Suggerimenti per proteggere il tuo sito Web WordPress dalle vulnerabilità

Potresti finire in questo articolo alla ricerca di Come proteggere il sito Web WordPress dagli exploit? o

Come prevenire dal sito WordPress contro hack e malware?

Oppure Suggerimenti proteggi il tuo sito Web WordPress da tutti gli exploit.

Ovviamente questo è l'articolo giusto e parla di tutti i tipi di tecniche, strumenti e plugin per aiutarti a proteggere il tuo sito Web WordPress.

Secondo W3Techs, WordPress alimenta oltre il 58% di tutti i siti Web che utilizzano CMS, il che rappresenta il 24,9% di tutti i siti Web nel mondo.

Quindi, con l'aumento dell'utilizzo di WordPress e con la popolarità sempre crescente di quanto sia facile da configurare e da usare, c'è stato un aumento dell'utilizzo di sempre più temi WordPress e plug-in.

Ma siccome è facile, c'è anche un pilota che lo accompagna. Diventa abbastanza facile per gli hacker hackerarlo se utilizzato in tutte le sue impostazioni predefinite.

Da qui la necessità di comprendere la sicurezza e proteggere il tuo sito Web basato su WordPress perché a nessuno piace che il proprio sito Web venga violato.

È ovvio quando cerchi su Google questa parola chiave: "prevenire l'hacking di WordPress" si ottengono 8 milioni o più di risultati che le persone come gli sviluppatori e gli utenti inesperti desiderano disperatamente conoscere le tecniche e gli strumenti di prevenzione degli hack per il loro sito Web WordPress.

Ecco un elenco di suggerimenti, strumenti e tecniche a cui noi sviluppatori di temi WordPress potremmo pensare.

Naturalmente questo articolo può portare a una discussione e più input e più aggiunte possono essere apportate con il passare del tempo.

Inizieremo con le tecniche più semplici per poi passare a quelle più complesse:

Suggerimenti più semplici per la sicurezza:

1. Hosting : il tuo hosting svolge un ruolo cruciale e importante per proteggere il tuo sito Web WordPress. Molte volte è il cattivo host che ti fa hackerare.

Se disponi di un ottimo hosting, molte cose possono essere risolte rapidamente e la maggior parte della tua frustrazione può essere ridotta. Ad esempio: i backup sono facili.

Gli attacchi di forza bruta, lo spam e l'iniezione di SQL vengono spesso controllati ed evitati. Quindi parleremo degli host più consigliati e dei loro strumenti.

un. Hosting condiviso : la maggior parte delle persone desidera solo avviare il proprio sito Web e quindi non vuole spendere molto al primo tentativo e quindi selezionare l'hosting condiviso come piattaforma.

Ci sono migliaia di società di hosting che forniscono hosting condiviso e non possiamo aggiungerle tutte qui, ma stiamo includendo solo 4 hosting condiviso che abbiamo provato personalmente e possiamo consigliare.

Tuttavia potrebbe esserci un servizio ancora migliore o simile. Facci sapere:

io. Bluehost : Bluehost è stato costantemente indirizzato da WordPress.org sulla sua pagina di hosting: https://wordpress.org/hosting/ È un buon punto di partenza per l'hosting condiviso nel caso in cui sia necessario un sito Web WordPress poiché ha sia l'hosting premium di WordPress per hosting condiviso futuro e semplice con 1 clic di installazione.

Dal momento che è un hosting condiviso che ti costa da 3 a 4 USD al mese, non puoi lamentarti molto della mancanza di funzionalità o servizi.

Tuttavia ha uno strumento automatizzato per il backup noto come procedura guidata di backup viene fornito con cpanel che è possibile utilizzare. Pertanto, i backup possono garantire la tua sicurezza e se il tuo sito Web viene violato, puoi ripristinare il backup.

ii. Una piccola arancia : siamo ospitati personalmente su questo hosting e la maggior parte delle funzionalità presenti in Bluehost sono presenti qui. Ma soprattutto quello che ci piace di più e possiamo dire che è anche meglio del suddetto host è il supporto.

I ticket di supporto ricevono risposta entro 5-6 ore e possiamo sempre chattare con qualcuno sulla chat dal vivo in pochi minuti.

Il supporto è ciò che distingue questo host dal resto perché ci sono molte risposte e aiuto che possono fornire gratuitamente. Tutto quello che devi fare è chiederglielo. Esempio: installazione della cache del server NGINX, backup e come utilizzarlo ecc.

iii. SiteGround : un altro popolare hosting condiviso di WordPress che fornisce anche buoni strumenti per il backup del tuo sito web. Sono presenti il ​​pannello di riposo e le funzionalità standard. Anche la chat è proattiva e i ticket di supporto ricevono spesso risposta.

IV. Godaddy : Godaddy è il più grande registrar di domini e quindi molti lo preferiscono anche per il loro hosting. Overtime Godaddy ha anche apportato diverse modifiche per renderlo un hosting affidabile per WordPress.

Ha anche iniziato a fornire hosting Cpanel WordPress standard che consente backup e altri strumenti facili da usare.

