Rafforzare la sicurezza di WordPress: una guida completa per proteggere i siti WordPress

Quando avrai finito con questo post, ti garantisco che il tuo sito WordPress sarà immune da hack ed exploit.

Aspetta, non posso garantirlo. Mettiamola così, sarai dotato delle conoscenze necessarie per mantenere il tuo sito web relativamente sicuro.

Non esiste una sicurezza infallibile. Esistono misure specifiche che puoi adottare per ridurre notevolmente la possibilità che il tuo sito web sia vittima di un hack o di un attacco.

In precedenza ho scritto un piccolo post su come i siti Web WordPress vengono compromessi e perché dovresti investire in buone pratiche di sicurezza. Puoi leggerlo qui o ti darò un piccolo riassunto delle vulnerabilità di WordPress prima di discutere misure specifiche per rafforzare il tuo sito Web WordPress.

WordPress di per sé ha poche vulnerabilità e quando vengono scoperte, vengono rapidamente riparate con un aggiornamento. Ma se prendi in considerazione le pratiche di sicurezza del tuo host web o la loro mancanza e il software di terze parti che normalmente viene eseguito sui siti Web WordPress, è più probabile che il tuo sito Web diventi vittima di un attacco a causa di errori di altre persone.

Il 51% di tutti i siti Web compromessi nel 2021 è stato compromesso da temi o plug-in in esecuzione. Il 41% è stato sfruttato perché ha scelto l'host web sbagliato e, di conseguenza, i suoi siti sono stati violati.

Gestire un semplice sito WordPress e tenerlo al sicuro non è troppo difficile. Ma quando aggiungi un mix di software di terze parti e devi mantenere il tuo dominio con l'host giusto, diventa un po' più difficile.

Ho letto molti post di blog di imprenditori web di successo che erano essenzialmente uomini e donne d'affari che portavano la loro attività online. E quando le loro iniziative online hanno avuto successo, sono diventate obiettivi. Tuttavia, non è necessario che il tuo sito web abbia successo o che abbia del traffico perché diventi un obiettivo.

Le persone che hackerano i siti Web utilizzano strumenti automatizzati che consentono loro di setacciare centinaia e migliaia di siti Web alla ricerca di vulnerabilità. Il tuo sito web potrebbe essere una di quelle centinaia. Quindi, anche se il tuo sito web non è popolare, potresti comunque essere un bersaglio.

Ora molti imprenditori del web sono consapevoli degli standard di sicurezza e delle misure necessarie per proteggere i loro siti Web e le attività online. Ma la cosa grandiosa di WordPress e del web oggi è che non è più necessario essere un esperto di tecnologia o uno sviluppatore web per avviare un sito web. E creare un sito Web non è affatto difficile, è molto semplice e ho persino scritto un articolo su Colorlib (per quelli di voi che cercano un po' di aiuto quando si costruisce il primo sito Web WordPress).

Creare un sito web non è troppo difficile, renderlo popolare è una proposta leggermente più complicata. Ma renderlo sicuro, specialmente per gli imprenditori web non esperti di tecnologia, la cui preoccupazione principale ruota attorno a un prodotto/servizio non basato sul web, è piuttosto impegnativo.

E certo, potrebbero assumere uno sviluppatore web per aiutarli. Ma il motivo per cui ci sono molte attività web su piccola scala che prosperano è certamente direttamente correlato alla loro capacità di mantenere bassi i costi. E assumere uno sviluppatore web che fa pagare $ 100 l'ora, non rientra nelle loro capacità finanziarie.

Un professionista della sicurezza web è sempre l'opzione preferita, ma sfortunatamente non tutti hanno il reddito necessario per sostenere tale spesa. E forse va bene, forse no. Ma il fatto cruciale è che dobbiamo riconoscere che anche le piccole imprese raccolgono informazioni personali sensibili, inclusi elementi come l'indirizzo di residenza, i dettagli della carta di credito, i numeri di telefono e gli ID e-mail.

Non solo le informazioni dei tuoi clienti sono a rischio a causa di pratiche di sicurezza forse negligenti, ma lo sarà anche l'attività che hai costruito o che impiegherai molto tempo a costruire. Costruire un'attività online è uno sforzo piuttosto scoraggiante, il tuo successo dipende da una serie di fattori, tra cui la reputazione del marchio e ciò che Google pensa del tuo sito web. E fidati di me, nessuno avrà una visione favorevole delle tue attività o dei tuoi servizi, se il tuo sito web si chiude o diventa vittima di un attacco/hack.

Considerato tutto ciò e la posta in gioco, quali passi puoi intraprendere "tu" come imprenditore web per rendere sicuro il tuo sito web?

Questo post è principalmente rivolto a persone la cui occupazione principale non è gestire un'attività online. È rivolto a persone che, di diversa estrazione sociale, stanno avviando un'attività che si basa parzialmente o pesantemente su una presenza online. E poiché oltre il 65% del Web è gestito da WP e WordPress è il CMS preferito dagli imprenditori web non esperti di tecnologia, concentrerò i miei sforzi per fornirti le conoscenze per mantenere il tuo sito Web WordPress sicuro e protetto .

#1. Scegli il giusto fornitore di servizi host

La maggior parte delle vulnerabilità esiste a causa di problemi creati alla fine del server del tuo sito web. Ho trovato questo fatto piuttosto sorprendente, il tuo servizio di hosting è potenzialmente la più grande fonte di vulnerabilità del tuo sito web.

E con un host di terze parti non puoi fare molto per armeggiare per proteggere il tuo sito web.

Quindi la prossima cosa migliore che puoi fare: scegli il giusto fornitore di servizi di web hosting.

Ci sono troppi provider di host web che eseguono i loro sistemi su software obsoleti o che non vengono attualmente mantenuti. Il problema con il software che non viene più mantenuto è che, sebbene in passato non siano esistite vulnerabilità, non esiste alcuna garanzia per la sicurezza futura. E se viene rilevata una vulnerabilità che è quasi certa, potrebbe non essere più riparata perché il core team non mantiene attivamente le versioni precedenti del software.

Quando parlo di software, intendo tutto ciò che viene eseguito sul tuo server per mantenere il tuo sito attivo e funzionante.

• Apache
• PHP
• MySQL
• Maria DB
• PostgreSQL
• PHPMyAdmin
• Certificati SSL

Anche se hanno aggiornato il software con un piccolo ritardo, quando vengono rilasciate le patch del software. La finestra di opportunità per gli hacker di sfruttare le vulnerabilità che sono state corrette solo negli aggiornamenti recenti si allarga e mette a rischio il tuo sito web.

L'hosting condiviso, che è la scelta di hosting per la maggior parte delle attività online appena avviate, ha un paio di problemi,

• Gli attacchi DOS su qualsiasi IP su un server possono influenzare tutti i siti Web ospitati su quel particolare server.
• Gli indirizzi IP condivisi sono un grosso problema. Gli indirizzi IP vicini al tuo influenzano il tuo sito web, se un IP condiviso viene inserito nella lista nera, il tuo sito ne subisce le conseguenze.
• C'è sempre la possibilità che alcuni software caricati su un server condiviso possano compromettere l'intero server, anche se i fornitori di servizi di hosting condiviso adottano misure per evitare che ciò accada.

