15 trucchi per la sicurezza di WordPress per proteggere il tuo sito Web WordPress

Ci sono state così tante notizie sui siti Web WordPress che sono stati violati di recente. E molte persone hanno iniziato a mettere in dubbio la sicurezza di WordPress a causa dei recenti attacchi.

Pertanto, se possiedi un sito Web WordPress, devi agire su queste 15 tecniche di sicurezza di WordPress che ti insegnerò in questa guida.

Prima di buttarci dentro, lascia che ti avverta in anticipo.

Mentre sei qui impegnato a leggere questo articolo, alcuni script kiddie potrebbero tentare di hackerare il tuo sito Web (WordPress o meno).

Sul serio?

Sì.

“Perché alcuni ragazzi dovrebbero sprecare il loro tempo con me? Non è che io sia un grande business".

Bene, non voglio aumentare le tue preoccupazioni, ma agli hacker piacciono i piccoli siti Web perché sono un bersaglio facile.

Perché la sicurezza del sito Web è così complicata?

Ok, qualcuno sta cercando di entrare nel mio sito web, ma perché dovrebbe interessarmi? Soprattutto, dal momento che ho un backup di tutto. Potrei semplicemente eliminare WordPress e reinstallarlo.

La tua domanda è valida. Ma cosa succede se l'hacker ha ottenuto l'accesso al tuo backup e host web?

Inoltre, ci sono altri rischi se un pirata informatico ottiene il controllo del tuo sito web, alcuni di questi sono...

1. Gli hacker potrebbero rubare le tue informazioni e quelle dei tuoi visitatori e utilizzarle per scopi illegali.
2. Se stai appena iniziando a ricevere visitatori, i tempi di inattività ti influenzeranno a lungo termine.
3. Le persone inizieranno a dubitare della qualità del tuo sito web.
4. Gli aggressori potrebbero pubblicare qualcosa di offensivo o illegale sul tuo sito Web, per il quale potresti dover affrontare conseguenze (legali o meno).

Ma perché qualcuno dovrebbe fare tutti gli sforzi solo per dare problemi a un piccolo sito web come il mio?

1. Un piccolo sito web è facile da hackerare.
2. Gli hacker testano i loro strumenti su piccoli siti Web per un progetto più grande.
3. Possono utilizzare il tuo host web per inviare e-mail di spam.
4. Gli intrusi utilizzano le risorse di piccoli siti web per attaccare i "grandi". Il tuo server web può far parte di una botnet per attacchi DDoS.
5. Gli hacker possono utilizzare il tuo sito Web per diffondere malware. Migliaia di piccoli siti Web sono un buon modo per diffondere malware perché i proprietari di piccoli siti Web non possono permettersi che esperti di sicurezza controllino la sicurezza.
6. Gli hacker possono utilizzare il tuo sito Web per aumentare il traffico e il ranking di Google del proprio sito Web pubblicando backlink.

Pertanto, anche se stai appena iniziando a creare un sito Web, devi prestare molta attenzione alla sicurezza. Non si tratta solo di te. La tua negligenza potrebbe influenzare anche gli altri (attacco DDoS).

WordPress è stato violato, dovresti cercare altre piattaforme?

Innanzitutto nessun sistema (sito web o personal computer) è sicuro. Le persone hanno persino trovato il modo di hackerare i sistemi air-gap (computer isolati).

Qualunque sia la piattaforma che scegli, gli hacker troveranno un modo per accedervi.

Il motivo per cui così tanti siti Web WordPress vengono violati è perché WordPress è molto popolare. Circa il 27% dei siti Web utilizza WordPress e sta crescendo. Quindi, WordPress è diventato una miniera d'oro per hacker e spammer.

I cyberpunk attaccano costantemente WordPress perché se riescono a trovare una vulnerabilità, potrebbero prendere il controllo del 27% di Internet.

