Guida alla sicurezza di WordPress: rendere WordPress sicuro 2022

Pubblicato: 2022-02-17

Immaginare questo:

Apri il tuo sito WordPress, tutto con gli occhi brillanti, la coda folta e pronto a caricare il tuo ultimo post sul blog... solo per essere accolto da un mucchio di contenuti strani che indirizzano le persone ad acquistare pillole farmaceutiche da siti Web imprecisi.

È il peggior incubo della maggior parte dei webmaster, ma è qualcosa che può succedere al tuo sito WordPress... se non metti in atto le giuste best practice di sicurezza.

Non stiamo cercando di spaventarti: WordPress è sicuro. Ha un team di sicurezza dedicato e un esercito di contributori e sviluppatori esperti per aiutare a mantenerlo tale.

Ma se non stai costruendo su quella base sicura seguendo le migliori pratiche di sicurezza di WordPress, potresti aprire la porta agli attori malintenzionati per infilare le loro zanne nel tuo sito web.

In questo post, siamo qui per aiutarti a capire quali sono queste migliori pratiche in modo da poter impedire che lo scenario da incubo diventi realtà.

A tal fine, tratteremo le seguenti sezioni:

  • WordPress è sicuro?
  • Perché non dovresti aspettare per mettere in ordine la tua sicurezza
  • 21 cose che puoi fare per la sicurezza in questo momento
  • I rischi di una violazione della sicurezza
  • Come sapere se il tuo sito è stato violato
  • Tre plugin di sicurezza WordPress di prim'ordine
  • Le tre tattiche di sicurezza più importanti da implementare
  • Monitoraggio e correzione delle violazioni della sicurezza di WordPress

Anche se potrebbero essere necessarie un paio d'ore per elaborare le migliori pratiche in questo post, quel piccolo investimento ora pagherà i dividendi in futuro sotto forma di un sito WordPress sicuro e a prova di proiettile.

WordPress è sicuro?

WordPress alimenta oltre il 43% di tutti i siti Web su Internet, il che significa che è un bersaglio succoso per gli attori malintenzionati.

Il fatto che WordPress sia così popolare significa anche che è utilizzato da un'ampia varietà di persone, comprese persone con livelli di conoscenza molto diversi. Pensa a uno sviluppatore esperto rispetto a qualcuno che sta appena lanciando il suo primo blog... e tutti quelli che stanno nel mezzo.

Ci sono buone e cattive notizie qui...

Buone notizie:

WordPress è sicuro. Ecco perché è utilizzato da così tante persone normali, così come da grandi organizzazioni come la Casa Bianca degli Stati Uniti e Facebook.

WordPress è utilizzato da grandi marchi che apprezzano la sicurezza

Facebook e la Casa Bianca non affiderebbero i loro siti Web a una piattaforma insicura. Inoltre, il 43% dei siti Web su Internet non funzionerebbe su WordPress se non fosse sicuro.

Cattive notizie :

Molti siti WordPress vengono violati. Nei rapporti sui siti Web compromessi di Sucuri, WordPress è regolarmente la piattaforma più violata ( ricorda: è super popolare ).

Quindi, come può WordPress essere sicuro e anche avere siti hackerati? Non sono cose che si escludono a vicenda?

Bene, la risposta è interamente nel modo in cui le persone usano WordPress.

Se sei proattivo nel seguire le migliori pratiche di sicurezza, come quelle che tratteremo in questo post, puoi mantenere il tuo sito WordPress sicuro ed evitare problemi.

WordPress dispone di un ampio apparato di sicurezza, tra cui un team di sicurezza ufficiale di oltre 50 membri e una serie di sviluppatori esperti che creano estensioni sicure e segnalano potenziali problemi.

Quelle persone fanno un ottimo lavoro nel rendere sicuro WordPress, ma devi comunque fare la tua parte se vuoi mantenerlo così.

Se non ti basi sul duro lavoro di quei contributori di WordPress e segui le migliori pratiche, puoi commettere errori che aprono buchi nel software WordPress, sia che si tratti di utilizzare una password debole, installare un plug-in vulnerabile o qualcos'altro.

