Sicurezza di WordPress: la guida definitiva per proteggere un sito WordPress
Pubblicato: 2019-05-24La criminalità informatica è ai massimi livelli con hacker e malware che si scatenano nel vasto panorama online. Google inserisce nella blacklist oltre 20.000 siti Web per la presenza di malware e oltre 50.000 siti Web come potenziali siti Web di phishing, ogni singola settimana! Lascia che i numeri affondino per un momento. E quindi, ai fini di questa lettura, abbiamo messo insieme una guida completa per aiutarti a migliorare la sicurezza di WordPress.
Vedete, se il vostro sito web non rispetta le migliori pratiche di sicurezza, lascerete il vostro sito e tutti i suoi contenuti soggetti ad essere violati. Ma non sono solo i tuoi contenuti a essere in gioco, poiché anche i siti Web non protetti sono penalizzati dagli algoritmi di ricerca di Google.
Hacker e malware non sono solo pericolosi per i contenuti del tuo sito web, ma rappresentano anche una minaccia per le persone che visitano il tuo sito web. E quindi, se non rispetti le linee guida di sicurezza di base, cosa che tra l'altro è molto semplice da fare, Google ti declasserà sulla SERP (Search Engine Results Page).
Fortunatamente, gli utenti di WordPress hanno accesso a plug-in dedicati e un'interfaccia ultra-intuitiva che può aiutare ad aumentare la sicurezza di WordPress con un margine significativo. Quindi, senza farti aspettare oltre, ecco i nostri 10+ modi migliori per migliorare la sicurezza di WordPress:
I 10 modi migliori per migliorare la sicurezza di WordPress
1. Installa i plugin di backup
Il concetto qui è piuttosto semplice: è meglio essere al sicuro ora che scusarsi più tardi!
Eseguendo il backup dei contenuti e del database online, tutto è protetto e protetto anche nello sfortunato caso di cadere preda di hacker e malware. Questo rende l'installazione di un plug-in di backup il primo capitolo Sicurezza di WordPress 101 e lo pone in cima alla lista delle priorità.
Un plug-in di backup come il nostro plug-in di backup WPvivid può eseguire backup di routine automatici dell'intero sito Web WordPress, incluso il database. Puoi configurarlo per pianificare i backup in modo che siano settimanali o giornalieri. I dati di backup vengono generalmente archiviati in una piattaforma di archiviazione cloud separata, fornita dal plug-in stesso o tra le diverse piattaforme già esistenti come Google Drive, Amazon S3, Dropbox e così via.
Ora, se in un secondo momento il tuo sito si interrompe a causa di malware o hacker, tutti i tuoi dati saranno comunque accessibili e potrai ripristinare i backup sul tuo sito Web per riportarlo alle condizioni di lavoro precedenti. Ricorda solo di coprire le vulnerabilità di sicurezza che gli hacker o il malware hanno utilizzato per entrare nel tuo sito Web in modo che non si ripetano.
Detto questo, se stai cercando qualche consiglio su quale plug-in di backup oltre al nostro plug-in di backup WPvivid da utilizzare per migliorare la sicurezza di WordPress, ecco alcune opzioni:
- Up Draft Plus
- BackWPup
2. Installa un plug-in Firewall per monitorare il tuo sito WordPress
Simile al software firewall che hai impostato sul tuo desktop/laptop, un plug-in firewall monitorerà il traffico in entrata e impedirà alle comuni minacce alla sicurezza di raggiungere il tuo sito Web WordPress.
I plug-in generalmente si riferiscono a un database composto da firme dannose e indirizzi IP inseriti nella lista nera per scansionare le potenziali minacce che arrivano al tuo sito Web e bloccarle immediatamente.
Come puoi vedere, è semplice come installare un plugin per WordPress, ma migliora la sicurezza di WordPress impedendo a hacker, malware, worm e virus di entrare nel tuo sito web.
3. Imposta una password complessa per l'accesso come amministratore
Quando ci pensi, ottenere l'accesso alla dashboard del tuo back-end di WordPress non è un grosso problema. È risaputo che l'aggiunta di "/wp-admin" alla fine dell'URL di un sito WordPress porta l'utente alla pagina di accesso dell'amministratore. Qui l'unica cosa che limita l'accesso al back-end del sito Web è semplicemente indovinare il nome utente e la password.