La mia scelta per l'hosting condiviso,

• Hosting condiviso - SiteGround - Forniscono l'isolamento dell'account che ti protegge dai siti Web sullo stesso server che potrebbero essere vulnerabili. Aggiornamenti automatizzati per core WP e plugin, certificato SSL gratuito e backup giornalieri per il piano Grow Big e versioni successive, protezione contro lo spam con un sistema di filtraggio, un firewall, sistemi di prevenzione delle intrusioni e monitoraggio in tempo reale. L'utilizzo di un sistema CDN come CloudFlare proteggerà il tuo sito Web dagli attacchi DDoS.

SiteGround ha avuto una buona storia in termini di risposta rapida e incisiva contro le vulnerabilità esposte in passato. Nel 2013, quando sono stati perpetrati attacchi di forza bruta da oltre 90.000 indirizzi IP, SiteGround ha impedito alle richieste di raggiungere persino i loro server.

Gli attacchi Brute Force possono sovraccaricare il server con il carico, ma se non è possibile inviare un numero sufficiente di richieste al server, non è possibile influenzarlo. Durante l'attacco sono stati effettuati oltre 15 milioni di tentativi in ​​meno di 12 ore contro i siti Web sui loro server, eppure nessuno dei loro server ha subito problemi di prestazioni.

Infatti, dopo che alcuni hanno forzato brutalmente i siti Web dei propri clienti a trovare password deboli, hanno trovato molti siti Web sui propri server con password deboli e non sicure. Lo hanno seguito applicando password complesse e i loro clienti sono stati informati tramite posta. Sembrano davvero preoccuparsi della loro sicurezza e garantire le prestazioni dei loro ambienti server condivisi anche quando sono sotto attacco. Lo stesso non si può dire per alcune delle più grandi società di web hosting condiviso.

Se desideri opzioni alternative a SiteGround per l'hosting condiviso, ne ho elencate alcune in un post precedente.

Tuttavia, se non vuoi preoccuparti della sicurezza di WordPress e praticamente di qualsiasi altra cosa tecnica in remoto sulla creazione, la manutenzione e la crescita di un sito Web, starai meglio con un host WordPress gestito. Preferisco l'hosting gestito ma i costi sono notevolmente più alti.

Il prezzo per l'hosting gestito per un mese ti comprerà anche l'hosting condiviso per un periodo di 8 mesi. Se gestisci un'impresa a corto di liquidità, questo ha un effetto enorme sulla sostenibilità della tua attività. Ma chiunque sarebbe un pazzo a ignorare i vantaggi di un host WordPress gestito, se può permetterselo.

Misure di sicurezza di WPEngine-

• Protezione da scrittura su disco, qualsiasi codice dannoso che crea vulnerabilità che possono essere sfruttate è severamente limitato dalle restrizioni di scrittura su disco. L'uso di plugin e temi con vulnerabilità è improvvisamente più sicuro, dato che non possono più scrivere codice nel tuo server che rende il tuo WP vulnerabile altrettanto facilmente.
• I privilegi di scrittura su disco per gli utenti che hanno effettuato l'accesso al proprio cruscotto WP si estendono a funzioni standard come la scrittura e la modifica di post, temi che aggiungono nuovi fogli di stile e attivazione/disattivazione di plug-in.
• Per eliminare e scrivere nuovi file devi essere loggato tramite un client SFTP.
• L'aggiunta di codice PHP generico non è consentita.
• Gli script con vulnerabilità note che compromettono WP non possono essere aggiunti a WordPress.
• Alcuni plug-in possono essere non consentiti e persino disabilitati, se i loro scanner rilevano qualcosa nel codice del plug-in che rende il tuo sito Web meno sicuro.
• I piani di base in WPEngine comporteranno comunque la condivisione di alcuni server. In qualsiasi piano di hosting dedicato, l'host fornisce un intero server completamente dedicato a fornire risorse solo per il tuo sito web.
• Backup tramite Amazon S3 e non hai accesso ad essi. Non potresti compromettere i tuoi backup, anche se ci provassi. Una polizza assicurativa per il tuo sito è sempre attiva.
• L'accesso fisico ai server è limitato solo al personale essenziale. I loro data center sembrano Fort Knox solo a leggerlo.
• Sono specializzati in WP e conoscono i dettagli della creazione di un sito WordPress sicuro.
• Il recupero in caso di account violato è facile e gratuito.
• Controlli regolari del codice dal fornitore di soluzioni di sicurezza WP – Sucuri.

Pensa a WPEngine in questo modo, ti costa una bomba ma molto meno di quanto possa costarti un sito web compromesso. Rende molto più facile la razionalizzazione dei costi.

Per favore, non trascurare il fatto che il tuo sito web non sarà solo più sicuro con WPEgnine, ma sarà molto più veloce con ogni probabilità. Anche i siti Web come Colorlib che utilizzano un server privato virtuale hanno difficoltà a eguagliare la velocità di un sito Web eseguito da WPEngine.

Se hai ancora dubbi e non puoi scegliere tra un host web condiviso e un host WP gestito, questo è un argomento enorme in sé. Per favore, leggi un pezzo che ho scritto tempo fa. Speriamo che questo risponda a tutte le tue domande sull'idoneità di un piano di hosting per il tuo sito web.

#2. Utilizza software di terze parti affidabile: temi e plug-in premium

Plugin e temi sono sempre sospetti, sii scettico, soprattutto quando sono mal gestiti e raramente aggiornati. Ora puoi compiere numerosi passaggi discriminando i plug-in in base a falle di sicurezza, ma è sempre utile tenere nota delle azioni che i tuoi plug-in eseguono con WP Security Audit Log.

Un registro di sicurezza è molto utile per lo sviluppo web e i professionisti della sicurezza tengono traccia delle modifiche su base multisito quando gestiscono le esigenze dei loro clienti. Ogni azione di ogni utente può essere contabilizzata con il plugin. Il registro aiuta anche a tenere d'occhio plug-in, temi e altri comportamenti di software di terze parti. Questo plugin potrebbe non prevenire un problema di sicurezza, ma se qualcosa va storto, sarà facile rintracciare l'origine del problema.

Un'altra buona pratica è far controllare il plugin da un esperto di sicurezza. Se non puoi permetterti di farlo, cerca i marchi di fiducia di Sucuri (Sucuri è un fornitore leader di soluzioni di sicurezza per gli utenti di WordPress) sui plugin. Molti plugin/temi inviano volontariamente i loro prodotti per il controllo del codice.

I temi eleganti hanno avuto il loro tema di punta Divi verificato. Elegant Themes è una delle più grandi, se non la più grande casa a tema nella nicchia WP, eppure il loro tema di punta viene verificato per problemi di sicurezza.

Stai lontano da plugin e temi gratuiti che non hanno un gran numero di download. A volte i plug-in con un numero di download eccessivamente alto e valutazioni elevate attirano molti più creatori di guai. La protezione in numeri non è realmente applicabile. Più persone che utilizzano un plug-in lo rendono un obiettivo più grande, ma allo stesso tempo avere migliaia di utenti probabilmente aiuterà a identificare e proteggere dagli exploit zero day attraverso aggiornamenti rapidi.