Perché non dovresti aspettare per fare sul serio sulla sicurezza di WordPress

La sicurezza di WordPress è una di quelle cose che sembra non essere un grosso problema... finché non è davvero un grosso problema .

Hai molte cose sul piatto in termini di marketing e crescita del tuo sito, quindi è facile mettere in secondo piano la sicurezza perché è difficile collegare i miglioramenti della sicurezza a metriche di crescita come traffico o entrate.

Siamo un po' schietti qui, ma questa linea di pensiero è incredibilmente miope. L'implementazione dell'elenco di controllo di sicurezza di WordPress di seguito richiede del tempo e potenzialmente un po' di denaro, ma quei costi impallidiscono rispetto a quello che "pagherai" se il tuo sito viene violato.

Una violazione della sicurezza ti "costerà" facilmente di più in termini di tempo perso, entrate, traffico SEO e fiducia con i tuoi visitatori.

Fondamentalmente, non vuoi giocare d'azzardo con la sicurezza del tuo sito. Prenditi del tempo ora per proteggerti da un costo enorme in seguito.

20 cose che puoi fare in questo momento sulla sicurezza di WordPress

Finora abbiamo parlato di teoria. Ora, iniziamo a orientarci su alcune tattiche attuabili per bloccare il tuo sito, iniziando con un elenco di controllo di sicurezza di WordPress che puoi implementare per proteggere il tuo sito oggi.

1. Comprendi i temi di sicurezza di WordPress di base

Prima di modificare qualsiasi cosa sul tuo sito, ti consigliamo di comprendere i temi di base della sicurezza di WordPress:

  • Limita l'accesso : limita l'accesso al tuo sito, sia tramite i metodi previsti (account utente) che quelli non previsti (vulnerabilità).
  • Contengono problemi : se un attore malintenzionato ottiene l'accesso, si desidera limitare i danni che possono causare.
  • Utilizza solo terze parti fidate : mentre il core di WordPress è sicuro, ogni estensione che aggiungi al tuo sito è una potenziale vulnerabilità.

2. Applicare prontamente gli aggiornamenti di WordPress

Per proteggere il tuo sito dalle vulnerabilità di sicurezza emergenti, è essenziale applicare tempestivamente gli aggiornamenti principali di WordPress, gli aggiornamenti dei plug-in e gli aggiornamenti dei temi. Ciò è particolarmente vero per gli aggiornamenti di sicurezza, che dovresti applicare immediatamente*.

*Gli aggiornamenti di sicurezza hanno due punti nel numero di versione, ad esempio 5.9.1. Puoi aspettare per applicare i principali aggiornamenti delle funzionalità, che hanno un solo punto, ad esempio 5.9.

3. Usa password complesse per tutto

L'utilizzo di password complesse e univoche per il tuo account WordPress Admin, account di hosting e altri strumenti (ad es. credenziali SFTP) può fare molto per prevenire attacchi di forza bruta e altri tipi di attacchi basati sull'accesso.

Per archiviare in modo sicuro le password, puoi utilizzare un gestore di password come Bitwarden o LastPass. Questi gestori di password possono anche aiutarti a generare password univoche.

4. Usa plugin affidabili

Installa plug-in solo da sviluppatori fidati che stanno ancora mantenendo attivamente il plug-in per tenere conto delle nuove versioni di WordPress e delle vulnerabilità scoperte di recente.

5. Proteggi il tuo computer

Assicurati che il computer che utilizzi per accedere al tuo sito WordPress sia pulito. Utilizza un software antivirus di qualità ed esegui scansioni di malware regolari.

6. Blocca la tua pagina di accesso

Oltre a utilizzare password complesse, puoi proteggere la tua pagina di accesso utilizzando tattiche come la limitazione dei tentativi di accesso e l'autenticazione a due fattori. Puoi farlo con plug-in specifici per funzionalità gratuiti come Limita tentativi di accesso ricaricati e Autenticazione a due fattori. Oppure puoi utilizzare alcuni degli ampi plugin di sicurezza di WordPress di cui parleremo più avanti in questo post.

Puoi anche modificare l'URL di accesso di WordPress. Sebbene ciò non aggiunga molta sicurezza di accesso extra se stai implementando i suggerimenti sopra, può ridurre il traffico dei bot.