Ora, poiché il nome utente "admin" è quasi sempre associato a un sito Web WordPress, l'unica cosa che l'hacker deve fare è indovinare la password e quindi avrà accesso diretto a tutti i contenuti e ai dati del tuo sito Web. Una cosa spaventosa da immaginare, non è vero?
Con tutto questo in considerazione, il miglioramento della sicurezza di WordPress più ovvio che puoi utilizzare è rendere la tua password estremamente complessa e difficile da decifrare anche con la forza bruta. Ciò include la creazione di password più lunghe con almeno 10-12 caratteri. Ricorda inoltre di utilizzare lettere maiuscole, minuscole, numeri e caratteri speciali nella tua password.
E solo per non dimenticarlo tu stesso, scrivilo in un posto dove sai che sarà al sicuro.
4. Personalizza il nome utente dell'amministratore
Simile alla modifica della password del tuo login di amministratore di WordPress, dovresti anche considerare di cambiare il nome utente predefinito facilmente prevedibile - admin. Quindi ora l'hacker deve decifrare la password insieme al nome utente corretto per entrare nel back-end del tuo sito, il che aumenta esponenzialmente la sicurezza di WordPress.
Ma detto questo, cambiare il nome utente dell'amministratore predefinito è alquanto difficile. Innanzitutto, devi accedere al tuo back-end di WordPress > Utente > Aggiungi nuovo utente , quindi creare un nuovo utente (con il nuovo nome utente) con il ruolo utente impostato su – Amministratore . Una volta fatto, accedi con il nuovo account utente ed elimina l'account utente "admin" predefinito, costringendo gli hacker non solo a decifrare la password corretta ma anche il tuo nuovo nome utente. In alternativa, puoi gestire e modificare i ruoli utente utilizzando un plug-in per l'editor dei ruoli utente.
5. Personalizza l'URL di accesso
Finora abbiamo parlato di come rendere difficile per gli hacker indovinare le credenziali di accesso al back-end di WordPress. Ma una tattica di sicurezza di WordPress ancora migliore sarebbe negare del tutto l'accesso degli hacker alla schermata di accesso.
Come accennato in precedenza, l'URL predefinito per la pagina di accesso del back-end del tuo sito Web coinvolge l'URL del tuo sito Web seguito da "/wp-admin". Tuttavia, sapevi che puoi personalizzare l'ultima parte dell'URL di accesso del tuo sito Web con qualsiasi stringa alfanumerica diversa che puoi immaginare, ad esempio - "/zero-hacker-allowed".
Tuttavia, tieni presente che questa non è una funzionalità predefinita del CMS (Content Management System) e dovrai installare un plug-in WordPress come WPS Hide Login per aiutarti. Una volta installato e attivato, il plugin ti consentirà di modificare l'URL di accesso in modo che gli hacker non possano accedere facilmente alla pagina wp-login.php e alla directory wp-admin.
Ormai, non solo abbiamo reso difficile per gli hacker indovinare la giusta combinazione di password e nome utente per accedere al nostro sito, ma abbiamo anche nascosto efficacemente la pagina di accesso da occhi indiscreti. Come puoi immaginare, questo aumenta drasticamente la sicurezza di WordPress e rende praticamente impossibili gli attacchi di forza bruta.
6. Impostare una password complessa per l'utente del database
Se il tuo sito web ha più utenti e alcuni di loro hanno accesso diretto al tuo database o ad altre informazioni sensibili, assicurati che impostino password complesse per i loro account. È altrettanto probabile che gli hacker cerchino di entrare nel tuo sito web sfruttando gli altri utenti del tuo sito web. Con questo in mente, qualsiasi fine in sospeso è una potenziale vulnerabilità e una minaccia alla sicurezza.
Puoi rendere obbligatorio per gli utenti assegnare una password complessa ai propri account seguendo i passaggi menzionati in precedenza. In alternativa, puoi utilizzare plug-in di terze parti per costringere gli utenti a creare una password complessa per completare il processo di creazione dell'account.