L'utilizzo di plugin e temi premium non significa che la sicurezza del tuo sito possa essere garantita. Ma puoi essere certo che se vengono scoperti exploit zero-day, la risposta è generalmente rapida. Le case a tema e gli sviluppatori di plug-in hanno molto a che fare con i loro prodotti, l'ultima cosa che vogliono è l'apparenza di vulnerabilità.

Attenersi ai plug-in elencati nella directory di WordPress.org per i plug-in gratuiti. Valutazioni e numero di download più elevati rendono il plug-in una scommessa più sicura in una certa misura. Consulta la cronologia dei plugin creati dallo stesso autore in passato, un buon indicatore del pedigree del programmatore. Vedrai anche che alcuni autori si prendono cura di garantire la sicurezza del loro plugin/tema.

La data dell'ultimo aggiornamento è un altro fattore da tenere in considerazione. Garantire che l'ultima versione del plug-in sia compatibile con l'ultima versione di WordPress è un altro punto essenziale da spuntare nell'elenco di controllo prima di installare e attivare un plug-in.

Come avrai intuito, ciò che vale per i plugin vale anche per i temi. Alcune cose da ricordare, quando si tratta di utilizzare plugin e temi.

• I plugin premium sono migliori nel senso, è probabile che i loro team rispondano a qualsiasi vulnerabilità di sicurezza molto più velocemente dei plugin gratuiti.
• Usa il registro di controllo della sicurezza di WP e tieni traccia di tutto ciò che viene eseguito sotto il cofano del tuo sito web.
• C'è sicuramente sicurezza nei numeri perché è molto più probabile che una minaccia alla sicurezza venga segnalata e affrontata. Ma non posso fare a meno di pensare che questa sia un'arma a doppio taglio, i plug-in / temi con un numero elevato di download hanno anche molte più probabilità di diventare obiettivi di hacker.
• La directory dei plug-in di WP.org può essere manipolata per fornire valutazioni eccellenti per i plug-in con un numero inferiore di download e valutazioni.
• Controlla l'autore del plugin, la sua storia e i prodotti precedenti. Se hanno avuto problemi di sicurezza in passato, non indicano necessariamente che i loro plugin/temi non siano validi, ma non è un buon segno.
• Discrimina spietatamente temi/plugin, leggi le recensioni, specialmente quelle che forniscono valutazioni negative per il prodotto (assicurati di esaminare i motivi per cui questi prodotti sono stati valutati male) su marketplace come Envato, anche per i plugin premium. Leggi le sezioni dei commenti dalle recensioni dei prodotti per plug-in e temi. Quando scrivo recensioni su prodotti WordPress specifici o creo un post di un elenco di temi, guardo sempre la sezione dei commenti per i reclami degli utenti che hanno scaricato/acquistato il prodotto. Questo esercizio è sempre fruttuoso, imparerai quasi sempre qualcosa sul prodotto che intendi acquistare o scaricare.
• Se il plug-in/tema è stato sottoposto a verifica del codice da Sucuri o da un altro rispettabile fornitore di soluzioni di sicurezza WP, aumenta la probabilità che il prodotto sia piuttosto solido in termini di sicurezza.
• Puoi proteggerti dai plug-in non autorizzati con plug-in di sicurezza come Wordfence o iThemes Security. Inoltre puoi utilizzare la funzione di scansione del sito gratuita di Sucuri che controlla il tuo codice WP alla ricerca di script dannosi.

Nessuno dei passaggi precedenti garantisce che non scaricherai mai un plugin o un tema non valido, ma riduce le possibilità di essere interessato da problemi di sicurezza.

Ora, supponendo che tu stia utilizzando l'host, il tema e i plug-in giusti. Descriverò e spiegherò le misure di sicurezza necessarie che devi adottare per rendere sicuro il tuo sito web.

Durante la descrizione delle singole misure di sicurezza, tieni presente che raccomando plug-in autonomi progettati per applicazioni di sicurezza specifiche.

Più avanti in questo post, parlerò di Wordfence, un plug-in di sicurezza freemium completo e anche delle soluzioni di sicurezza di Sucuri. Dovresti sapere che entrambi svolgono quasi tutte le funzioni di sicurezza che potrebbero essere state discusse in precedenza nel post e in alcuni casi anche di più.

Quindi, a meno che tu non voglia conoscere in dettaglio le singole misure di sicurezza, puoi passare all'ultima parte in cui discuto le funzioni di un plug-in di sicurezza e dei fornitori di soluzioni di sicurezza come Sucuri.

Ma se sei un utente WordPress per la prima volta, ti consiglio vivamente di leggere l'intero post per comprendere appieno il significato di ogni diversa misura di sicurezza.

#3. Proteggi la tua pagina di accesso

La pagina di accesso di WordPress è un obiettivo primario per gli attacchi di forza bruta. La tua pagina di accesso è sicuramente una parte vulnerabile del tuo sito web, se non metti in atto le misure di sicurezza appropriate per ostacolare gli aggressori.

Discuterò l'importanza di mantenere una pagina di accesso forte e sicura con più misure di sicurezza che rendono il tuo sito sicuro e lo proteggono dagli attacchi di forza bruta.

Password complesse e nome utente insolito

L'amministratore non è un buon nome utente. WordPress in precedenza aveva admin come nome utente predefinito dell'account amministratore principale. Oggi invece, quando installi WordPress, puoi scegliere un nome utente diverso. Ma quando le persone in genere iniziano a utilizzare WordPress, soprattutto per la prima volta, molti continuano a utilizzare admin come nome utente. "admin" è un nome utente estremamente prevedibile e rende il tuo sito molto più facile da violare.

Puoi anche provare il plug-in Admin Renamer Extended che può cambiare il tuo nome utente.

Le password, la scelta di stringhe casuali insolite di caratteri contribuiranno a creare la prima linea di difesa contro le persone che intendono danneggiare il tuo sito Web o ottenere informazioni riservate memorizzate sui server del tuo sito.

Un elenco delle 5 password più comuni compilato da SpashData.

1. 123456
2. parola d'ordine
3. 12345
4. 12345678
5. qwerty

Un tredicenne altamente motivato può indovinare admin e 123456. Con password come quelle sopra menzionate, il tuo sito è spacciato soprattutto se ricevi traffico decente.

Le migliori password sono un misto di maiuscole e minuscole con punteggiatura e caratteri speciali. Preferibilmente, usa qualcosa che non ha alcun significato e assicurati che sia almeno più di 10 caratteri. Nessun motivo particolare per 10 caratteri, ma ricorda che diventa esponenzialmente più difficile decifrarli, se le password sono più lunghe.

Se la tua password non ha alcun senso e non c'è una ragione logica o sentimentale dietro la tua password, è ovviamente molto più difficile da indovinare. Ricorda come Sherlock indovina la password del cellulare di Irene Addler – “I AM _ _ _ _ LOCKED”. Ebbene, anche Sherlock avrebbe difficoltà a indovinare una password che non può essere ragionata!

Se hai difficoltà a capire quale password utilizzare, prova strumenti come Strong Password Generator o Secure Password Generator, entrambi strumenti online disponibili gratuitamente per trovare una buona password per l'accesso come amministratore del tuo sito web.

I plug-in di sicurezza impongono anche password complesse per l'amministratore e tutti gli utenti. Questo è importante, anche se i tuoi utenti non hanno lo stato di amministratore e i relativi privilegi, qualcuno con accesso a un account a livello di editor compromesso su WordPress potrebbe fare un bel po' di guai.