Un altro motivo per cui i siti WordPress vengono violati è perché è un ambiente aperto. Gli utenti possono codificare e modificare i siti web stessi. Possono aggiungere plugin di terze parti.

Quindi, dovresti trovare un altro CMS per il tuo sito web?

No.

Il problema non è con il codice principale di WordPress, sono i plugin e i temi che installi. Ma poi, come ho detto prima, nessun sistema è completamente sicuro.

Se WordPress stesso non era sicuro, perché il 27% del web dovrebbe usarlo?

Molti volontari prestano particolare attenzione alla manutenzione del sistema principale e del repository di WordPress. I temi e i plug-in disponibili nel repository di WordPress vengono testati accuratamente per verificarne la sicurezza e l'affidabilità.

Inoltre, il team di WordPress affronta ogni problema di sicurezza in modo molto abile. Rilasciano costantemente aggiornamenti con patch di sicurezza. Quindi puoi fidarti di WordPress per il tuo sito web.

Tuttavia, anche tu, come proprietario di un sito web, dovresti prestare molta attenzione. Dovresti sempre monitorare regolarmente il tuo sito web.

Ecco 15 misure di sicurezza di WordPress che dovresti seguire per ridurre al minimo il rischio che il tuo sito web venga violato!

Suggerimento per professionisti: esegui sempre il backup dei file WordPress, incluso il database, prima di apportare modifiche ai file e installare plug-in di sicurezza.

Nota: alcuni dei link in questa guida sono link di affiliazione. Guadagniamo una certa commissione se acquisti servizi/prodotti tramite i link, senza alcun costo aggiuntivo per te. Detto questo, non consigliamo prodotti che non valgono.

1. Usa nome utente e password univoci

Quando installi WordPress, WordPress crea automaticamente un nome utente chiamato "admin". Penso che sia un'ottima funzionalità perché mi salva dal noioso compito di inserire il mio nome utente. Posso concentrarmi su altre cose davvero importanti. Grazie, WordPress!

Lo so, lo so. È una scusa stupida. Ma hai cambiato il nome utente "admin" predefinito durante l'installazione di WordPress? Benvenuto nel club!

Quando gli hacker tentano di accedere al tuo pannello di amministrazione, provano prima "admin" come nome utente.

Qual è il problema del nome utente quando hai una password complessa?

Bene, so che avere una password complessa è una buona cosa. Ma se usi ancora "admin" come nome utente, riduci della metà lo sforzo dell'hacker. Le permutazioni sono ridotte.

Gli hacker possono semplicemente provare la combinazione di password diverse poiché conoscono già il tuo nome utente.

Ma il peccato è che non puoi cambiare i nomi utente in WordPress!

Sebbene sia possibile installare alcuni plug-in per modificare il nome utente, non consiglio di utilizzare i plug-in per attività semplici.

Pertanto, crea semplicemente un nuovo utente con privilegi di amministratore, quindi elimina il vecchio utente amministratore. Non preoccuparti, WordPress ti chiederà cosa vuoi fare con i post che l'utente ha creato.

Durante la creazione di un nuovo utente, usa un nome utente non troppo ovvio, come "myname" o "mysitename".

Per quanto riguarda la password, la semplice regola è che la password deve essere complessa , lunga e univoca .

Complesso: la tua password deve contenere almeno 1 numero, 1 lettera maiuscola e 1 carattere speciale.

Lunga: la tua password deve essere lunga almeno 10 caratteri.

Unica: la tua password non deve contenere parole o frasi comuni. E dovresti usare password diverse per ogni sito web.

Dopo aver applicato le regole per la password di cui sopra, la tua password dovrebbe apparire così: LTwYgrsewDhw@ertzK9#M!K%

È una password complessa. Ma il problema è che siamo esseri umani, ed è difficile da ricordare.

Pertanto, utilizza strumenti come LastPass e KeePass. Sono gratuiti e puoi usarli su più dispositivi.