7. Eseguire backup regolari

Fare backup regolari e archiviarli in un luogo lungo è un enorme elemento della sicurezza di WordPress. Se disponi di un backup recente, una violazione della sicurezza nel peggiore dei casi è un inconveniente anziché una catastrofe quando si tratta dei dati del tuo sito.

Al giorno d'oggi, la maggior parte degli host WordPress gestiti offre backup automatici fuori sede. In caso contrario, puoi utilizzare un plug-in come UpdraftPlus.

8. Usa l'hosting sicuro

Utilizza un host WordPress di alta qualità che implementi solidi protocolli di sicurezza come firewall e scansioni malware. Anche se non dovresti fare affidamento solo sul tuo host, un host WordPress di qualità può fare molto per proteggere il tuo sito WordPress.

9. Installa un certificato SSL e usa HTTPS

Assicurati di aver installato un certificato SSL e di aver configurato il tuo sito per forzare tutto il traffico alla versione HTTPS sicura. Ciò garantisce che tutti i dati che passano tra il browser web di un visitatore e il server del tuo sito siano crittografati.

Puoi consultare il team di supporto o la documentazione del tuo host per sapere come installare un certificato SSL e plug-in come Really Simple SSL possono aiutarti a forzare il traffico HTTPS sul tuo sito.

10. Usa SFTP e non memorizzare le password

Assicurati di utilizzare SFTP quando ti connetti al server del tuo sito, piuttosto che un semplice FTP (che non è crittografato). Inoltre, cerca di evitare di memorizzare le tue password SFTP nel tuo client FTP a meno che non siano crittografate e protette da password.

11. Disabilita XML-RPC

XML-RPC aiuta alcune app, come un'app per iPhone, a connettersi al tuo sito WordPress. La maggior parte delle persone non utilizzerà mai queste app per connettersi, il che significa che XML-RPC è solo un vettore di vulnerabilità non necessario per attacchi di forza bruta o DDoS.

Per questo motivo, la maggior parte delle persone disabilita XML-RPC, cosa che puoi ottenere con un plug-in come Disable XML-RPC o uno dei plug-in di sicurezza generali di cui parleremo più avanti.

12. Disabilita la modifica dei file

Per impostazione predefinita, WordPress consente agli utenti amministratori di modificare direttamente i file di temi e plug-in dalla dashboard di WordPress, il che rappresenta un'enorme vulnerabilità se un attore malintenzionato riesce ad accedere alla dashboard.

Puoi disabilitarlo aggiungendo una riga al tuo file wp-config.php .

13. Monitorare i problemi di sicurezza

Mettere in atto politiche di monitoraggio della sicurezza regolari può aiutarti a rilevare i problemi prima che diventino problemi più gravi. Parleremo di pratiche di monitoraggio adeguate più avanti in questo post.

14. File e cartelle di WordPress con chiave sicura

Alcuni file e cartelle di WordPress sono particolarmente vulnerabili, quindi ti consigliamo di prestare particolare attenzione alla protezione del file wp-config.php e delle cartelle wp-admin e wp-includes .

15. Implementare le autorizzazioni file appropriate

Le autorizzazioni dei file controllano l'accesso che utenti e programmi hanno ai file e alle cartelle sul server di hosting. Se sono configurati in modo errato, possono consentire a malintenzionati l'accesso a file importanti come il file wp-config.php o il file .htaccess .

Per conoscere le autorizzazioni appropriate per WordPress, puoi leggere questa pagina WordPress.org.

16. Considera la registrazione delle attività

La registrazione delle attività ti consente di tenere traccia di ciò che sta accadendo sul tuo sito, il che può aiutarti a rilevare comportamenti sospetti prima che diventino un problema importante.

Per impostare la registrazione delle attività, puoi utilizzare un plug-in specializzato come WP Activity Log. Oppure, alcuni plug-in di sicurezza di WordPress per tutti gli usi includono anche funzionalità di registrazione.

17. Aggiungi le ultime intestazioni di sicurezza

Le intestazioni di sicurezza HTTP possono aiutare a proteggere il tuo sito controllando il modo in cui i browser Web interagiscono con i contenuti del tuo sito. In genere li configurerai a livello di server: KeyCDN ha un ottimo post che spiega le intestazioni di sicurezza più importanti.