Un altro buon consiglio da ricordare sempre, cambiare frequentemente le password. Se hai difficoltà a ricordare tutte le tue password, usa un gestore di password. Puoi provare One Password, Last Pass, KeePass o DashLane per archiviare tutte le tue password in modo sicuro.

Per quanto riguarda i nomi utente e le password, meno hanno senso e più sono casuali, migliore è la sicurezza che possono offrire al tuo sito web.

Limita il numero di tentativi di accesso

Gli attacchi di forza bruta prendono di mira le pagine di accesso dei siti Web WordPress. Se non sei a conoscenza, la maggior parte degli attacchi di forza bruta implica il tentativo di diverse combinazioni alfanumeriche per decifrare la password del sito per un particolare nome utente.

Ora, anche supponendo che un attacco di forza bruta non abbia successo, è necessario riconoscere il fatto che consuma enormi quantità di memoria del server e potenza di elaborazione. Questo quasi certamente rallenterà il tuo sito web e lo porterà a una scansione. Molti host offrono anche protezione contro gli attacchi di forza bruta. Questo perché su un server condiviso, il tuo sito consumando una quantità eccessiva di risorse potrebbe potenzialmente influenzare tutti.

Ma la tecnica più semplice per scongiurare attacchi di forza bruta è limitare il numero di tentativi di accesso. Se qualcuno non può colpire ripetutamente il tuo server con più combinazioni di nome utente e password, un attacco di forza bruta non funzionerà.

Login Lockdown, Login Security Solution e Brute Force Login Protection mirano tutti a impedire l'accesso al tuo sito Web tramite tentativi di hacking di forza bruta. Brute Protect è stato acquisito dal team Automattic e ora fa parte di Jetpack e offre protezione contro gli attacchi di forza bruta.

Quasi tutti i plugin di protezione dell'accesso hanno un'interfaccia simile.

Tutti questi plugin funzionano fondamentalmente tracciando gli indirizzi IP che tentano ripetutamente e non riescono a ottenere l'accesso. A seguito di più tentativi di accesso falliti, ai particolari IP viene impedito di accedere alla pagina di accesso del tuo sito.

Login Security Solution forza un'autenticazione e-mail di WordPress e la modifica della password tramite e-mail, se determina che l'utente attualmente connesso è piuttosto sospetto.

Il plug-in può imporre password complesse e imporre frequenti modifiche delle password agli utenti. Inoltre, i tentativi di hacking vengono monitorati da intervalli IP che tentano ripetutamente di accedere in modo illegittimo, vengono bloccati per periodi di tempo più lunghi per dissuaderli dal tentare di entrare nel tuo sito web.

Autenticazione di accesso in due passaggi

L'autenticazione di un accesso aggiunge un ulteriore livello di sicurezza oltre a una password complessa, un nome utente insolito e un numero limitato di tentativi di accesso non riusciti.

Il processo di autenticazione dell'accesso in due passaggi rende il tuo sito più che doppiamente sicuro. L'accesso al tuo sito WordPress richiede un codice di autenticazione che può essere ricevuto solo tramite un messaggio mobile. Detto questo, è piuttosto improbabile che il tuo cellulare venga rubato da un hacker in preparazione, il tuo sito web rimarrà protetto contro la forza bruta e altre tecniche di hacking che si basano sul superamento della pagina di accesso del tuo sito web.

Google Authenticator è un utile plug-in che si basa su un'app installata sul tuo Android/iPhone/Blackberry che ti fornisce il codice di autenticazione necessario per accedere con successo al tuo sito web. Puoi abilitare questa app solo per il livello di privilegio di amministratore o utilizzarla utente per utente.

Mi piace molto il prossimo plugin, intendono inviare le persone che tentano di accedere senza il codice di autenticazione a un reindirizzamento con un URL personalizzabile. Anche la pagina di accesso invisibile blocca completamente i bot.

Se un utente non rispetta la sequenza di accesso completa, il tentativo di accesso viene rifiutato. Un'altra tecnica che può essere utilizzata per bloccare i bot è utilizzare captcha nelle pagine di accesso, è possibile utilizzare Login No Captcha reCaptcha per impedire ai bot di accedere.

Cambia l'URL della tua pagina di accesso a WordPress

Abbiamo discusso della limitazione dei tentativi di accesso, dell'autenticazione degli accessi e dell'importanza di utilizzare una password complessa e un nome utente insolito.

Ora nasconderemo o cambieremo la pagina di accesso, questo tipo di mod di sicurezza sono anche conosciuti come sicurezza tramite oscurità. So che questo sembra un po' eccessivo. Ma resta con me qui, perché questo passaggio non è più difficile delle misure di sicurezza suggerite in precedenza per proteggere la tua pagina di accesso.

Gli attacchi di forza bruta sono efficaci solo se riescono a trovare la pagina di accesso. Lasciare la tua pagina di accesso invariata permetterebbe agli hacker di trovare le tue pagine di accesso.

Proviamo a nascondere loro la pagina di accesso. Puoi farlo modificando l'URL della pagina di accesso con WPS Hide Login. Il plugin in realtà non cambia nulla, intercetta semplicemente le richieste di pagina e rende inaccessibili la directory wp-admin e le pagine wp-login.php. Dovrai ricordare la nuova pagina di accesso come impostata durante l'attivazione del plugin.

Le opzioni alternative per cambiare l'URL della tua pagina di accesso includono altri due plugin, Protect Your Admin e Rename wp-login.php.

SSL

Sebbene menzioni SSL sotto la protezione della tua pagina di accesso, SSL è una caratteristica estremamente importante e necessaria di qualsiasi pagina in cui gestisci informazioni sensibili. E questo include praticamente ogni pagina su molti siti Web, visto che ci sono moduli di iscrizione al blog su tutte le pagine Web.

Se tu o i tuoi visitatori/clienti condividete mai informazioni private sensibili come indirizzi, dettagli della carta di credito o addirittura condividete con voi i loro ID e-mail. Quindi devi loro di proteggere le loro informazioni.

SSL è un ulteriore livello di protezione (Secure Socket Layer) che trasforma l'http in https e nel processo rende tutte le informazioni condivise molto più sicure.

Questo è il modo in cui la pagina di modifica dei post su cui lavoro, per l'aspetto di Colorlib con SSL. Notare il colore verde "https:" sulla barra degli URL?

SSL è fondamentalmente qualcosa che confonde le tue informazioni in qualcosa che non può essere letto come facciamo con il testo normale. Quindi, quando le informazioni viaggiano tra i tuoi server e qualsiasi browser, chiunque riesca ad accedervi non può dargli alcun senso. C'è una chiave privata e una chiave pubblica. Una volta che SSL rende il flusso di informazioni tutto divertente e illeggibile, dobbiamo dargli un senso di nuovo alla fine del browser. È qui che entra in gioco la chiave privata per rendere le cose nuovamente leggibili. Il meccanismo in gioco è molto simile a una serratura e una chiave matematiche.

SiteGround, il nostro host condiviso consigliato, fornisce protezione SSL gratuitamente. Puoi anche acquistare un certificato SSL da un'autorità di certificazione. Se esegui plugin di sicurezza come Wordfence, SSL può essere abilitato.