Se pensi ancora di poter farla franca con password semplici perché sei creativo, spero che questo ti faccia cambiare idea.

2. Utilizzare l'autenticazione a due fattori

Ora hai utilizzato un nome utente univoco e una password complessa per il tuo pannello di amministrazione di WordPress.

Grande!

Questo è un passo verso una migliore sicurezza di WordPress.

Ma, non importa quanto sia forte, le password possono essere violate! Gli hacker usano attacchi di forza bruta (ne parleremo più avanti) per penetrare nel tuo sito web. Un forte attacco di forza bruta può violare qualsiasi password.

Ecco perché dovresti iniziare a utilizzare l'autenticazione a due fattori sul tuo sito web. Migliorerà la sicurezza.

L'autenticazione a due fattori richiede l'inserimento di un codice di sicurezza oltre a nome utente e password per l'accesso. Una volta attivata l'autenticazione a due fattori, riceverai un codice (monouso) sul tuo smartphone. Potrai accedere solo dopo aver inserito il codice.

Lo so, è una seccatura, ma ricorda, meglio prevenire che curare. A meno che i guru della sicurezza non trovino alcune opzioni di accesso al DNA, due fattori sono il miglior metodo di sicurezza disponibile.

Sfortunatamente, WordPress non ha impostazioni integrate per aggiungere l'autenticazione a due fattori. Dovrai utilizzare un plug-in chiamato Google Authenticator.

Se non hai familiarità con la verifica in 2 passaggi di Google, Evanto tuts+ offre ottimi tutorial sull'utilizzo dell'autenticatore a 2 fattori di Google con WordPress.

3. Verifica l'utente come essere umano

Gli hacker utilizzano le botnet per attaccare i sistemi con la forza bruta. E un modo per creare problemi agli hacker è usare un modulo reCAPTCHA.

In genere, le botnet non possono convalidare il reCAPTCHA, quindi gli hacker devono provare manualmente a inserire nomi utente e password. Questo, amico mio, è un dolore nel... sai dove.

Ma il vecchio reCAPTCHA, quello che usa il testo distorto, non è efficiente. Siamo stati tutti lì quando devi fare un'ipotesi selvaggia su alcune lettere.

Per rendere l'esperienza reCAPTCHA più umana e repellente per i robot, Google ha introdotto il nuovo "No CAPTCHA reCAPTCHA". Il nuovo invisibile reCAPTCHA può persino rilevare automaticamente un essere umano.

Puoi aggiungere il reCAPTCHA sul modulo di accesso, commento e/o registrazione di WordPress manualmente o utilizzando un plug-in reCAPTCHA No CAPTCHA.

Ma, prima, devi ottenere la tua chiave reCAPTCHA da Google. Dopo aver ottenuto le chiavi, inseriscile nei tuoi codici se lo stai facendo manualmente o nelle impostazioni del plug-in se usi un plug-in.

4. Aggiorna WordPress

Dovresti sempre aggiornare WordPress. Gli aggiornamenti di WordPress non servono solo per aggiungere funzionalità. Gli aggiornamenti vengono rilasciati, soprattutto, per correggere bug e falle di sicurezza.

Ma cosa succede se riscontro problemi di compatibilità con i miei temi e plugin dopo aver aggiornato WordPress? Bene, di solito, buoni temi e plugin rilasciano aggiornamenti non appena il core di WordPress viene aggiornato.

Se i plugin oi temi che utilizzi non sono stati aggiornati, è il momento di trovare delle alternative.

La maggior parte dei siti Web che vengono violati utilizza WordPress o plug-in o temi obsoleti. Le versioni obsolete dei plugin potrebbero mettere a rischio il tuo sito web.

Quindi, aggiorna i tuoi temi e plugin il prima possibile! Se non ci sono aggiornamenti disponibili, cambiali. Puoi trovare molti temi e plugin aggiornati nel repository di WordPress.