B. Hosting WordPress gestito : per coloro che hanno un piccolo budget e vogliono che l'hosting gestisca la propria sicurezza per loro.

Queste 2 società di hosting tra le tante là fuori che abbiamo trovato affidabili, più economiche del resto e spesso ti aiutano a proteggere il tuo sito web oltre a farti sapere quali plugin sono buoni e quali non sono buoni.

Hanno anche backup notturni significa che sei tranquillo con loro. Quindi, ogni volta che si verifica un hack che è raro poiché lo gestiscono, possono ripristinare rapidamente il backup:

io. WP Engine : WP Engine ti consente di conoscere l'elenco dei plugin che consigliano di più. Quindi i plugin vulnerabili sono tenuti a bada.

ii. FlyWheel : Flywheel ti dice di non installare alcun plug-in di sicurezza poiché gestiscono la sicurezza da soli, il che significa che non devi fare nulla una volta installato con loro e loro si prendono cura del resto.

2. Backup : i backup possono essere eseguiti tramite il file manager cpanel o tramite ftp (per i file) e il download del database utilizzando phpMyAdmin utilizzando cpanel o l'accesso al database host.

Ci sono centinaia di tutorial là fuori su come eseguire il backup manuale del tuo sito Web WordPress. Tuttavia dovresti considerare di leggere le procedure di backup del Codex in quanto sono sicure e sono state scritte bene: http://codex.wordpress.org/WordPress_Backups.

Ci sono anche diversi plugin. Ne parleremo in breve poiché la maggior parte di quelli che abbiamo menzionato qui funzionano bene e hanno buone recensioni da altri:

un. BackupWordPress
B. BackUpBuddy (presente anche la versione a pagamento di questo plugin)
C. VaultPress
D. Backup e ripristino di Dropbox
e. Backup e ripristino di Amazon S3

3. Aggiorna la versione di WordPress : il più delle volte a causa dell'uso di versioni precedenti di WordPress, il tuo sito rischia di essere violato. WordPress riconosce molti difetti e parametri di sicurezza nelle sue versioni precedenti e come riportato da altri contributori che di volta in volta vengono aggiornati.

Quindi l'utilizzo dell'ultima versione di WordPress dovrebbe ridurre il rischio di essere hackerato o attaccato da malware.

4. Aggiornamento di plugin e temi di WordPress : generalmente allo stesso modo gli autori di temi e plugin rilasciano aggiornamenti e funzionalità. Il più delle volte si tratta di aggiornamenti delle funzionalità.

Ma di tanto in tanto questi autori riconoscono anche i difetti di sicurezza e quindi è una buona pratica continuare a utilizzare anche i plugin e i temi aggiornati.

5. Cambia il nome utente e la password predefiniti: il nome utente e la password predefiniti vengono utilizzati come semplici serie di numeri o mantenere l'amministratore va bene fintanto che sei sul server locale o su un sito di test.

Ma per i siti Web aziendali è importante modificare il nome utente e la password predefiniti.

Ora con le ultime versioni di WordPress è possibile scegliere un nome utente protetto e genera una password protetta, ma per gli utenti con versioni precedenti di WordPress è possibile accedere al proprio profilo per modificare la password.

Tuttavia, per cambiare il nome utente, usa phpMyAdmin nel caso ti senti a tuo agio a cambiarlo da lì oppure usa uno dei plugin seguenti:
un. Rinominatore amministratore esteso
B. Cambia nome utente

6. Autenticazione in 2 passaggi per attacchi di forza bruta : l'autenticazione in 2 passaggi è essenziale nel caso in cui il tuo sito riceva molti attacchi di forza bruta e abbia un traffico elevato o informazioni sensibili.

L'autenticazione in 2 passaggi protegge l'area di accesso del tuo sito Web WordPress e lo rende molto complesso per gli attacchi di forza bruta. I plugin che possono essere utilizzati per l'autenticazione in 2 passaggi sono:
un. Chiave
B. Duo
C. Authy
D. Autenticatore di Google
e. Rublo

Questi semplici passaggi dovrebbero far sentire un utente a proprio agio in termini di almeno backup tempestivi e almeno di presentare il proprio sito Web con la minima sicurezza.

I prossimi passaggi di cui parleremo sono passaggi più complessi per proteggere ulteriormente il tuo sito Web WordPress.

Passaggi complessi:

1. Passaggi elencati in Hardening WordPress by Codex : http://codex.wordpress.org/Hardening_WordPress
La maggior parte di questi passaggi sono per gli sviluppatori o per le persone che utilizzano WordPress da molto tempo e capiscono come funziona wp-config.

Ho usato file manager o ftp e posso implementare modifiche in htaccess, wp-config ecc.