Consiglierei SSL a livello di sito, molti siti WordPress inclusi ColorLib utilizzano SSL a livello di sito. Se non SSL a livello di sito, dovresti assolutamente forzare SSL per le pagine di accesso come minimo.

I browser come Chrome bloccano persino l'accesso ai siti Web con certificati scaduti/scaduti su SSL.

Potrebbe essere necessario capire se la tua CDN offre contenuti facilmente su SSL e talvolta le reti pubblicitarie possono presentare problemi quando vengono serviti su SSL. L'aggiunta di SSL a livello di sito può presentare difficoltà significative, dovresti leggere questo articolo molto approfondito sulle difficoltà di abilitare SSL a livello di sito.

Google ti dà una piccola spinta (1%) nelle tue classifiche di ricerca, se usi SSL sui tuoi siti web. Questo fatto, di per sé, dovrebbe giustificare l'utilizzo di SSL. Come mai ? Bene, Google comprende, come la maggior parte dei professionisti dello sviluppo web, l'importanza di garantire la sicurezza dei dati dei tuoi lettori/visitatori.

SSL può essere applicato anche nella schermata di accesso dal plug-in di sicurezza di Wordfence. Si prevede inoltre che i certificati di sicurezza saranno resi disponibili gratuitamente nel 2015.

Maggiori informazioni sull'amministrazione su SSL su WordPress.org.

#4. Protezione del core WP, del database e utilizzo dei permessi file corretti

In molte di queste misure di sicurezza modificheremo il tuo core WP e dovrai avere familiarità con l'uso e il client FTP per apportare modifiche e caricarlo. E poiché la maggior parte di questi suggerimenti per la sicurezza comporta la modifica o la modifica del core WP, potrebbe semplicemente danneggiare il tuo sito web. Esegui il backup del core di WordPress e di tutti i suoi contenuti prima di procedere oltre, un errore può essere facilmente annullato con un backup.

Chiavi di sicurezza di WordPress

WordPress utilizza i cookie per identificare e verificare gli utenti che hanno effettuato l'accesso per commentare e apportare modifiche dal cruscotto WP.

Questi cookie contengono informazioni di accesso e i tuoi dettagli di autenticazione. La password viene cancellata, il che significa che viene applicata una formula matematica per renderla illeggibile e non può essere letta senza applicare nuovamente la matematica per renderla leggibile.

Possiamo aggiungere un ulteriore livello di protezione attorno a questo cookie con i token di sicurezza WP. Si tratta di un insieme di variabili casuali che migliorano la sicurezza delle informazioni memorizzate su un cookie utente. Ci sono 4 chiavi, vale a dire, AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY e NONCE_KEY.

Una password non crittografata come WordPress o 12345 può essere facilmente violata, se qualcuno può ricostruire il cookie di autenticazione. Ma la crittografia con le chiavi di sicurezza WP lo rende molto più difficile.

Come si aggiungono le chiavi di sicurezza WP?

1. Apri il file wp-config.php.
2. Cerca "chiavi e sali univoci di autenticazione".
3. Utilizza uno strumento di generazione automatica di chiavi online.
4. Copia le chiavi dallo strumento online e sostituisci il set di chiavi esistente, sovrascrivendolo in wp-config.php.
5. Salvarlo.
6. Puoi ripetere lo stesso processo ogni mese circa.

Ricorda, ogni volta che cambi le chiavi di sicurezza, gli utenti verranno disconnessi e dovranno accedere nuovamente ai propri account.

iThemes Security fornisce gli strumenti necessari per farlo dal cruscotto WP. E ti invieranno anche un promemoria ogni mese per cambiare le tue chiavi di sicurezza.

Proteggi con password le tue directory WP

Questo può essere fatto dal tuo cPanel o dalla dashboard di qualsiasi host web. Nel cPanel, apri Sicurezza > Directory protette da password. Troverai un elenco di tutte le cartelle sul tuo sito. Inizia con una cartella importante come wp-admin.

Troverai una finestra di dialogo che chiede di creare un utente fornendo un nome utente e una password. Ora crea il nuovo utente. Successivamente, se è necessario accedere alla cartella wp-admin sul proprio sito Web, è necessario inserire il nome utente e la password per accedere al sito Web.

Ciò aggiunge un ulteriore livello di protezione basata su password alle parti più importanti del tuo sito web.

Usa FTP sicuro (SFTP)

È necessario un sistema di trasferimento file per trasferire i dati del tuo sito web al tuo host web quando aggiungi nuove modifiche che desideri incorporare. Con un normale protocollo di trasferimento file o un FTP, aumentano le possibilità che qualcuno possa intercettare e trovare vulnerabilità per sfruttare il tuo sito web.

Avrai bisogno del client giusto per utilizzare una connessione SFTP per caricare nuovi file e codice modificato. Puoi usare FileZilla per aiutarti a iniziare.

Inoltre, avrai bisogno di alcuni dettagli specifici sul tuo account di web hosting. In genere, ogni host fornirà informazioni specifiche per aiutarti a impostare un protocollo di trasferimento file sicuro. Normalmente avrai una chiave SSH che viene generata dall'host, questa chiave deve essere aggiunta al tuo client SFTP come FileZilla ed è semplice impostare una connessione sicura per il trasferimento di file da lì in poi.

Utilizzo dei permessi file corretti

L'accesso ai tuoi file deve avere i permessi giusti. È possibile scrivere sul tuo WordPress dal server web. Il problema sorge quando condividi quell'ambiente con più siti Web che potrebbero anche avere i loro siti Web su un server condiviso.

In genere, le cartelle e i file di WordPress dispongono di autorizzazioni specifiche su host diversi. Con l'accesso alla shell puoi eseguire i seguenti due comandi per mantenere le cartelle e i file di WordPress al sicuro e accessibili solo all'utente corretto.

 find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Protecting WordPress using .htaccess

While editing .htaccess file, please add code before # BEGIN WordPress or after # END WordPress. Any code added within these two hashtags can be overwritten by WordPress and we wouldn't want any new security protocols we've added to disappear. So when you add any code to the .htaccess file, please remember to stay out of the section starting with # BEGIN and ending with # END.

The wp-includes contains files that aren't necessary for any user, but it contains files necessary for running WP. We can protect it by preventing access and adding some text to the .htaccess file. Keeping in mind to stay out of the code within hashtags.

Add this little snippet of code to the .htaccess file.

 # Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

This wouldn't work for wp multi sites. Remove this line – RewriteRule ^wp-includes/[^/]+\.php$ – [F,L], this will offer less security but it will work for multisite.

Your wp-config.php file contains sensitive information about your connection details and the WP security keys we previously discussed. Modifying your .htaccess will protect your website against hackers, spammers and significantly beef up your website's protection.

This process involves moving your .htaccess file out of your WP install and to a location accessible only with an FTP client or cPanel or from the web server.

Add this to the top your .htaccess file.

 <files wp-config.php>
order allow,deny
deny from all
</files>

This will essentially prevent access to anyone who surfs for the wp-config.php file and only access from the web server space will be permitted.

All this added protection is great, but remember all of this was accomplished from your .htaccess file. That means if someone can access your .htaccess file, all your added security isn't helpful.

Add the following to the top of your. htaccess file. It will prevent access to your .htaccess file.

 <files .htaccess>
order allow,deny
deny from all
</files>

You can add more modifications to .htaccess file, if you'd like.