Puoi anche provare i nostri temi WordPress. Li aggiorniamo regolarmente in modo che tu non debba preoccuparti dei problemi di sicurezza dei temi.

Come aggiornare WordPress

Aggiornare WordPress è facile. WordPress visualizza automaticamente le notifiche su Dashboard se sono presenti aggiornamenti per il sistema principale, temi o plug-in.

Vai su Dashboard> Aggiornamenti e fai clic sui pulsanti di aggiornamento.

Puoi anche abilitare gli aggiornamenti automatici in modo che il tuo WordPress, i plug-in e i temi principali si aggiornino automaticamente per le versioni minori. Riceverai una notifica via email quando il tuo sito web verrà aggiornato automaticamente.

5. Disabilita la modifica dei file

Puoi facilmente personalizzare il tuo sito Web con l'editor di codice integrato in WordPress.

Tuttavia, immagina, gli hacker in qualche modo sono riusciti ad accedere al tuo sito web. Ora possono anche modificare facilmente il tuo sito Web utilizzando l'editor. Pertanto, è una pratica sicura disabilitare la modifica di WordPress tramite l'editor.

Per disabilitare l'editor, esegui prima il backup del tuo WordPress. Quindi, individua il file wp-config.php nel back-end del tuo sito web. Puoi trovare wp-config.php nella cartella principale del tuo sito Web insieme ad altre cartelle come wp-admin e wp-content .

È possibile utilizzare il client FTP per connettersi al back-end del sito Web. Oppure, se hai accesso a cPanel, puoi utilizzare il File manager disponibile in cPanel.

Ora aggiungi la seguente riga di codice nel file wp-config.php e salva il file

Dopo che il file è stato aggiornato, non sarai in grado di modificare i modelli di temi utilizzando la dashboard di WordPress. Puoi ancora modificare i temi usando FTP o File Manager di cPanel.

6. Limita i tentativi di accesso

Quando installi WordPress, WordPress ti chiede se installare o meno il plug-in per i tentativi di accesso limitati.

Limitare i tentativi di accesso è un ottimo modo per proteggere il tuo sito Web da attacchi di forza bruta.

Gli hacker proveranno ad accedere al tuo sito Web con diverse combinazioni di accesso. Tuttavia, se abiliti il ​​limite dei tentativi di accesso, consenti agli utenti di provare ad accedere solo per un certo numero di volte, dopodiché l'utente viene bloccato.

Se hai dimenticato di selezionare questa opzione durante l'installazione di WordPress, non preoccuparti. Puoi trovare il plugin nel repository di WordPress.

Vai su Plugin> Aggiungi nuovo dal menu della dashboard di WordPress. Cerca "Loginizer", quindi installa e attiva il plug-in.

Dopo aver attivato il plug-in, vai su Loginizer Security> Brute Force dal menu di amministrazione di WordPress per impostare la protezione dell'accesso.

7. Protezione dagli attacchi di forza bruta

Gli hacker utilizzano attacchi Brute Force per accedere al pannello di amministrazione o agli account FTP del tuo sito web. Fondamentalmente, un attacco di forza bruta è un metodo per tentativi ed errori. È come provare diverse combinazioni di tasti per aprire una serratura. Gli intrusi possono utilizzare le botnet per automatizzare gli attacchi.

Per evitare che il tuo sito web diventi bersaglio di attacchi di forza bruta, segui le istruzioni 1, 2, 3 e 6.

Puoi anche modificare l'URL di accesso predefinito (www.mywebsite.com/wp-admin/) in modo che gli hacker abbiano difficoltà a trovare il modulo di accesso in primo luogo.

Puoi creare un URL di accesso personalizzato utilizzando un plug-in chiamato All In One WordPress Security & Firewall. Dopo aver installato il plug-in, vai alla sezione Brute Force per abilitare l'URL di accesso personalizzato. Questo plugin ha così tante funzionalità che non avrai nemmeno bisogno di altri plugin di sicurezza di WordPress se installi questo.

