Sicurezza di WordPress: come identificare ed eliminare le minacce

Pubblicato: 2018-05-11

Scuse come "Siamo troppo piccoli per un attacco" o "Non elaboriamo dati sensibili, come i rapporti finanziari" non sono più rilevanti. È stato ripetutamente dimostrato che tutti i siti Web, indipendentemente dalle loro dimensioni, sono vulnerabili e possono cadere nella trappola degli hacker.

Se ti avvicini al tuo sito web in modo professionale, dovresti prestare attenzione alle migliori pratiche di sicurezza per WordPress. Condivideremo un elenco completo di suggerimenti per proteggere il tuo sito WordPress da hacker e malware.

Come proprietario di un sito web, hai la capacità di migliorare la sicurezza di WordPress, anche se non sai come programmare e non vuoi entrare nel labirinto delle sue complicazioni.

Abbiamo preparato un'istruzione passo-passo e creato la navigazione in modo che tu non abbia difficoltà a camminare attraverso il materiale. Puoi arrivare rapidamente al frammento giusto del testo e alla fine della lettura il tuo sito Web sarà molto più sicuro della maggior parte delle risorse sul Web.

Perché la sicurezza è importante?

Un sito WordPress violato può danneggiare gravemente la tua attività e la tua reputazione. Gli hacker possono rubare informazioni sugli utenti, password, installare malware e distribuire trojan tra i tuoi utenti.

Nel 2017, Google ha riferito che oltre 55 milioni di utenti sono stati avvertiti di visitare siti Web con malware. Ogni settimana, Google stila un elenco di oltre 20.000 programmi dannosi.

Se il tuo sito è il tuo business, devi prestare maggiore attenzione alla sua sicurezza. Solo tu sei responsabile della protezione della tua risorsa dagli intrusi. Come affermato nel Codice di sicurezza di WordPress: “ Fondamentalmente, la sicurezza non riguarda sistemi perfettamente sicuri. Una cosa del genere potrebbe essere impraticabile o impossibile da trovare e/o mantenere. Ciò che la sicurezza è però è la riduzione del rischio, non l'eliminazione del rischio. Si tratta di impiegare tutti i controlli appropriati a tua disposizione, entro limiti ragionevoli, che ti consentono di migliorare la tua postura generale riducendo le probabilità di diventare un bersaglio, per poi essere hackerato.

Prenditi il ​​tuo tempo ed esamina le seguenti best practice, oltre a dare un'occhiata ad alcune delle strategie di sicurezza WordPress collaudate nel settore come l'utilizzo di software WordPress aggiornato, una solida politica delle credenziali e un'amministrazione del sistema incentrata sulla sicurezza.

Tipi di vulnerabilità

Le vulnerabilità comuni in WordPress sono la bassa sicurezza dei temi, le vulnerabilità di server, database, autorizzazioni di file, FTP e componenti di file specifici come wp-admin, wp-config e wp-includes. Sono i più inclini agli attacchi.

Numerosi incidenti di hacking hanno dimostrato quanto sia facile per gli intrusi utilizzare collegamenti non protetti nei servizi di sicurezza di WordPress a proprio vantaggio. Una sola vulnerabilità può esporre il tuo sito Web a migliaia di attacchi. Ad esempio, all'inizio di febbraio, i criminali informatici hanno lanciato una campagna su larga scala in cui i siti WordPress compromessi reindirizzavano i visitatori a domini con una serie di exploit .

Exploit è un pezzo di codice che può utilizzare scappatoie nel tuo sito WordPress e consentire agli hacker di hackerare il sistema. In altre parole, è un software che cerca elementi non protetti sul tuo sito Web e li attacca.

Gli exploit si formano a seguito di errori di programmatori che non prestano la dovuta attenzione alla sicurezza della risorsa. Quando viene rilevato un exploit, è necessario creare una patch che rimuova questa vulnerabilità.

In un'altra serie di attacchi, gli hacker hanno sfruttato una vulnerabilità nel file XML-RPC.

