• Homepage
  • Articoli
  • Guida
  • Suggerimenti per la protezione per WordPress. 12 consigli per proteggere il tuo sito

Suggerimenti per la protezione per WordPress. 12 consigli per proteggere il tuo sito

Pubblicato: 2019-07-11

WordPress è uno dei CMS più popolari al mondo. Più del 18,9% di tutti i siti Internet lo utilizza e il numero di installazioni ha superato i 76,5 milioni. Sfortunatamente, tale popolarità ha i suoi svantaggi. Secondo il rapporto di Sucuri (sicurezza e protezione del sito web), WordPress è il CMS più hackerabile al mondo. Tuttavia, se segui le migliori pratiche in materia e implementi alcune tecniche di questa guida, ti renderai conto che la protezione di WordPress può essere facilmente rafforzata attraverso pochi semplici passaggi.

Di cosa avrai bisogno

Prima di iniziare, controlla quanto segue:

  • Accesso al pannello di controllo di WordPress;
  • Accesso al tuo account di hosting (opzionale).

Contenuto

Passaggio 1. Mantenere la versione corrente di WordPress;
Passaggio 2. Utilizzo di credenziali di accesso non standard;
Passaggio 3. Abilitazione dell'autenticazione in due passaggi;
Passaggio 4. Disabilitazione dei rapporti di errore PHP;
Passaggio 5. Non utilizzare modelli annullati per WordPress;
Passaggio 6. Scansione di WordPress alla ricerca di malware;
Passaggio 7. Trasferimento del tuo sito Web su un hosting più sicuro;
Passaggio 8. Eseguire il backup dei dati il ​​più spesso possibile;
Passaggio 9. Disabilitazione dell'opzione di modifica dei file;
Passaggio 10. Eliminazione di modelli e plug-in inutilizzati;
Passaggio 11. Utilizzo di .htaccess per migliorare la sicurezza di WordPress;
Passaggio 12. Modifica dei prefissi standard del database di WordPress per impedire l'iniezione di SQL Conclusione

Passaggio 1. Mantenere la versione corrente di WordPress

Questo sarà il primo e più importante passo per migliorare la sicurezza di WordPress. Se hai bisogno di un sito web pulito e senza malware, devi assicurarti che la versione del tuo WordPress sia aggiornata. Questo consiglio può sembrare semplice, ma solo il 22% di tutte le installazioni di WordPress sono nell'ultima versione.

WordPress ha implementato la funzione di aggiornamento automatico nella versione 3.7 ma funziona solo per piccoli aggiornamenti di sicurezza. Mentre gli aggiornamenti delle chiavi di grandi dimensioni devono essere installati manualmente.

Se non sai come aggiornare WordPress, dai un'occhiata.

Passaggio 2. Utilizzo di credenziali di accesso non standard

Usi "admin" come nome dell'amministratore in WordPress? Se la risposta è "sì", riduci seriamente la sicurezza di WordPress e rendi più facile hackerare il tuo pannello di controllo. Si consiglia vivamente di modificare il nome utente dell'amministratore con qualcos'altro (consultare questo tutorial se non si è sicuri di come farlo) o di creare un nuovo account amministratore con dati diversi.

Segui questi passaggi se preferisci la seconda opzione:

  • Accedi al pannello di controllo di WordPress;
  • Trova la sezione "Utenti" e fai clic sul pulsante "Aggiungi nuovo";
  • Crea un nuovo utente e assegna i diritti di amministratore;
  • Accedi a WordPress con i tuoi nuovi dati;
  • Torna alla sezione Utenti ed elimina l'account amministratore predefinito.

Una buona password gioca un ruolo chiave nella sicurezza di WordPress. È molto più difficile decifrare una password composta da numeri, lettere maiuscole e minuscole e simboli speciali. Strumenti come LastPass e 1Password possono aiutarti a creare e gestire password complesse. Inoltre, se hai bisogno di accedere al tuo pannello di controllo di WordPress quando ti connetti a una rete non sicura (es. bar, biblioteche pubbliche, ecc.), non dimenticare di utilizzare una VPN sicura che protegga le tue informazioni di accesso.

Passaggio 3. Abilitazione dell'autenticazione in due passaggi

L'autenticazione in due passaggi aggiunge un ulteriore livello di sicurezza alla tua pagina di autorizzazione. Una volta confermato il nome utente, viene aggiunto un altro passaggio che è necessario completare per autenticarsi correttamente. Molto probabilmente lo stai già utilizzando per accedere alla tua e-mail, alla banca online e ad altri account che contengono informazioni riservate. Perché non usarlo anche in WordPress?