8. Protezione dagli attacchi DDoS

Con così tanti dispositivi abilitati a Internet, la frequenza degli attacchi DDoS è aumentata.

DDoS è un metodo per sovraccaricare un sito Web/servizio con traffico falso con l'intenzione di ridurre il servizio. Gli hacker utilizzano sistemi infetti (che contengono malware) per eseguire attacchi DDoS. Nel 2016, gli hacker hanno accartocciato DYN mettendo offline molti siti Web famosi come Twitter, Amazon, Reddit e Netflix.

Pertanto, dovresti sempre essere pronto ad affrontare gli attacchi DDoS.

Seguendo le suddette misure di sicurezza (1, 2, 3, 4, 6 e 7), sei già pronto per gli attacchi DDoS.

In aggiunta a ciò, consiglierei anche di utilizzare servizi cloud come CloudFlare o MaxCDN. Possono aiutarti a mitigare gli attacchi DDoS.

Allo stesso modo, la memorizzazione nella cache del tuo sito Web può anche aiutarti a proteggere il tuo sito Web dal sovraccarico di traffico. Puoi memorizzare nella cache il tuo sito Web utilizzando plug-in come WP Super Cache.

9. Cerca malware e rimuovili

Dato che stai leggendo così attentamente i miei consigli sulla sicurezza (spero davvero che tu lo stia facendo), lascia che ti dica qualcosa di più spaventoso, se non sei ancora nel panico!

Gli hacker sono subdoli! Potrebbero aver già inserito del malware nei tuoi file web.

Pertanto, è necessario eseguire la scansione del server Web alla ricerca di file dannosi al più presto! E rimuovili.

Come farlo?

Inserisci un plug-in di sicurezza. Sucuri Security è il miglior plugin gratuito per rilevare e rimuovere malware su WordPress.

Se non ti piace aggiungere plugin o vuoi eseguire una scansione completa lato server, iscriviti a Sucuri. Questo servizio ti costa.

Se non puoi permetterti Sucuri (so che è costoso), c'è un'autostrada. Dato che ti ho predicato su tutte queste cose tecnologiche, penso che meriti un regalo.

Ecco come scansionare e rimuovere il malware dal tuo sito web gratuitamente!

Innanzitutto, scarica la cartella public_html dal tuo server utilizzando un client FTP a tua scelta. Quindi, scansiona la cartella scaricata utilizzando un software antivirus (Norton, Kaspersky o altro) sul tuo computer. Assicurati che il programma antivirus sia aggiornato.

Successivamente, sostituisci il vecchio file public_html con quello appena pulito utilizzando FTP. Così facile!

10. Buon host web

L'host web svolge un ruolo importante, molto importante, nella sicurezza del sito web.

Un buon host web fornisce supporto e strumenti per affrontare attacchi DDoS, attacchi Brute-Force e malware. Pertanto, consiglio l'hosting SiteGround perché mantiene la sicurezza ad alta priorità.

In genere, un piano di hosting condiviso è più vulnerabile perché il server è condiviso con altri siti Web. Gli hacker possono utilizzare altri siti Web sullo stesso server per attaccare il tuo sito Web su hosting condiviso. Questo concetto è chiamato contaminazione tra siti.

Spesso è considerato meglio ottenere un hosting dedicato o un hosting VPS, ma sono costosi. Come antipasto, potresti non avere il budget per questo.

Significa che rischi te stesso? No. Anche l'hosting condiviso può essere protetto.

Una buona società di web hosting come SiteGround installa firewall come ModSecurity, anche nei piani di hosting condiviso. Inoltre, limitano il numero di siti Web su un server e scansionano regolarmente i server alla ricerca di malware.

Allo stesso modo, se il tuo host web può fornirti Sucuri Security, è un punto in più.