18. Proteggi il tuo database

L'utilizzo di un prefisso di tabella di database univoco e di un nome di database univoco può rendere leggermente più difficile per gli attori malintenzionati iniettare contenuto dannoso nel database, sebbene alcuni esperti ne discutano l'utilità. Dato che questa modifica è facile da applicare, vale comunque la pena anche se si tratta di una piccola quantità di "sicurezza per oscurità".

19. Disabilita il collegamento

Avere altri siti che collegano le tue immagini potrebbe non essere un rischio diretto per la sicurezza, ma può avere un effetto negativo sul tuo server in termini di risorse sprecate, quindi è una buona pratica di sicurezza disabilitare l'hotlinking.

20. Configurare la protezione DDoS in anticipo

Avere un piano per affrontare gli attacchi denial of service distribuiti. Puoi chiedere al tuo host quali protezioni hanno in atto o aggiungere il tuo sito a Cloudflare in modo da poter abilitare rapidamente la modalità "Sono sotto attacco" di Cloudflare, se necessario.

Quali sono i rischi quando un sito viene violato?

Esistono tre tipi principali di rischi se il tuo sito viene violato...

Rischi per i tuoi visitatori web

Se memorizzi i dati sui tuoi visitatori, gli attori malintenzionati potrebbero avere accesso a tutte queste informazioni, il che potrebbe causare problemi con il furto di identità o il furto finanziario a seconda dei dati che memorizzi.

Gli attori malintenzionati potrebbero anche tentare di indurre gli utenti a scaricare file dannosi e infettare i loro computer.

Rischi per i proprietari del sito

Una violazione della sicurezza può causare problemi diretti sotto forma di perdita di dati, perdita di tempo e indisponibilità del sito. Se non mantieni backup regolari ( cosa che si spera non accada dopo aver letto questa guida ), potresti persino perdere l'intero sito e dover ricostruire da zero.

Una violazione può anche causare problemi meno tangibili, come una perdita di fiducia nei confronti dei visitatori o un danno generale alla reputazione.

Rischio per altri siti

Se utilizzi l'hosting condiviso e/o stai ospitando alcuni dei tuoi altri siti sullo stesso account di hosting, un sito che viene violato può diffondersi rapidamente ad altri siti se i siti non sono strettamente isolati l'uno dall'altro. In questo modo, avere un sito infetto può agire come un domino per eliminare altri siti, anche se tali siti sarebbero altrimenti sicuri.

Come sapere se il tuo sito WordPress è stato violato

Esistono due modi per scoprire che il tuo sito è stato violato:

  • Segni reattivi : scopri un problema perché vedi il problema sul tuo sito.
  • Segnali proattivi : i protocolli di monitoraggio della sicurezza ti avvisano del problema prima che si manifesti sul tuo sito.

Idealmente, vuoi utilizzare strumenti che ti consentano di risolvere i problemi in modo proattivo, piuttosto che aspettare che diventino un problema. In questo modo, puoi ridurre al minimo i danni al tuo sito.

Segni reattivi di hacking

  • Avviso del browser : la maggior parte dei browser visualizzerà un avviso se visiti una pagina infetta. Se ciò accade quando visiti il ​​tuo sito, sai di avere un problema.
  • Avviso sui motori di ricerca : Google avviserà anche i visitatori se fanno clic su un collegamento che porta a un sito infetto. Dice qualcosa come "Questo sito potrebbe essere violato".
  • Servizi per i webmaster : se utilizzi Google Search Console, Google ti avviserà dei problemi di sicurezza se vai su Sicurezza e azioni manuali → Problemi di sicurezza .
  • Visitatori Web : se i visitatori Web incontrano contenuti dannosi, potrebbero avvisarti direttamente.
Google Chrome visualizza un avviso se un sito è infetto da malware