Anche se può sembrare complicato, abilitare l'autenticazione in due passaggi in WordPress è molto semplice. Tutto quello che devi fare è installare un'app per l'autenticazione in due passaggi e configurarla per il tuo WordPress. Puoi trovare informazioni più dettagliate su come abilitare l'autenticazione in due passaggi su WordPress qui.

Passaggio 4. Disabilitazione dei rapporti di errore PHP

I rapporti sugli errori PHP possono essere molto utili se stai sviluppando un sito Web e vuoi assicurarti che tutto funzioni correttamente. Tuttavia, mostrare errori a tutti è una grave omissione nella sicurezza di WordPress.

Dovresti risolverlo il prima possibile. Non preoccuparti, non devi essere un programmatore per disabilitare i rapporti di errore PHP su WordPress. La maggior parte dei fornitori di servizi di hosting offre questa opzione nel pannello di controllo. In caso contrario, aggiungi semplicemente le seguenti righe al tuo file wp-config.php. È possibile utilizzare il client FTP o il File Manager per modificare il file wp-config.php.

segnalazione_errore(0);
@ini_set('display_errors', 0);

Passaggio 5. Non utilizzare modelli annullati per WordPress

Ricorda, "l'unico formaggio gratis è nella trappola per topi". Lo stesso vale per i modelli e i plug-in annullati.

Ci sono migliaia di plugin e modelli annullati su Internet. Gli utenti possono scaricarli gratuitamente, utilizzando diversi file sharing o file torrent. Non sanno che la maggior parte di loro sono infettati da malware o collegamenti a metodi di ottimizzazione dei motori di ricerca neri.

Smetti di usare plugin e modelli annullati. Non solo questo non è etico, ma danneggia anche la sicurezza di WordPress. Alla fine, pagherai di più a uno sviluppatore per pulire il tuo sito web.

Passaggio 6. Scansione di WordPress alla ricerca di malware

Gli hacker usano spesso buchi nei modelli o nei plugin per infettare WordPress. Pertanto, è importante controllare il tuo blog più spesso. Ci sono molti plugin ben scritti disponibili per questo scopo. WordFence si distingue dalla massa. Offre una guida da utilizzare e la possibilità di testare automaticamente, insieme a una serie di altre impostazioni diverse. Puoi anche recuperare file modificati/infetti in pochi clic. È disponibile gratuitamente. Questi fatti dovrebbero essere sufficienti per installarlo in questo momento.

Altri plugin popolari per migliorare la sicurezza di WordPress:

  • Sicurezza a prova di proiettile . A differenza di WordFence, di cui abbiamo parlato prima, BulletProof non esegue la scansione dei tuoi file ma ti fornisce un firewall, protezione del database, ecc. Una caratteristica distintiva è la possibilità di configurare e installare il plugin in pochi clic.
  • Sicurezza Sucuri . Questo plugin ti protegge dagli attacchi DDOS, ha una lista nera, scansiona il tuo sito web alla ricerca di malware e controlla il tuo firewall. Se trova qualcosa, sarai avvisato via e-mail. Google, Norton, McAfee: questo plugin include tutte le blacklist di questi programmi.

Passaggio 7. Trasferimento del tuo sito Web su un hosting più sicuro

Questo consiglio può sembrare strano, ma le statistiche mostrano che oltre il 40% dei siti Web WordPress è stato violato a causa di falle di sicurezza nei loro account di hosting. Queste statistiche dovrebbero incoraggiarti a spostare WordPress su un hosting più sicuro. Alcuni fatti chiave da tenere a mente quando si sceglie un nuovo hosting:

  • Se si tratta di hosting condiviso, assicurati che il tuo account sia isolato da altri utenti e che non vi sia alcun rischio di infezione da altri siti Web sul server.
  • L'hosting ha una funzione di backup automatico;
  • Il server dispone di un firewall di terze parti e di uno strumento di scansione.

Passaggio 8. Eseguire il backup dei dati il ​​più spesso possibile

Anche i più grandi siti Web vengono violati ogni giorno, nonostante i loro proprietari ne spendano migliaia per migliorare la sicurezza di WordPress.

Anche se segui le migliori pratiche in quest'area e hai applicato i suggerimenti in questo articolo, devi comunque eseguire backup regolari del tuo sito web.