You could, restrict files, by file types and extension. This piece of code will not only restrict access to your wp-config but it will prevent access to ini.php and your log files.

 <FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|\.htpasswd|readme\.txt|timthumb\.php|error_log|error\.log|PHP_errors\.log|\.svn)">
Deny from all
</FilesMatch>
#Code courtesy - WPWhiteSecurity

Next we can disallow browsing of the WP directory contents.

 Options All -Indexes

Apart from that we can add a few other changes to improve security by making changes to the .htaccess file in WordPress.

1. Block IPs and IP ranges. You can limit access to your login pages by IP range, I would have covered it in the Login section but login page protection plugins already block IP ranges which try to access login pages through brute forcing techniques.
2. Keep bad bots at bay.
3. Prevent hot linking.

This is quite extensive and we are starting to get off point. If you'd like to do the other stuff as well, for which I haven't presented the code here, you can use this piece of custom code from WP White Security.

Please remember to keep track of which files you have moved to root directory of WP. You'll need to be aware of where each file/folder is, so that you can not only edit them but also be sure not create multiple copies in different locations which again jeopardizes the point of the entire exercise.

Turn Off PHP Error Reporting & PHP execution

PHP executions need to be kept to a minimum. Come mai ? A good example of a hack would be the Mailpoet Newsletter hack which could be used to add files which are run from the wp-content/uploads folder.

To prevent such vulnerabilities, we can deny PHP any room to run on WordPress. Add this code snippet to the .htaccess file.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

This code detects PHP files and denies access. You need to add it to the following wp folders.

• wp-includes
• wp-content/uploads
• wp-content

You'll need to create a .htaccess in the other folders. By default, it may be available in the root directory but to prevent PHP execution the .htaccess file needs to be created and added to the aforementioned folders. The three folder mentioned are primarily folders where content is uploaded and is particularly vulnerable to a PHP script that can cause a lot of problems.

PHP error reporting is a signal to all hackers who are looking for vulnerabilities that there is something not working on your website.

Adding these two lines of code to your wp-config.php file should resolve the problem.

 error_reporting(0);
@ini_set('display_errors', 0);

Although having read multiple threads and discussions about PHP error reporting, it may not work. In which case your best option is to contact your web host and ask for instructions on how you can accomplish the same.

Change the wp_ table Prefix

All WordPress tables begin with a wp_ prefix. Change this wp table prefix across your entire website and make it more difficult for a hacker to infiltrate your website.

In your wp-config.php, you'll find this line of code.

 $table_prefix  = 'wp_';

Change that to something completely random,

 $table_prefix  = 'jrbf_';

Now every table like, wp_posts, wp_users, etc will change to jrbf_posts, jrbf_users and so on.

Almost all security plugins do this for you and furthermore changing wp table prefixes may be time consuming. You can do this with PHPMyAdmin or other database managers, but I'd much rather use a security plugin like iThemes Security to accomplish it.

Similarly, you can take it a step further by changing the name of your WordPress database. This way, not only do you change the prefix but you will also be changing the names of what follows the prefix. This will make it nearly impossible for hackers to randomly guess your database name and you can not access what you can not find.

Disable XMLRPC

Generally, DDOS attacks target all web pages of WordPress websites indiscriminately. But this particular part of WordPress can become a target for DDOS attacks. I'll explain, XMLPRC is used for pingbacks and trackbacks. But it has, in the past been exploited to launch DDOS attacks on websites.

You can use a plugin like Disable XMLPRC. But you will not need it, if you use security plugins or a login protection plugin. They generally provide protection against this particular vulnerability.

#5. Security Plugin – Wordfence/iThemes Security/ Sucuri

An effective security plugin is absolutely essential in ensuring your WordPress site's security, for the non-tech savvy at least. Security plugins perform the various functions many of which have already been discussed here, all of these added security measures add up to build a fortress around your website and its contents.

Wordfence performs a number of functions crucial to site security on a WordPress powered site,

• Real time blocking of attackers, blocking entire malicious networks and certain countries.
• Limit crawlers, bots and scrapers.
• Block users who trespass on your security rules.
• Two factor authentication via SMS, greatly improves security on login pages.
• Strong password enforcement for all users (non-admins).
• Protect against brute force attacks.
• Scan site for malicious scripts, back doors and phishing URLs on your site masquerading as comments on your website.
• Compare plugin/theme core files with files of the same listed on WordPress.org's directory.
• Run heuristics for Trojans, suspicious scripts and other potentially security endangering activities on your site.
• Firewall to block fake Google bots sent by hackers to scan for vulnerabilities.
• Real time awareness and live content access monitoring to enhance situational awareness.
• Geo-located down to a city level the threats to your website to find out the point of origin of threats to site security.
• Monitor DNS for unauthorized access.
• Keeps an eye on disk space consumption to prevent and react to Denial of Service attacks.
• It is multisite compatible.
• Falcon caching system to reduce server load.
• Full IPv6 compatibility for WHOIS lookup, location and security functions.

Some features are restricted to the premium version of the plugin. The premium version of the plugin is priced at $3.25/mo.

That being said, the free version of this plugin is a very capable site defender for your WordPress website. And you shouldn't be too apprehensive about the free version of the plugin, given that it has a rating of 4.9 on a five point scale and has been downloaded nearly a million times.

Security plugins require configuring and this can be an elaborate and long process. With Wordfence, you can to an extent at least customize all your security settings from Options under WordFence on your WordPress site menu.

Other options you can consider, if you still haven't settled on a security plugin for your WordPress site.

• Bullet Proof Security
• iThemes Security (Previously known as Better WP Security)
• Sucuri Security & Sucuri Cloudproxy For Firewall
• All In One WP Sicurezza e Firewall

I do not think Wordfence is the best overall security system out there. What I mean by this is, there are better security solution providers/ managed hosting services that offer better overall security solutions for WordPress sites. But when it comes to simple security plugins that enforce good protection and security protocols, Wordfence is certainly one of the best. The not too distant second position would probably go to iThemes Security.

In the coming weeks, I'll probably write a post about all the security solutions available for WordPress, so stay tuned to Colorlib But right now, we'll stick to Wordfence as the recommended security plugin.

#6. Update ! Update! Update! And not just your WordPress

There are hundreds of WordPress vulnerabilities in the previous/non-current versions of WordPress.

Websites tend to be slow, when it comes to updating their WordPress platform. For example, in February of 2015 only 7.4% of websites had updated to WordPress 4.1, despite the fact that it had been released more than two months prior to February.

Whenever a software vulnerability is discovered, typically the vulnerability is reported to the software vendor. The software vendor then modifies the software and adds some added protection or merely deletes some unnecessary code. This is released as a software update or a patch. This is the best possible case, but if someone with less than noble intentions discovers a vulnerability in any web based or non web based software, then he/she is likely to exploit it to the fullest.

July 2014, Mail Poet Newsletters previously known as Wysija Newsletters, a plugin which had been downloaded over 2 million times was compromised as a result of which 50,000 websites were made vulnerable to attack. An automated attack where in, an injected PHP backdoor would allow for eventual control of the site by the hacker.

December 2014, 100,000+ websites were compromised by the Revolution Slider plugin which was targeted by the SoakSoak.ru campaign. This particular malware injected JavaScript into the wp template-loader.php file. A thousand themes were affected as they had been sold with this plugin as an add-on via Envato and other WordPress marketplaces.