Segni proattivi di hacking

  • Scanner di malware : uno scanner di malware può rilevare codice dannoso sul tuo server anche se non ha iniziato a influenzare il frontend del tuo sito.
  • Controlli di integrità dei file : se i file di base di WordPress non corrispondono alle versioni ufficiali, è un segno che qualcosa potrebbe essere sbagliato sul tuo sito. La maggior parte dei plug-in di sicurezza ti avviserà automaticamente se un file principale è stato modificato.
  • Monitoraggio del traffico : il monitoraggio del traffico del tuo sito WordPress ti aiuterà a rilevare le irregolarità nel momento in cui si verificano.
Il plug-in Wordfence offre scansioni di sicurezza di WordPress

Tre migliori plugin e strumenti per la sicurezza di WordPress

Se desideri un po' di tranquillità in più quando si tratta di sicurezza di WordPress, puoi prendere in considerazione l'utilizzo di un plug-in o un servizio di sicurezza WordPress dedicato.

Sebbene questi strumenti non eliminino completamente la necessità di essere vigili, possono gestire la maggior parte delle migliori pratiche di sicurezza di WordPress per te.

Ecco tre dei migliori:

1. Recinzione di parole

Wordfence è uno dei migliori plugin di sicurezza per WordPress

Wordfence è il plugin di sicurezza di WordPress più popolare su WordPress.org. Ha un set completo di funzionalità in grado di proteggere e monitorare tutte le aree di sicurezza del tuo sito:

  • Web application firewall (WAF) per bloccare in modo proattivo le minacce prima che possano danneggiare il tuo sito. Include un set di definizioni in costante aggiornamento per bloccare le minacce emergenti.
  • Scansione di malware e sicurezza per rilevare infezioni o vulnerabilità della sicurezza.
  • Funzionalità di sicurezza dell'accesso, tra cui la limitazione dei tentativi di accesso, l'autenticazione a due fattori, la protezione con password trapelata, la disabilitazione/rafforzamento XML-RPC e altro ancora.
  • Registrazione in tempo reale per rilevare attori dannosi.
  • Notifiche per avvisarti istantaneamente di potenziali problemi sul tuo sito.
  • Molte altre tattiche di rafforzamento più piccole, incluso il rilevamento delle modifiche ai file.
  • Dashboard di sicurezza centrale che ti consente di gestire la sicurezza di più siti da un unico punto.

C'è una versione gratuita su WordPress.org e Wordfence Premium parte da $ 99.

2. Sucuri

Sucuri è un plugin e un firewall

Sucuri è due cose:

  1. Un plug-in gratuito su WordPress.org che implementa pratiche di rafforzamento della sicurezza di base.
  2. Un servizio firewall a pagamento che si trova davanti al tuo server e blocca il traffico dannoso prima che possa raggiungere il tuo sito.

Per la migliore protezione, ti consigliamo di utilizzare entrambi gli strumenti.

Il plugin gratuito Sucuri implementa le seguenti funzionalità di rafforzamento della sicurezza:

  • Monitoraggio dell'integrità dei file
  • Registri di controllo
  • Monitoraggio automatico della lista nera
  • Opzioni di protezione avanzata di base come la disabilitazione della modifica dei file e il blocco di determinati file PHP
  • Monitoraggio dell'accesso non riuscito per rilevare gli attacchi di forza bruta
  • Avvisi di sicurezza automatici via e-mail

Per utilizzare il servizio firewall, cambierai i nameserver del tuo dominio in Sucuri e il firewall di Sucuri proteggerà il tuo sito a livello di rete.

Il plug-in Sucuri è gratuito ma il firewall parte da $ 10 al mese. Puoi anche pagare per un piano di sicurezza completo del sito Web che include la pulizia e la rimozione del malware. Quei piani partono da $ 200 all'anno.

3. Sicurezza di iThemes

iThemes Security Pro per WordPress

iThemes Security è un altro strumento popolare che può aiutarti a rafforzare il tuo sito e monitorarlo per problemi di sicurezza.

Ecco in cosa può aiutare:

  • Lo scanner del sito rileverà automaticamente le vulnerabilità note sul tuo sito.
  • Protezione dell'accesso con autenticazione a due fattori, limitazione dei tentativi di accesso, dispositivi affidabili, requisiti per password complesse e altro ancora.
  • Registri di sicurezza, inclusa la registrazione degli eventi di sicurezza e la registrazione delle attività degli utenti.
  • Rilevamento delle modifiche ai file per vedere se i file principali sono stati modificati.
  • Notifiche e-mail per avvisarti istantaneamente di potenziali problemi di sicurezza.
  • Protezione avanzata generale di WordPress , inclusa la disabilitazione di XML-RPC, la disabilitazione della modifica dei file, il controllo delle autorizzazioni dei file e altro ancora.