Esistono diversi modi per creare un backup, ad esempio è possibile scaricare manualmente i file del sito ed esportare il database, oppure utilizzare gli strumenti offerti dalla società di hosting. Un altro modo è utilizzare i plugin di WordPress. I più popolari sono:

  • VaultPress;
  • BackupWordPress;
  • BackupGuard.

Puoi persino automatizzare il processo di creazione e archiviazione dei backup di WordPress in Dropbox.

Passaggio 9. Disabilitazione dell'opzione di modifica dei file

Come probabilmente saprai, WordPress ha un editor integrato che ti consente di modificare i file PHP. Questa funzione è tanto utile quanto probabilmente dannosa. Se gli hacker accedono al tuo pannello di controllo, la prima cosa che noteranno è l'editor di file. Alcuni utenti di WordPress preferiscono disabilitare completamente questa funzione. Può essere disabilitato modificando il file wp-config.php aggiungendo il seguente codice:

define('DISALLOW_FILE_EDIT', vero);

Questo è tutto ciò che serve per disabilitare questa funzione in WordPress.

IMPORTANTE. Nel caso in cui desideri abilitare nuovamente questa funzione, utilizza il client FTP o il File Manager per il tuo hosting e rimuovi questo codice dal file wp-config.php.

Passaggio 10. Eliminazione di modelli e plug-in inutilizzati

Pulisci il tuo sito Web su WordPress e rimuovi tutti i modelli e i plug-in inutilizzati. Gli hacker utilizzano spesso modelli e plug-in disabilitati e obsoleti (anche plug-in WordPress ufficiali) per accedere al tuo pannello di controllo o per scaricare contenuti dannosi sul tuo server. Rimuovendo plug-in e modelli che hai smesso di utilizzare (e forse hai dimenticato di aggiornare) molto tempo fa, riduci i rischi e rendi il tuo sito Web WordPress più sicuro.

Passaggio 11. Utilizzo di .htaccess per migliorare la sicurezza di WordPress

.htaccess è un file necessario per il corretto funzionamento dei link di WordPress. Senza le voci corrette nel file .htaccess, otterrai molti 404.

Non molti utenti sanno che .htaccess può essere utilizzato per migliorare la protezione di WordPress. Ad esempio, puoi bloccare l'accesso o disabilitare l'esecuzione di PHP in cartelle specifiche.

IMPORTANTE. Prima di apportare modifiche al file, eseguire il backup del vecchio file .htaccess. Per fare ciò, puoi utilizzare il client FTP o il File Manager.

Disabilitazione dell'accesso alla parte amministrativa di WordPress

Il codice sottostante ti permetterà di accedere alla parte amministrativa di WordPress solo da determinati IP.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Controllo accesso amministratore WordPress"
AuthType di base

ordinare negare, consentire.
negato da tutti
consentire da xx.xx.xx.xx.xxx
consentire da xx.xx.xx.xx.xxx

Tieni presente che "xx.xx.xx.xx.xxx" è il tuo indirizzo IP. Puoi utilizzare questo sito Web per verificare il tuo attuale indirizzo IP. Se utilizzi più di una connessione per gestire il sito su WordPress, assicurati di aver scritto altri indirizzi IP (aggiungi tutti gli indirizzi di cui hai bisogno). Non è consigliabile utilizzare questo codice se si dispone di un indirizzo IP dinamico.

Disabilitare l'esecuzione di PHP in cartelle specifiche

Agli hacker piace caricare script backdoor nella cartella di download di WordPress. Per impostazione predefinita, questa cartella viene utilizzata solo per archiviare i file multimediali. Pertanto, non dovrebbe contenere alcun file PHP. Puoi facilmente disabilitare l'esecuzione di PHP creando un nuovo file .htaccess in /wp-content/uploads/ con queste regole:

negato da tutti

Protezione del file wp-config.php

Il file wp-config.php contiene i dettagli del kernel di configurazione di WordPress e del database MySQL. Pertanto, è il file più importante in WordPress. Pertanto, diventa spesso l'obiettivo principale degli hacker di WordPress. Tuttavia, puoi proteggerlo facilmente utilizzando le seguenti regole .htaccess:

ordinare consentire, negare.
negato da tutti

Passaggio 12. Modifica dei prefissi standard del database di WordPress per impedire l'iniezione di SQL

Il database di WordPress contiene e memorizza tutte le informazioni chiave necessarie per il funzionamento del tuo sito web. Di conseguenza, diventa un altro obiettivo per hacker e spammer che eseguono codice automatizzato per l'implementazione del codice SQL. Durante l'installazione di WordPress, molte persone non si preoccupano di modificare il prefisso standard del database wp_. Secondo WordFence, 1 hack su 5 di WordPress è collegato all'implementazione del codice SQL. Poiché wp_ è uno dei valori standard, gli hacker iniziano prima con esso. A questo punto, considererò brevemente la protezione di un sito Web su WordPress da tali attacchi.