XML-RPC è un protocollo RPC (Remote Procedure Call) che utilizza XML per codificare le sue chiamate e HTTP per inviare richieste o ordini a siti Web in remoto. Se non vuoi dare agli hacker un'ulteriore possibilità di hackerare la tua risorsa, puoi semplicemente eliminarla. Quando è necessario, è possibile ripristinarlo.

L' iniezione SQL è il modo più comune per attaccare un database aggirando i firewall quando gli hacker inviano richieste SQL speciali a un sito Web. Queste iniezioni di codice possono creare nuovi account amministratore che possono collegarsi a siti dannosi o truffa dalla tua risorsa.

Come prevenire le iniezioni SQL?

I messaggi di errore vengono utilizzati principalmente per recuperare informazioni sensibili su un sito Web. Quindi o dovrebbero essere disabilitati o devono essere creati messaggi di errore personalizzati. Gli esperti di sicurezza informatica dei servizi di sviluppo di WordPress affermano che la crittografia SHA1 o SHA dovrebbe essere utilizzata per tutte le informazioni riservate e le password. Limitare il numero di autorizzazioni concesse ridurrà la probabilità di tali attacchi dannosi.

Attacchi di forza bruta

L'attacco di forza bruta consiste in tentativi di ottenere la corretta combinazione di login e password con il metodo di prova ed errore. È il modo più semplice con cui gli hacker tentano di accedere al login. Questo tipo di attacco può essere eseguito in vari modi, ogni metodo tenta ripetutamente di indovinare la combinazione di login e password. È una tattica comune utilizzata dai bot poiché non ci sono restrizioni sul numero di tentativi di accesso a WordPress. Se l'attacco ha successo, le informazioni sensibili del tuo sito web e della tua attività possono essere in pericolo. Anche se fallisce, il tuo sistema può comunque essere sovraccaricato.

Come affrontare gli attacchi di forza bruta?

Il modo migliore è attivare una politica di blocco che elimini tentativi di accesso illimitati. I ritardi progressivi possono essere utilizzati anche quando l'account è bloccato per un certo periodo di tempo. Strumenti come Captcha aiuteranno, sebbene ciò influirà sull'usabilità del sito web. Può anche essere utile creare password complesse per combattere questi tipi di attacchi.

Cross Site Scripting

Quasi l'84% di tutte le violazioni della sicurezza in WordPress sono cross-site script o attacchi XSS. Questo tipo di vulnerabilità si trova più spesso nei plugin di WordPress. Qui, un intruso utilizza un'applicazione Web per inviare script e codici dannosi a siti sicuri e affidabili, tra i quali potrebbe essere il tuo. Di conseguenza, i file JavaScript dannosi vengono scaricati su una pagina Web e utilizzati per rubare informazioni riservate.

Come prevenire il cross-site scripting?

Esistono diversi metodi per prevenire gli attacchi XSS:

  1. Non consentire a dati inaffidabili di accedere ai tuoi documenti HTML.
  2. Utilizza la Sanitization API WordPress e l'Escaping API WordPress (funzioni di pulizia del codice per proteggere le informazioni riservate e non per mostrarle pubblicamente, ad esempio, nella riga dell'indirizzo di un collegamento del browser).
  3. Prima di inserire dati inaffidabili nella stringa di richiesta URL, assicurati che siano codificati nell'URL.
  4. Prima di inserire dati inaffidabili nelle pagine HTML, assicurati che siano codificati in HTML, sostituendo la sintassi del codice.

Attacchi al server Web e al sistema operativo

Esistono anche alcune vulnerabilità di sicurezza sui server Web e sui sistemi operativi. Tali minacce alla sicurezza vengono create quando viene registrato un errore in OpenSSL, che rende disponibile agli hacker l'accesso a database e informazioni riservate. Questa grave vulnerabilità colpisce quasi i due terzi di tutti i siti web.

Come prevenire gli attacchi a un server web?