The XSS vulnerability in WP Super Cache, a plugin I included in my round up for the Top 6 Caching Plugins. The list of vulnerabilities in top notch free plugins is quite concerning. But there are a number of steps you can take to decrease your chances of using a vulnerable piece of code theme or plugin on your website.

You should know that most plugins with vulnerabilities have been patched. But you need to stay fully updated at all times. Updating your site to the latest versions is an extremely important part of your site defense strategy. All the previously mentioned security measures are useless, unless you update as and when the updates for WordPress and other third party software are available.

Enable Automatic Updates For Your WordPress, Plugins & Themes.

You do not want your website's update page looking like this page on a test site.

WordPress introduced automatic background updates with the release of WordPress version 3.7.

You can enable auto updates for WP, by making a change to the WP_AUTO_UPDATE_CORE constant. This change needs to be made in the wp-config.php file.

 define( 'WP_AUTO_UPDATE_CORE', true );

This will ensure that all updates major or minor are updated as soon as they are made available.

Change the update core constant to “false” and you will disable all updates. Changing it to “minor” will enable auto updates for minor changes, normally includes security patches.

You can update plugins and themes in the same manner, by editing the auto_update$type filter.

For automatic plugin updates,

 add_filter( 'auto_update_plugin', '__return_true' );

And to enable automatic theme updates,

add_filter( 'auto_update_theme', '__return_true' );

Se non ti piace giocherellare con il codice, puoi utilizzare un plug-in per aiutarti. Hai un'altra opzione sotto forma di plug-in, quando si tratta di garantire il corretto aggiornamento del tuo WP e di tutti i temi/plug-in sul tuo sito. Aggiornamenti automatici avanzati consente di abilitare singolarmente gli aggiornamenti principali e gli aggiornamenti minori/di sicurezza. E il plug-in fornisce anche soluzioni di aggiornamento automatico per temi e plug-in.

Per le soluzioni di aggiornamento multisito, se hai bisogno di aiuto per gestire gli aggiornamenti con i plugin e i temi di WordPress, puoi provare Easy Updates Manager. C'è anche un servizio premium offerto da WP Updates che fornisce soluzioni di aggiornamento automatico per plugin e temi premium.

L'utilizzo di plug-in come ManageWP o un host WP gestito come WPEngine aiuterà anche a risolvere i problemi con l'aggiornamento di WordPress e del software di terze parti che utilizzi sul tuo sito web.

L'aggiornamento del core di WordPress diventa automaticamente problematico quando le cose iniziano a non funzionare. Ciò può accadere a causa del codice personalizzato che viene cancellato durante un aggiornamento o per problemi di compatibilità che si verificano con software di terze parti (plug-in e temi). Questo è uno dei motivi che potrebbe darti una pausa, forse abilitare aggiornamenti minori potrebbe essere un'idea migliore.

Se hai problemi con gli aggiornamenti automatici di WordPress, ti consiglio di provare Background Update Tester. Il plugin verifica e spiega eventuali problemi di compatibilità.

Esegui sempre un backup prima di aggiornare. Sempre! Questo per proteggere il tuo sito web da cose che vanno orribilmente storte, nel qual caso finisci per fare un pasticcio del tuo sito web. Una buona pratica da seguire, per proteggersi dagli aggiornamenti automatici che causano problemi a causa di problemi di compatibilità con plug-in, temi e talvolta codice personalizzato sul core di WP.

#7. Alcune altre cose sulla sicurezza di WP: firewall, registri di controllo e scanner di malware

Non ho discusso dei firewall per WordPress. Un buon firewall farà molto e ridurrà le forme più comuni di attacco ai tuoi siti web.

• Mitiga gli effetti di un attacco DDoS.
• Gli attacchi di forza bruta vengono fermati di colpo.
• Proteggersi dalle vulnerabilità del software.
• Blocca gli attacchi di iniezione di codice come gli attacchi SQL o XSS.
• Ripara e difenditi dalle vulnerabilità del giorno zero.

Solo per illustrare, ecco un'istantanea di ciò che fa il firewall Sucuri per un sito Web WordPress.

Firewall non è il termine usato da Sucuri per descrivere il suo sistema di protezione, lo chiamano CloudProxy che è una combinazione di un firewall per applicazioni web e un sistema di rilevamento delle intrusioni. Tutto il traffico dannoso viene filtrato e l'attività anomala viene monitorata.

I firewall sono stati tradizionalmente sviluppati per monitorare le connessioni, tuttavia CloudProxy di Sucuri non solo terrà fuori i malintenzionati, ma creerà anche patch virtuali contro le vulnerabilità. Una volta che una richiesta di un visitatore passa attraverso il firewall, raggiunge il sistema di prevenzione e rilevamento delle intrusioni, dove il sistema vaglia le richieste di possibili schemi di attacco.

Penso che la funzione di patch virtuale per proteggerti dalle vulnerabilità sia una risorsa altamente efficace e inestimabile per qualsiasi sito Web con troppa personalizzazione (significa che molte cose possono andare storte quando si verificano problemi di compatibilità). È sempre meglio applicare l'aggiornamento a WordPress in un'area di staging e verificare se il tuo sito web funziona correttamente. E se lo fa, puoi pubblicare la versione aggiornata del tuo sito web. Ma nel frattempo, il tuo sito web è davvero in pericolo. La protezione dagli exploit zero day è possibile solo tramite aggiornamenti per correggere le vulnerabilità, tuttavia non è necessario che ciò avvenga durante l'utilizzo di Sucuri CloudProxy.

E a parte questo, mantengono anche i registri di tutte le attività sul tuo sito web e cercano possibili segni di malizia.

Pensa al firewall come ultima misura, è il muro che un hacker deve violare per accedere ai contenuti sensibili del tuo sito web. Le buone pratiche sono in gran parte progettate in modo che non sia necessario utilizzare troppo il firewall.

Software di scansione malware o siti Web come Sucuri SiteCheck possono scansionare i tuoi siti Web alla ricerca di vulnerabilità e possibili scappatoie di sicurezza. I plug-in di sicurezza hanno anche un software di scansione del malware per tenere traccia di eventuali modifiche che sembrano anormali e sono fonti di potenziali problemi di sicurezza.

In precedenza avevo anche menzionato il registro di controllo della sicurezza di WP, affermando che è un plug-in necessario per tenere traccia di tutte le modifiche sul tuo sito web. Vorrei ribadire questo punto, è un plug-in estremamente utile non solo per tenere traccia delle modifiche effettuate da temi e plug-in, ma anche dalle azioni di altri utenti. È molto importante utilizzare il registro di controllo della sicurezza di WP o eseguire un altro plug-in di registrazione dei dati per tenere traccia di tutte le modifiche.

La registrazione è anche una caratteristica chiave del sistema di protezione di Sucuri. Nonostante i loro tentativi troppo zelanti di garantire la sicurezza, a volte accadono cose brutte e i siti Web vengono violati. Quando ciò accade, il loro sistema di registrazione è molto utile per aiutare a scavare siti Web da un fosso.

Firewall, scanner malware e registri di controllo sono molto utili contro le minacce che non possono essere previste e gli exploit zero day. Non sostituiscono le buone pratiche di sicurezza di WordPress.

