.).

Eccone tre che soddisfano tutti i criteri di cui sopra. Tutti e tre hanno una versione gratuita ea pagamento.

  • Updraft Plus
  • Amico di backup
  • Duplicatore

4: Installa un plug-in di sicurezza

Dopo aver visto i backup, il passaggio successivo consiste nell'installare un plug-in di sicurezza che monitori costantemente il tuo sito e tenga traccia di qualsiasi attività sospetta che potrebbe essere in corso lì.

  • Scansione antimalware
  • Rilevamento del danneggiamento dei file
  • Bloccare gli utenti
  • Eccetera

Plugin consigliato:

  • Wordfence (versione gratuita ea pagamento)
  • Sicurezza iThemes (versione gratuita ea pagamento)
  • Sucuri

5: Scegli un tema di qualità

Un tema WordPress di qualità è un tema sicuro che non ha vulnerabilità note, che viene aggiornato regolarmente, che soddisfa gli standard di codifica appropriati e che è compatibile con la tua versione di WordPress ma anche con altri elementi del tuo sito, come i plugin.

Avere un tema che soddisfi tutti questi criteri non solo ti aiuterà a evitare bug, errori di compatibilità e un sacco di problemi simili, ma limiterà anche le possibilità di attacco, poiché il tuo sito WordPress avrà meno vulnerabilità di sicurezza da sfruttare. Quindi evita a tutti i costi qualsiasi tema annullato.

Di seguito sono riportati alcuni temi che uso spesso e che consiglio ad occhi chiusi:

  • Il tema: Oceanwp (gratuito).
  • I temi: ThemeIsle (gratuito ea pagamento).
  • Il tema: Divi (a pagamento).
  • Il tema: extra (a pagamento).
  • Il tema: Genera stampa (gratuita ea pagamento).
  • Il tema: Astra (gratuita ea pagamento).

6: Cambia il nome utente di WordPress

Se durante l'installazione di versioni recenti di WordPress è possibile scegliere un nome diverso dal famoso “admin” non era il caso prima. Tuttavia, è sempre meglio che un amministratore non lasci un nome utente noto. Ovviamente, in questo caso, non dovresti pubblicare un articolo o rispondere ai commenti con il nickname del tuo amministratore.

Esistono diversi metodi per modificare il tuo nome utente in WordPress:

  • Il metodo manuale.
  • Usa un plugin

Leggi questo articolo per vedere i 2 metodi in dettaglio (tutorial).

https://www.wpbeginner.com/beginners-guide/how-to-change-your-password-in-wordpress/

7: Aggiungi due fattori di identificazione (Autenticazione a due fattori)

Questa opzione obbliga un utente a identificarsi attraverso due metodi diversi. Il metodo classico con username e password e un secondo metodo, che consiste nel ricevere un codice su un dispositivo diverso dal computer che usi abitualmente.

Se stai utilizzando Wordfence , iThemes Security o UpdraftPlus , forniscono tutti questa funzionalità di sicurezza.

8: Disconnessione automatica degli utenti inattivi in ​​WordPress?

È normale che un utente si allontani dallo schermo per un po' rimanendo connesso a WordPress, il che può rappresentare un rischio per la sicurezza. Qualcuno può dirottare la propria sessione, cambiare le proprie password o cambiare il proprio account.

La soluzione consiste nell'installare un plugin che si occuperà di disconnettere un utente inattivo dopo un determinato periodo di tempo.

Per fare questo vi consiglio il plugin “Logout inattivo” è gratuito, molto semplice da configurare e fa egregiamente il suo lavoro.

Una volta installato, vai su " Impostazioni " nella dashboard di WordPress e fai clic su " Logout inattivo " per configurare il plug-in

Lì devi solo stabilire il tempo di inattività prima che avvenga la disconnessione e un messaggio da visualizzare quando ciò accade, fare clic su " salva modifiche " per terminare.

9: Aggiungi una domanda di sicurezza per la connessione a WordPress

L'aggiunta di una domanda di sicurezza alla schermata di accesso di WordPress ridurrà notevolmente la probabilità che una persona non autorizzata possa accedere al tuo account.

Puoi aggiungere una o più domande di sicurezza installando il plug-in: WP Security Question

10: Modifica l'URL di connessione

Di default l'URL per la connessione a WordPress è sempre lo stesso: https://www.tuonome.com/wp-admin (io ho messo .com ma può essere .net o un'altra estensione).

Per complicare il compito di un possibile hacker che vuole lanciare un attacco "Brute Force" sul tuo sito, puoi modificare l'URL di connessione.

Vedi questo plugin: WPS Nascondi accesso.

11: Scanner di WordPress per virus o malware e possibili vulnerabilità di sicurezza e altre vulnerabilità

Se non hai installato un plugin di sicurezza sul tuo WordPress e noti un improvviso calo del traffico o un degrado del tuo posizionamento nei motori di ricerca, è urgente fare un'analisi completa del tuo sito.

In questo caso due opzioni:

O decidi di installare un plug-in di sicurezza e di avviare immediatamente una scansione o di avviare una scansione online su uno dei siti seguenti. Sono tutti gratuiti e molto facili da usare.

Inserisci l'indirizzo del tuo sito e avvia la scansione.

  • https://wpsec.com/
  • https://app.upguard.com/webscan
  • https://www.virustotal.com/gui/home/upload

12: Disinfetta il tuo sito

Se hai installato un plug-in di sicurezza, è improbabile che tu sia stato infettato. Ma molti di voi ancora non ci pensano.

Innanzitutto bisogna capire che è molto più facile prevenire un'infezione del proprio sito WordPress che disinfettarlo.

La pulizia di un sito WordPress può richiedere molto tempo e spesso dovrai assumere un professionista, soprattutto se non hai eseguito un backup completo del tuo sito.

Gli hacker installano backdoor su siti infetti e, se non vengono trattati correttamente, il tuo sito Web verrà probabilmente violato di nuovo.