Una funzionalità che iThemes Security non offre è un firewall: gli sviluppatori consigliano di associarlo al servizio firewall di Sucuri se si desidera un firewall.

Sebbene sia disponibile una versione gratuita limitata di iThemes Security su WordPress.org, vorrai iThemes Security Pro per la migliore protezione. Si parte da $ 80.

Concentrati su queste tre cose per il più grande ROI sulla sicurezza di WordPress

Come molte cose nella vita, la sicurezza di WordPress segue il principio di Pareto 80/20. Cioè, concentrarti sull'inchiodare alcune tattiche di sicurezza fondamentali di WordPress ti porterà la maggior parte del modo per avere un sito sicuro.

Quindi, mentre pensiamo che sia importante seguire l'elenco di controllo di sicurezza di WordPress che abbiamo condiviso sopra, concentrarci solo su tre aree ti proteggerà dalla maggior parte dei problemi con la sicurezza di WordPress.

Esaminiamoli...

1. Plugin

Sebbene il core software di WordPress sia sicuro ( a patto che lo tieni aggiornato ), i plugin introducono variabili che il core team non può controllare, il che li rende uno dei maggiori vettori di attacco per gli attori malintenzionati.

Tuttavia, anche i plugin sono una parte essenziale di WordPress, quindi non usarli non è un'opzione realistica.

Ecco tre modi per continuare a trarre vantaggio dai plugin riducendo al minimo i rischi:

  • Evita i plug-in abbandonati : se un plug-in non viene più mantenuto, significa che non c'è nessuno lì per risolvere i problemi appena scoperti e mantenerlo compatibile con le versioni più recenti di WordPress.
  • Acquista solo da sviluppatori affidabili : utilizza sviluppatori affidabili come HeroThemes che seguono le migliori pratiche di sicurezza di WordPress e sono al passo con le minacce emergenti.
  • Aggiorna regolarmente : anche i migliori plugin dei migliori sviluppatori a volte possono avere vulnerabilità scoperte di recente. Gli sviluppatori di qualità correggeranno queste vulnerabilità prima che diventino un problema, purché tu aggiorni tempestivamente.

2. Attacchi di forza bruta

Gli attacchi di forza bruta sono un vettore di attacco comune che si basa sull'accesso al tuo sito tramite la pagina di accesso. Non importa quanto sia sicuro il resto del tuo sito: se un malintenzionato riesce a indovinare il tuo nome utente e password, ha le chiavi della porta principale.

Ecco come proteggerti:

  • Usa password complesse e univoche : scegli una password complessa per tutti i tuoi account e non riutilizzare la stessa password in più punti.
  • Limita i tentativi di accesso : impedisci alle persone di forzare la tua pagina di accesso limitando i tentativi di accesso non riusciti e/o aggiungendo un CAPTCHA.
  • Prendi in considerazione l'autenticazione a due fattori : per una sicurezza ancora maggiore, puoi considerare l'utilizzo dell'autenticazione a due fattori tramite SMS o, idealmente, un'app per smartphone o una chiave hardware.
  • Nome utente univoco : non utilizzare "admin" come nome utente e cercare di rendere difficile da indovinare il nome utente.
Un esempio di limitazione dei tentativi di accesso su WordPress

3. Account di hosting

Il tuo sito WordPress potrebbe essere perfettamente bloccato; ma se un attore malintenzionato ottiene l'accesso al tuo account di hosting, può fare praticamente tutto ciò che vuole sul tuo sito.

Per fermare questo, è essenziale bloccare anche il tuo account di hosting e server:

  • Usa password complesse : come con il tuo account WordPress, utilizza password complesse e univoche per i tuoi account di hosting e SFTP.
  • Abilita l'autenticazione a due fattori : la maggior parte dei provider di hosting supporta l'autenticazione a due fattori: approfittane.
  • Usa SFTP : connettiti sempre tramite SFTP e non FTP non crittografato.
  • Non memorizzare le password SFTP : non archiviare le password SFTP non crittografate nel client FTP.