#8. Nascondere la tua versione di WordPress: è necessario?

Ho letto su alcuni siti Web che nascondere la tua versione di WordPress aumenterà la tua sicurezza contro gli hacker dannosi. Il problema è che si presume che la conoscenza delle vulnerabilità associate a un particolare WordPress, renda più probabile che qualcuno le sfrutti. Questo non è necessariamente vero. In genere, le persone che rubano informazioni dai siti Web utilizzano strumenti automatizzati per eseguire la scansione dei siti Web alla ricerca di vulnerabilità note. E se la tua versione di WordPress è vulnerabile, lo sapranno. Non è come se gli hacker controllassero un sito alla volta e li ordinassero per versione di WordPress.

Come affermato in precedenza, aggiorna WordPress, temi e plugin il prima possibile. Gli hacker non discriminano tra i siti che visualizzano la versione di WordPress e i siti Web che non lo fanno.

Nell'improbabile eventualità che un hacker visiti manualmente ogni sito Web e controlli la versione di WordPress e poi tenti di trovare le vulnerabilità, potresti trovare fruttuoso nascondere la tua versione di WordPress.

Usa Remove Version Plugin per rimuovere la tua versione di WordPress. Se ciò non funziona per te, dovrai apportare alcune piccole modifiche e questo post sul blog dovrebbe aiutarti.

#9. Backup – Ultima linea di sicurezza del sito web

Dovresti sempre essere preparato all'eventualità che il tuo sito WordPress, nonostante tutte le tue misure di sicurezza, venga compromesso. Se ciò accade, devi intervenire e sistemare le cose. Ora ci sono diversi modi in cui è possibile eseguire il ripristino del sito. I backup con ripristini con un clic sono una soluzione semplice per un sito Web compromesso, supponendo che la scappatoia di sicurezza o la vulnerabilità siano già state risolte.

I backup automatici sono una parte necessaria ed essenziale dell'arsenale di sicurezza di ogni sito Web WordPress. Pensa ai plugin di sicurezza come alla tua spada e al backup come al tuo scudo. Se il tuo attacco fallisce, il tuo scudo in questo caso i backup, diventa la tua ultima linea di difesa.

Ricorda, sto partendo dal presupposto che è solo il tuo WordPress a essere compromesso e non il tuo server, che è un sacco di worm completamente diverso. Ma la maggior parte dei provider di servizi di hosting ha un forte team di sicurezza che protegge costantemente i propri server da elementi dannosi e soprattutto durante gli attacchi globali. Ho scritto un post qualche settimana fa, sui diversi fornitori di servizi di hosting condiviso, se sei interessato.

Backup: se decidi che desideri un plug-in gratuito senza pagare un centesimo per i servizi di backup, direi che puoi iniziare con Updraft Plus che è un plug-in freemium.

Con questo plugin puoi eseguire il backup e salvare una copia del tuo sito web sullo spazio di archiviazione fornito da una serie di servizi diversi. Include Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP e SFTP ed e-mail. Dovresti anche notare che il plug-in gratuito consente solo il backup su una qualsiasi posizione. Avrai bisogno di un componente aggiuntivo premium, se desideri utilizzare il plug-in per salvare il tuo sito Web in più posizioni.

Questo plug-in, come la maggior parte dei provider di backup del backup di WordPress, salva tutto, inclusi i contenuti, i temi e le impostazioni dei plug-in e può anche eseguire un backup del database WordPress separato dai normali backup.

Se desideri utilizzare un servizio di backup WordPress premium, ti consiglio di dare un'occhiata a BackUp Buddy, VaultPress o BlogVault (ho lavorato con loro in passato e hanno un servizio fantastico).

Tieni a disposizione più di una copia del tuo sito web e tieni sempre una copia su un'unità fisica che non dipenda da una connessione Internet. I backup sono una buona idea anche da un punto di vista non di sicurezza. Quando sperimenti temi e plug-in, quando aggiorni temi, plug-in o WordPress, esiste sempre la possibilità che si verifichi un problema di compatibilità e che distrugga il tuo sito web.

E dalla mia esperienza con i backup automatici, devi continuare a eliminare le copie dei backup in modo coerente con la frequenza con cui continui ad aggiungere nuovi contenuti e continui a fare copie di backup.

Quando si tratta del mio PC, preferisco sempre soluzioni di backup che offrono backup incrementali/differenziali rispetto ai backup completi, ma si nota anche che con la prima ricostituzione per il ripristino ci vuole più tempo. Lo stesso è sicuramente applicabile a un sistema di backup di WordPress. Tuttavia, a meno che il tuo provider di backup non addebiti costi aggiuntivi con rigidi vincoli sui limiti di archiviazione dei dati, non dovresti preoccupartene.

Conclusione

Non posso farci niente, questa citazione dalla serie di Harry Potter sembra così azzeccata.

“Vigilanza costante!” – Malocchio-Moody

Moody è un cacciatore di maghi oscuri nella serie, se te lo stessi chiedendo.

Come ho già detto prima, non esiste una sicurezza a prova totale sul web. Puoi prendere numerose misure di sicurezza e avere comunque il tuo sito web violato. Ma garantire che il tuo sito Web funzioni su SSL, che le tue pagine di accesso siano rafforzate, che le tue password e nomi utente siano notevolmente sconosciuti, che il tuo sito Web sia completamente aggiornato e protetto contro le minacce note e che sia completamente sottoposto a backup su base giornaliera, migliora notevolmente le probabilità a tuo favore .

Se desideri un WordPress completo senza hack/exploit, seguire tutte le misure di sicurezza di cui sopra ti assicurerai che il tuo sito web abbia una sicurezza rigorosa. Ma anche in questo caso, non puoi proteggerti dagli exploit zero day o da un hacker intelligente deciso a violare il tuo sito Web, anche se questo è un evento molto improbabile.

Pensare in questo modo. Se il mio sito web viene violato, quanti affari e guadagni perderò? Metterò a rischio le informazioni del mio cliente? Questo mi renderà responsabile di azioni legali? Quando si arriva al punto in cui si vede che i costi per l'hacking del proprio sito Web sono ragionevolmente elevati, allora suggerirei di utilizzare un servizio di hosting WordPress gestito o un web buttafuori davvero grande sotto forma di servizi di sicurezza di Sucuri.

Il tuo sito web non deve necessariamente essere popolare per diventare un target. E non diventerà mai un sito web ad alto traffico, se cade continuamente vittima di hack e attacchi.

Come ho detto in precedenza sull'hosting. Se sei ragionevolmente certo della tua capacità di creare un sito Web che genera entrate che pagherà i costi dei migliori servizi di hosting/sicurezza, allora scegli il migliore. Se sei in grado di permetterti i migliori servizi di web hosting/sicurezza, ne varrà la pena a lungo termine, supponendo che tu non sia uno sviluppatore web di professione.

Se non puoi permetterti il ​​miglior web hosting gestito o una sicurezza di prim'ordine, allora metti in atto le suddette misure di sicurezza. È probabile che il tuo sito web sarà al sicuro.

Se hai ulteriori informazioni sulla sicurezza di WordPress o hai idee diverse su come proteggere il tuo sito Web WordPress, mi piacerebbe sentire le tue idee nei commenti qui sotto. Saluti