Questi passaggi fungono sicuramente da punto di partenza per proteggere il tuo sito web. Tuttavia, alcuni dei pochi plug-in di sicurezza di cui parleremo in seguito metteranno una copertura netta di sicurezza sul tuo sito Web WordPress e quindi dovresti controllare anche i seguenti:

2. Plugin che aiuteranno nei rilevamenti di malware e nel rilevamento delle modifiche ai file :

un. Sucuri Site Scan : Sucuri Site Scan ha alcune schede. Nella prima scheda ci sono le impostazioni generali su quando ricevere notifiche per avvisi come accesso, attacchi di forza bruta, registrazione di nuovi utenti, avvisi per tentativi di accesso non riusciti, installazione di plug-in ecc.

Quindi, se hai molti utenti nel tuo sito Web e molti amministratori o editori che potrebbero installare plug-in, queste funzionalità sono utili ed essenziali.

Il secondo è la scansione del malware che ti informa su qualsiasi tipo di malware o codice dannoso presente in qualsiasi plugin o directory di temi.

Verifica anche la presenza di file di errore, file modificati se presenti. La scansione dovrebbe essere ridotta se il traffico del tuo sito è basso e sei ospitato su hosting condiviso poiché la scansione occupa anche molta RAM di hosting.

La terza parte è il rafforzamento della sicurezza come la rimozione della versione di WordPress (poiché le versioni inferiori sono più inclini all'hacking, gli hacker controllano la versione e sanno su quale versione sono presenti le vulnerabilità di sicurezza).

Da qui la rimozione della versione di WordPress, la directory dei caricamenti in cui vengono archiviati i file multimediali deve essere protetta e rafforzata, limitando l'accesso al contenuto wp, readme.html da rafforzare, l'account amministratore predefinito da rimuovere e modificare, il prefisso del database predefinito da modificare Protezione Sucuri Firewall .

Non l'abbiamo testato ma si presenta utilizzando Cloudproxy Firewall che, a suo avviso, dovrebbe aiutarti a proteggere il tuo sito Web da iniezioni DDOS, Brute Force e SQL. Se hai utilizzato questa funzione, faccelo sapere perché non abbiamo prove che questo firewall sia davvero d'aiuto.

B. Antivirus : un altro plugin che abbiamo trovato utile è Antivirus. Rileva i file del tema WordPress e i file di database per la sicurezza e l'exploit.

L'unico neo di questo plugin di sicurezza è che utilizzerà wp-cron e se imposti una scansione giornaliera e nel caso in cui il tuo hosting condiviso non sia così potente e il tuo sito Web sia di dimensioni maggiori.

In termini di pagine, post e database, questo plugin potrebbe consumare molte risorse mentre esegue la scansione dei file e delle tabelle del database.

C. Anti-Malware e Brute Force Security di ELI : Anti-malware e Brute Force Security, come suggerisce il nome, fanno un ottimo lavoro in questo senso.

Nel caso in cui ti registri per il plug-in su gotmls.net ottieni tutti gli aggiornamenti delle minacce note. Esegue anche la scansione di htaccess per eventuali script, controlla gli exploit timethumb e ti avverte, controlla eventuali script backdoor e chiede di non usarti e controlla il tuo login per eventuali vulnerabilità.

Quindi in questo modo questo plugin svolge il compito di anti-malware. Controlla anche tutti i file originali di WordPress. Puoi usarlo e verificare eventuali problemi nel tuo sito Web esistente e correggerli.

D. Verifica dell'autenticità del tema : nella maggior parte dei casi, proviamo a scansionare i plug-in e la sicurezza generale del dashboard di WordPress come l'accesso, i file di WordPress ecc.

Ma anche i temi di WordPress e la loro sicurezza sono importanti perché possono esserci script non necessari o codice dannoso offuscato che può essere facilmente violato.

Quindi questo plugin funge da ottimo strumento per scansionare e controllare il tuo tema e una volta che sai quali file sono indesiderati o quale codice è problematico puoi riferirlo all'autore del tema originale per la rimozione o la modifica del codice.

Per pratiche più sicure o se ci sono troppe vulnerabilità, usa piuttosto un tema più sicuro. Nella maggior parte dei casi per i controlli dei temi funziona meglio di Antivirus.

3. Plugin di sicurezza che proteggeranno il tuo sito Web WordPress

un. All in One WP Security and Firewall : questo si occupa di quanto segue che riassume la maggior parte della sicurezza che puoi assumere sul tuo sito Web:
io. Sicurezza dell'accesso degli utenti
ii. Sicurezza dell'account utente
iii. Sicurezza della registrazione degli utenti
IV. Sicurezza dei file di sistema
v. Configurazione del firewall
vi. Funzionalità lista nera
vii. Sicurezza del database
viii. Backup
ix. Firewall e forza bruta

B. Sicurezza WordFence

C. Migliore sicurezza WP (ora iThemes Security)

D. Sicurezza a prova di proiettile

4. Altri sono stati esclusi da questo elenco ma potrebbero essere utili :

un. Acunetix WP Security : Recentemente sono emerse molte recensioni negative per questo plugin su WordPress.org, quindi non possiamo consigliartelo.

B. 6Scan Security : molti clienti si sono lamentati del fatto che il sito è diventato vuoto dopo l'installazione di questo plug-in e quindi non possiamo consigliartelo.

C. Scansione di exploit

D. Scanner di malware Web Quttera