  1. Esegui controlli di sicurezza regolari sul software OpenSSL.
  2. Eseguire la convalida lato server.
  3. Non fidarti degli input dall'esterno.
  4. Aggiorna le firme IPS e firewall e abilita le firme Heartbleed.
  5. Annulla i certificati SSL esistenti e creane di nuovi.
  6. Non creare nuovi certificati con la vecchia chiave.

I programmi dannosi sono progettati per distruggere e danneggiare un sistema o per accedere a un database. Tale software è una forma di codici eseguibili e script che penetrano nel sistema senza il consenso dell'utente.

Ogni volta che il tuo sito WordPress viene violato, dai un'occhiata ai file modificati di recente. Le infezioni malware più comuni includono backdoor, dischi scaricabili e reindirizzamenti dannosi.

Come affrontare gli attacchi dannosi?

  1. Rimuovere manualmente i file dannosi.
  2. Ripristina il sito WordPress da un backup.
  3. Aggiorna sempre WordPress e plugin.
  4. Elimina l'account "admin" e utilizza un nome utente univoco diverso.

Rilevamento di hacking

Esiste una bassa percentuale di tentativi di hacking estremamente difficili da rilevare, ma in generale è possibile identificare eventuali tentativi riusciti o meno.

Indicatori per il rilevamento delle vulnerabilità:

  • Improvvise, impreviste ondate di traffico, soprattutto dall'estero (spesso non dalla tua regione, dove la probabilità di trovare il tuo target di riferimento è estremamente bassa);
  • Il tuo dominio viene automaticamente reindirizzato a un sito di terze parti (spesso spam);
  • La tua home page e le pagine interne cambiano improvvisamente o il contenuto scompare;
  • Le raffiche di larghezza di banda in uscita possono indicare che il tuo server è stato catturato e utilizzato per attacchi DDoS;
  • Il traffico diretto e organico diminuisce perché i motori di ricerca come Google, Yandex, Bing e i browser (Firefox e Chrome) avvertono dei pericoli di visitare il tuo sito da parte degli utenti.

Se noti una delle attività elencate sul tuo sito Web, esegui rapidamente la diagnostica di sicurezza del tuo sito Web WordPress qui . Sostituisci semplicemente www.example.com con il dominio del tuo sito web nella barra degli indirizzi. Un'alternativa al servizio è controllare la reputazione del sito con l'aiuto dello strumento gratuito URLVoid .

Elimina le violazioni della sicurezza

Monitora attentamente e oggettivamente la tua risorsa per i tentativi di hack. In caso di problemi di sicurezza, dovresti iniziare a eliminare le violazioni.

Se sei sicuro che il tuo sito sia diventato un bersaglio dei criminali informatici, sarà giusto informarne i tuoi visitatori. Organizza la distribuzione automatica delle email ai tuoi utenti, perché possono essere vulnerabili agli hacker. Informali che il tuo sito potrebbe essere vittima di una violazione della sicurezza e che è meglio sospendere la visita del tuo sito per un po'. Specificare la data in cui verrà risolto il problema.

Se l'attacco si è diffuso, ha senso spegnere il sito e lavorare in modalità offline finché non trovi e risolvi il problema. Per il periodo di lavoro, si consiglia di inserire la pagina "Sito in ricostruzione". Chiarirà agli utenti che il problema è temporaneo e non li spaventerà per sempre.

Contatta il tuo web hosting

Le società di web hosting lavorano quotidianamente con migliaia di siti Web e affrontano tutti i tipi di problemi di sicurezza su Internet. Una volta appreso che la sicurezza del tuo sito è a rischio, contatta la società di hosting e spiega il tuo problema.

La maggior parte delle società di web hosting ha IT, specialisti della sicurezza. Possono aiutare a identificare e correggere gli attacchi dannosi. Anche se la tua società di hosting non offre il suo aiuto, i suoi esperti possono contattare altri proprietari di siti Web che hanno riscontrato un problema simile. Ti aiuterà a capire cosa dovresti fare per risolvere il problema.