Modifica della tabella dei prefissi per un sito WordPress esistente

IMPORTANTE. La sicurezza prima! Prima di iniziare, assicurati di avere un backup del tuo database MySQL.

Prima parte. Modifica del prefisso in wp-config.php

Trova il tuo file wp-config.php usando il client FTP o File Manager e trova la riga con $table_prefix.

Puoi aggiungere numeri, lettere o trattini bassi aggiuntivi. Successivamente, salva le modifiche e vai al passaggio successivo. In questa guida utilizzerò wp_1secure1_ come nuovo prefisso della tabella.

Mentre sei nel tuo file wp-config.php, trova il nome del tuo database per sapere quale cambiare. Cerca nella sezione define('DB_NAME'.

Seconda parte. Aggiornamento di tutte le tabelle del database

Ora devi aggiornare tutti i record nel tuo database. Questo può essere fatto usando phpMyAdmin.

Trova il database definito nella prima parte e accedi ad esso.

Per impostazione predefinita, l'installazione di WordPress ha 12 tabelle e ognuna di esse dovrebbe essere aggiornata. Tuttavia, questo può essere fatto più velocemente usando la partizione SQL in phpMyAdmin.

La modifica manuale di ciascuna tabella richiederà un'enorme quantità di tempo, quindi utilizza le query SQL per accelerare il processo. La seguente sintassi ti consentirà di aggiornare tutte le tabelle nel tuo database:

RENAME tabella `wp_commentmeta` IN `wp_1secure1_commentmeta`;
RENAME tabella `wp_comments` IN `wp_1secure1_comments`;
RENAME tabella `wp_links` IN `wp_1secure1_links`;
RENAME tabella `wp_options` IN `wp_1secure1_options`;
RINOMINA tabella `wp_postmeta` IN `wp_1secure1_postmeta`;
RENAME tabella `wp_posts` IN `wp_1secure1_posts`;
RENAME tabella `wp_terms` IN `wp_1secure1_terms`;
RENAME tabella `wp_termmeta` IN `wp_1secure1_termmeta`;
RENAME tabella `wp_term_relationships` TO `wp_1secure1_term_relationships`;
RENAME tabella `wp_term_taxonomy` TO `wp_1secure1_term_taxonomy`;
RENAME tabella `wp_usermeta` IN `wp_1secure1_usermeta`;
RENAME tabella `wp_users` IN `wp_1secure1_users`;

Alcuni modelli o plugin di WordPress possono aggiungere tabelle aggiuntive al database. Se hai più di 12 tabelle nel tuo database MySQL, aggiungi manualmente le tabelle rimanenti alla tua query SQL ed eseguila.

Parte terza. Controllo delle opzioni e delle tabelle di metadati personalizzate

A seconda del numero di plugin installati, alcuni valori nel database devono essere aggiornati manualmente. Puoi farlo eseguendo query SQL separate per le opzioni e le tabelle di metadati.

Per la tabella delle opzioni, utilizzare:

SELEZIONA * DA `wp_1secure1_options` DOVE `option_name` LIKE `%wp_%`

Per la tabella dei metadati:

SELEZIONA * DA `wp_1secure1_usermeta` DOVE `meta_key` LIKE `%wp_%`

Quando ricevi i risultati della query, aggiorna semplicemente tutti i valori da wp_ al tuo prefisso appena configurato. Nella tabella dei metadati dell'utente, è necessario modificare il campo meta_key, mentre per la tabella delle opzioni è necessario modificare il valore option_name.

Protezione delle nuove installazioni di WordPress

Se prevedi di installare nuovi siti Web WordPress, non devi farlo di nuovo. Puoi facilmente modificare i prefissi delle tabelle di WordPress durante il processo di installazione.

Congratulazioni! Hai migliorato con successo la sicurezza del tuo database.

Conclusione

Sebbene WordPress sia il CMS più hackerabile al mondo, non è così difficile migliorarne la protezione. In questa guida, ti ho dato 12 suggerimenti da seguire per mantenere sicuro WordPress.

Biografia dell'autore : Roy è un appassionato di tecnologia, un amorevole padre di gemelli, un programma in una società di software personalizzati, editore capo di TheHomeDweller.com avido lettore e un giardiniere.