7. Abilita SSL (da HTTP a HTTPS)
SSL, abbreviazione di Secure Sockets Layer, è il protocollo di sicurezza standard su Internet che crea una connessione crittografata tra il client e il server. Una volta attivato, noterai che il testo HTTP all'inizio del tuo URL viene sostituito con HTTPS o HTTP protetto. Abilitando un certificato SSL, rendi più difficile per gli hacker sottrarre dati mentre vengono trasmessi tra il server e il client.
Google prende molto sul serio anche la certificazione SSL. Ad esempio, i siti Web che sono ancora su HTTP vengono visualizzati come "non sicuri" sul browser Google Chrome. Inoltre, sono anche penalizzati dal loro algoritmo sui motori di ricerca. Mentre dall'altra parte, gli HTTPS dei siti Web certificati SSL vengono assegnati dal motore di ricerca. Pertanto, abbiamo inserito l'installazione di un SSL come primo passo per vedere un nuovo blog WordPress.
Questi due punti dovrebbero essere una ragione sufficiente per installare un certificato SSL sul tuo sito Web, soprattutto se consideri che non è una seccatura così grande. Prima di tutto, quasi tutti i servizi di web hosting più diffusi includono un certificato SSL gratuito. E nel caso non ne avessi uno gratuitamente, puoi farlo facilmente utilizzando Let's Encrypt .
Hai persino accesso a un plug-in SSL WordPress dedicato: SSL davvero semplice per trasformare HTTP in HTTPS e migliorare la sicurezza di WordPress.
8. Sposta wp-config a un livello superiore rispetto alla directory principale
Per impostazione predefinita, il file wp-config.php si trova all'interno della stessa cartella del tuo blog/sito Web WordPress. Questo può essere un incubo per la sicurezza poiché il file contiene il nome utente del database MySQL, la password, le chiavi di autenticazione di WordPress e altri dati sensibili.
Se qualcuno si impossessa di questo file, in pratica ha il controllo completo su ogni nocciolo del tuo sito web. Questo è il motivo per cui anche il codice di WordPress consiglia agli utenti di spostare il file wp-config.php dalla directory principale predefinita a una cartella di livello superiore che non ha accesso pubblico.
Questo può essere ottenuto facilmente includendo il seguente frammento di codice nella cartella .htaccess:
<file wp-config.php> ordinare consentire, negare rifiutato da tutti </file>
Come puoi vedere, implica scherzare con i file principali del tuo sito Web WordPress, quindi si consiglia di eseguire un backup prima di procedere con questo passaggio.
9. Impedisci di elencare la directory con .htaccess quando una cartella non ha file index.php
L'elenco delle directory, noto anche come esplorazione delle directory, consente a qualsiasi utente di visualizzare il contenuto delle singole cartelle (directory) sul tuo sito Web. Come puoi immaginare, ciò richiede grandi problemi di sicurezza poiché gli hacker possono navigare senza sforzo attraverso tutti i tuoi diversi file e individuare potenziali vulnerabilità per entrare nel tuo sito web.
Ora, a difesa del CMS di WordPress, alcune directory contengono un file index.php che il server esegue/carica istantaneamente quando qualcuno entra nella cartella. Ciò impedisce agli spettatori di sfogliare le tue directory e di accedere alla struttura del tuo sito.
Ma cosa succede se il file index.php non è presente?
Anche in questo caso, i problemi possono essere facilmente risolti apportando una piccola modifica al file .htaccess. Tutto quello che devi fare è semplicemente aggiungere la seguente riga alla fine del file .htaccess e salvarla.
Opzioni Tutti -Indici
Una volta fatto, se un utente tenta di accedere a una qualsiasi delle tue directory che non ha un file index.php, mostrerà un errore 403 accesso proibito o 404 pagina non trovata all'utente.
10. Aggiorna regolarmente WordPress
WordPress è immensamente popolare e alimenta oltre il 30% di tutti i siti Web del World Wide Web. Ciò rende il CMS il principale obiettivo di hacker e attori malintenzionati. Sono sempre impegnati a trovare vulnerabilità di sicurezza e scappatoie nel codice che possono sfruttare per accedere ai dati del tuo sito.