11. Scegli i plugin e il tema con saggezza

Bene, scegli saggiamente plugin e temi. Questo è tutto ciò che devi sapere su questo argomento.

L'opzione per installare plugin e temi di terze parti è ciò che rende WordPress vulnerabile agli hacker.

I plugin e i temi WordPress disponibili nel repository di WordPress sono sicuri. Ma se devi aggiungere alcuni plugin o temi manualmente, controlla sempre la presenza di malware, utilizzando un software antivirus, prima di caricarli sul tuo WordPress.

Inoltre, prima di installare plugin o temi, controlla le recensioni e la data dell'ultimo aggiornamento.

12. Rimuovi temi e plugin non necessari/obsoleti

Mantieni sempre pulito il tuo WordPress.

Se al momento non stai utilizzando plug-in o temi e sono obsoleti, rimuovili. Potrebbero invitare gli hacker.

Allo stesso modo, vai al back-end di WordPress e controlla se hai file non necessari confrontandoli con i file WordPress predefiniti.

Oppure potresti semplicemente eseguire una nuova installazione di WordPress.

Innanzitutto, esegui il backup dei database e di WordPress. Quindi, rimuovi WordPress. E installa un nuovo WordPress aggiornato.

Assicurati di informare i tuoi visitatori durante la manutenzione visualizzando una pagina di manutenzione.

13. Proteggi .htaccess e wp-content.php

Solo l'Onnipotente sa cosa possono fare gli hacker se accedono al tuo file .htaccess o wp-content.php.

Quindi, dovresti sempre nascondere i file .htaccess e wp-content.php. Anche se non sai come programmare, puoi facilmente proteggere .htaccess e wp-content.php inserendo dei codici nel file .htaccess.

Si prega di conservare un backup del file .htaccess prima di apportare modifiche allo stesso.

Individua il file .htaccess dalla radice del tuo sito Web e aggiungi le seguenti righe di codice.

Codice per nascondere wp-config.php

Codice per nascondere il file .htaccess

14. Nascondi informazioni sensibili

Assicurati di rimuovere (o almeno rinominare) il file readme.html dopo aver installato WordPress. Il file Leggimi dirà agli hacker quale versione di WordPress stai utilizzando.

Inoltre, se hai creato un file phpinfo.php o i.php, ti consiglio di eliminarlo o rinominarlo. Questo file contiene tutte le informazioni sul tuo server.

Disabilita inoltre l'indicizzazione delle directory. Gli aggressori possono vedere la struttura delle tue cartelle e dei tuoi file con l'esplorazione delle directory. Non è necessario essere esperti di tecnologia per farlo. Basta andare al file .htaccess e aggiungere il codice seguente alla fine del file.

15. Rimani al passo e aggiornato

Gli hacker sono sempre un passo avanti a tutti gli esperti di sicurezza. In realtà, un esperto di sicurezza non verrebbe nemmeno a conoscenza di una falla nella sicurezza finché qualcuno non irrompe in un sistema.

Pertanto, tieniti sempre informato e aggiornato su novità e problemi di sicurezza. Segui le società di sicurezza su Twitter o Facebook, o anche iscriviti alle loro newsletter.

Kerbsonsecurity è un ottimo blog per tenersi aggiornati sui problemi di sicurezza.

Conclusione

Rendi difficile il gioco d'ipotesi per gli hacker!

Non puoi impedire agli hacker di hackerare. Tutto quello che puoi fare è prepararti per gli attacchi.

I bravi ragazzi stanno lavorando duramente per proteggere WordPress dagli hacker, ma gli errori accadono.

Tieni sempre un backup del tuo sito web, nel caso in cui gli hacker si impossessano del tuo sito web. Conserva il backup in un luogo sicuro (più luoghi se possibile).

Infine, segui tutti i suddetti 15 suggerimenti per proteggere un sito WordPress. E mantieni te stesso, temi, plugin e WordPress aggiornati!

Che la forza sia con te.