I buoni provider di hosting adottano misure aggiuntive per proteggere i propri server dalle minacce comuni. Ma sull'hosting condiviso, condividi le risorse con altri proprietari di siti web. Aumenta il rischio di attacchi di scripting tra siti quando un hacker può utilizzare un sito Web vicino per attaccare il tuo.

L'utilizzo dell'hosting gestito di WordPress offre un funzionamento più sicuro del tuo sito Web grazie alle sue funzionalità aggiuntive come backup automatico, aggiornamenti e configurazioni di sicurezza più complesse per proteggere le tue risorse.

Ottieni aiuto dagli esperti di sicurezza web

In genere, i file del sito Web più vulnerabili sono i file multimediali, i file .php e quelli archiviati in luoghi non sicuri. Gli hacker iniettano codice dannoso in questi file e danneggiano il tuo sito Web utilizzando attacchi backdoor. Poiché si tratta di zone a rischio tipiche, è necessario prima ispezionarle e, successivamente, recarsi in altre aree del sito per avviare il processo di pulizia.

Per eliminare il codice dannoso dai file infetti è necessario scaricarli dal server, rimuovere il codice interessato e caricare nuovamente i file puliti sul server.

A volte non basta solo ripulire i file infetti. Forse gli hacker hanno accesso ai tuoi file e continueranno a modificarli ed eliminare frammenti di codice. La pratica corretta è confrontare la versione pulita dei file infetti con i file di origine dei tuoi sviluppatori Web per vedere se hai perso parti di codice critiche.

Ricorda che di solito gli hacker installano shell di back-end che consentono loro di hackerare il tuo sito anche dopo aver rimosso tutti i file infetti. Queste shell spesso si travestono da normali file. Se il tuo sito è stato compromesso, quando torni al backup, affida il lavoro ai servizi di sicurezza per assicurarti che il tuo sito Web sia completamente sicuro e possa funzionare ulteriormente.

Cambia password

La pulizia dei file infetti è solo una parte del compito di rimuovere le vulnerabilità. Devi assicurarti che gli hacker non accedano più ai tuoi dati. Il modo più semplice ma efficace per farlo è cambiare le password. TUTTE le tue password da:

  • E-mail;
  • conto FTP;
  • Conto di hosting;
  • Pannello di amministrazione di WordPress.

Devi essere sicuro che le tue nuove password siano affidabili e non possano essere violate usando metodi di forza bruta. Ricorda, il furto di password è il tipo più comune di hacking di siti Web WordPress. Pertanto, ti consigliamo di creare password più complesse che non sono mai state utilizzate prima.

Il motivo principale per cui i neofiti non preferiscono utilizzare password complesse è che sono difficili da ricordare. Ora c'è una soluzione a questo problema: usa semplicemente il gestore delle password.

Un modo efficace per ridurre i rischi è avere più ruoli per accedere al tuo account WordPress. Se hai autori ospiti, assicurati di aver compreso i ruoli e le capacità di tutti prima di aggiungere nuovi utenti al tuo sito web.

Come proteggere il tuo sito WordPress

Di solito, mantenere la sicurezza del sito Web è visto come un lavoro complicato e richiede uno staff di professionisti altamente pagati. Nel caso di WordPress, le cose non sono così spaventose. Ti mostreremo come proteggere il tuo sito WordPress senza una conoscenza tecnica approfondita. Non devi sapere come programmare, eseguire azioni complesse, stare in piedi o eseguire rituali voodoo segreti.

Andiamo avanti!

Passaggio 1. Imposta le opzioni di backup

I backup sono il tuo scudo contro qualsiasi attacco di WordPress. Ricorda, nessun sito web può essere sicuro al 100%. Anche i siti web del governo vengono hackerati di tanto in tanto. Quindi la tua risorsa potrebbe anche diventare un obiettivo.