Allo stesso modo, il team di sviluppo di WordPress è anche attivamente alla ricerca di bug e falle di sicurezza, in modo da poterli correggere prima che gli hacker li sfruttino. Pertanto, l'aggiornamento all'ultima versione di WordPress non significa semplicemente accedere a nuove funzionalità e funzionalità, ma anche assicurarsi che il codice non abbia difetti che gli hacker possono sfruttare.
Ora, una volta rilasciato un nuovo aggiornamento di WordPress, il mondo intero, inclusi gli hacker, può conoscere le vulnerabilità della sicurezza che erano presenti nella versione precedente. Se procrastina l'aggiornamento rapido del tuo sito all'ultima iterazione, gli hacker possono sfruttare le vulnerabilità di sicurezza ora note sul tuo sito, rendendo la sicurezza di WordPress molto più debole di prima. Inoltre, poiché WordPress è costruito con PHP, è anche importante aggiornare il tuo sito WordPress all'ultima versione di PHP per migliorare le prestazioni e la sicurezza del tuo sito web. Ricordati di fare un backup completo del tuo sito prima di eseguire qualsiasi aggiornamento!
11. Rimuovi il numero di versione di WordPress
Anche se dovresti sempre aggiornare il tuo sito Web WordPress non appena viene rilasciato un nuovo aggiornamento CMS, ma a volte non è la decisione migliore che puoi prendere. Alcuni possibili motivi per ritardare l'aggiornamento del sito potrebbero essere dovuti a un aggiornamento difettoso, problemi di compatibilità con i tuoi plugin e temi attuali e così via.
Tuttavia, come abbiamo appena discusso, posticipare l'aggiornamento ti apre a una pletora di minacce alla sicurezza e tentativi di hacking. Ma questo può essere evitato se puoi rimuovere il numero di versione di WordPress dal tuo sito web. Ecco perché gli hacker non sapranno immediatamente che il tuo sito è in esecuzione su una versione precedente, il che riduce le tue possibilità di essere sfruttato dai difetti di sicurezza appena scoperti.
Ora, per rimuovere il numero di versione di WordPress dal tuo sito web, devi andare al file functions.php e inserire il seguente frammento di codice:
funzione remove_wordpress_version() {
Restituzione '';
}
add_filter('the_generator', 'remove_wordpress_version');Ciò rimuoverà il numero di versione di WordPress sia dal file principale che dal feed RSS, assicurandosi che gli hacker non abbiano modo per indovinare quale versione di WordPress stai utilizzando.
Insomma
Quindi questi erano alcuni dei nostri suggerimenti e trucchi consigliati per migliorare la sicurezza di WordPress. Ci auguriamo che tu abbia trovato questa lettura utile e che sia stata una risorsa utile per rendere il tuo sito più sicuro e protetto.
Come puoi vedere, molti dei miglioramenti possono essere apportati semplicemente seguendo alcuni uno o due passaggi di base e installando alcuni plug-in di sicurezza. Ora ci sono anche alcuni aspetti tecnici di cui dovresti occuparti. Tuttavia, non devi preoccuparti più di tanto se hai appena iniziato con il tuo blog/sito web WordPress.
Ma mentre il tuo sito continua a crescere, renditi conto che gli hacker si impegneranno di più per irrompere e causare problemi. Pertanto, tieniti sempre aggiornato con le ultime tendenze di sicurezza, per non parlare della copertura di tutti i passaggi tecnici discussi in precedenza come lo spostamento del file wp-config e la password per proteggere il database.
Con tutto questo nel contesto, gli utenti esperti sono incoraggiati a partecipare alla conversazione e ad aggiungere le loro tattiche personali per garantire che il loro sito sia libero da hacker e malware. I tuoi colleghi lettori trarranno grande beneficio dalle tue intuizioni e potrebbero aiutarli a salvaguardare il loro sito da potenziali minacce informatiche.
Nel caso in cui anche tu possa essere interessato, ecco la nostra guida completa su come monetizzare un blog.