Monitoraggio, identificazione e correzione delle violazioni della sicurezza di WordPress

Se implementi tutte le tattiche di sicurezza di WordPress di cui sopra, si spera che non dovresti mai dover affrontare una violazione della sicurezza.

Tuttavia, è sempre possibile che qualcosa scivoli attraverso le crepe, motivo per cui è importante disporre di un piano in atto per rilevare e risolvere i problemi di sicurezza.

Monitoraggio delle vulnerabilità

  • Scansiona il tuo sito : usa strumenti come Sucuri SiteCheck per rilevare problemi di blacklist e scansionare il tuo server con un plug-in di sicurezza.
  • Google Search Console : presta attenzione agli avvisi nella sezione dei problemi di sicurezza.
  • Usa il comando del sito di Google nella ricerca : cerca site:yoursite.com per vedere se Google ha indicizzato contenuti che sembrano dannosi. Potrebbe trattarsi di contenuti che non hai creato o contenuti con titoli/meta descrizioni strani.
  • Registro attività : sfoglia il registro delle attività del tuo sito per rilevare attività sospette.
  • Controlla le analisi : cerca cali o picchi inspiegabili nelle tue analisi del traffico.
  • File .htaccess : presta attenzione alle modifiche al tuo file .htaccess, poiché è qui che molti attori inseriranno reindirizzamenti dannosi o imposteranno regole user-agent per nascondere il loro spam SEO ai visitatori umani.
Un esempio del controllo della lista nera in Sucuri SiteCheck

Identifica i problemi

Una volta che i tuoi sforzi di monitoraggio hanno rilevato qualcosa che non va, è il momento di identificare il problema specifico sul tuo sito in modo da poterlo risolvere e far funzionare il tuo sito. Per fare ciò, puoi utilizzare un plug-in di sicurezza per scansionare il tuo sito e identificare file e backdoor dannosi.

Riparare il tuo sito

Una volta identificato il problema specifico, è il momento di riparare il tuo sito.

Ci sono alcuni percorsi diversi che puoi intraprendere qui a seconda della gravità dell'infezione e del tuo livello di conoscenza:

  • Usa un plug-in di sicurezza : molti plug-in di sicurezza offrono correzioni con un clic, pulendo il file o ripristinando il tuo sito a una versione pulita.
  • Assumi un esperto : se ti senti sopraffatto, puoi pagare per un servizio esperto come Sicurezza del sito Web di Sucuri o Servizi di pulizia del sito di Wordfence.
  • Esegui una pulizia manuale – se hai le conoscenze tecniche, puoi pulire il tuo sito manualmente – MalCare ha una guida dettagliata su come eseguire una pulizia manuale.

Se il tuo sito è stato inserito nella lista nera di Google, ti consigliamo di richiedere una revisione anche dopo aver pulito il tuo sito. Puoi farlo dalla sezione Problemi di sicurezza in Google Search Console.

Mantieni sicuro il tuo sito WordPress

WordPress è sicuro, ma i modi in cui le persone usano WordPress non sono sempre sicuri.

Prendersi un po' di tempo ora per creare un piano proattivo per la sicurezza di WordPress ripagherà i dividendi sotto forma di un sito sicuro ed eviterà la necessità di affrontare una violazione in futuro.

Puoi implementare i suggerimenti di questo post e seguire un elenco di controllo di sicurezza di WordPress come l'elenco di controllo di Wordfence. Se desideri una mano, puoi anche ottenere aiuto da uno sviluppatore o assumere un servizio di manutenzione di WordPress.

Anche la sicurezza di WordPress non è qualcosa in cui sei solo. Hai l'intera community di WordPress sul tuo sito che ti aiuta a creare siti più sicuri.

Qui a HeroThemes, ci concentriamo sulla creazione di plugin e temi sicuri e affidabili che ti consentono di estendere il tuo sito WordPress mantenendolo sicuro. Ci sono un sacco di altri sviluppatori che fanno lo stesso.

Se ti attieni a estensioni come queste e segui altre best practice di sicurezza, puoi goderti i vantaggi di un sito WordPress sicuro.