I backup sono progettati per ripristinare rapidamente un sito Web vulnerabile. Pertanto, ti consigliamo di utilizzare plug-in WordPress già pronti per questo scopo. Ce ne sono molti: ci sono opzioni a pagamento e gratuite.

La cosa più importante qui è che i backup devono essere eseguiti regolarmente. C'è una regola importante: devono essere creati su un servizio di archiviazione di terze parti (ad esempio nel cloud Dropbox, Amazon) e non nel tuo account di hosting.

Più spesso aggiorni il tuo sito web, più spesso dovrai farne copie di backup. Se aggiorni il blog quotidianamente, ti consigliamo di fare un backup almeno una volta al giorno.

Come farlo?

Scarica plugin come VaultPress o BackupBuddy . Sono affidabili e, soprattutto, facili da usare, facili da configurare e si adattano perfettamente alla loro funzione di backup principale.

Usa i plugin e i servizi di sicurezza di WordPress

Avere un'infrastruttura di sicurezza di base è un must per qualsiasi sito Web, indipendentemente dalla sua scala. Ad esempio, un semplice strumento, Login Lockdown , per gli utenti di WordPress è utile per prevenire attacchi primitivi di tentativi di accesso usando la forza bruta.

Pertanto, se non disponi già di un firewall o di un sistema di sicurezza a protezione del tuo sito, attivali senza alcun ritardo. Poiché il nostro obiettivo è prevenire l'attacco e non ripristinarlo dopo che il danno è stato causato, suggeriamo di utilizzare un Web Application Firewall (WAF) come soluzione.

Un firewall è una soluzione software già pronta che aggiunge un ulteriore livello di protezione e controlla tutto il traffico che entra nel tuo sito Web, bloccando un'ampia gamma di minacce dannose.

Combatte le minacce più comuni e aggressive, tra cui Open Web Application Security Project, SQL Injection, Cross-Site Scripting e Invalidated Redirect. Un firewall o un firewall è spesso integrato nei moderni sistemi operativi o incluso nei sistemi antivirus a pagamento.

Un Web Application Firewall (WAF) è il modo più semplice per proteggere un sito ed essere sicuri della sua sicurezza. Blocca tutto il traffico dannoso prima che superi la tua risorsa.

I buoni provider di hosting offrono una protezione WAF integrata utilizzando il modulo server Apache mod_security con open source, ma comprendiamo che non è sufficiente bloccare le ultime minacce rilevate. Il modulo viene aggiornato raramente dall'hosting web che non dispone di risorse sufficienti per tenere traccia del panorama delle minacce in rapida evoluzione.

Pertanto, gli utenti dovrebbero assumere l'attività nelle proprie mani, utilizzando il firewall fornito dai provider di sicurezza cloud. Tali WAF basati su cloud sono soluzioni plug-and-play che controllano tutto il traffico in entrata ed elaborano autonomamente l'intero processo di rilevamento e rimozione delle minacce per rispondere rapidamente alle minacce nuove ed esistenti.

Inoltre, tali servizi cloud in genere vengono forniti con reti di distribuzione di contenuti CDN, servizi di failover DDoS e persino soluzioni di bilanciamento del carico per migliorare prestazioni, sicurezza e disponibilità.

Come miglior firewall per applicazioni web per WordPress, consigliamo Sucuri . Il vantaggio del firewall Sucuri è che viene fornito con una garanzia di rimozione del malware. Gli sviluppatori garantiscono che risolveranno il tuo sito web (non importa quante pagine hai). Gli specialisti della sicurezza, di solito, stimano il loro lavoro a $ 250 all'ora mentre puoi ottenere l'intera gamma di sicurezza con Sucuri per $ 199 all'anno.

Sucuri non è l'unico fornitore di firewall. Il suo famoso concorrente che già gli sta alle calcagna è Cloudflare .

Quali sono le differenze tra Sucuri e Cloudflare?

Entrambi i servizi offrono piani diversi, che vengono forniti con un diverso insieme di funzionalità.

Funzionalità di Cloudflare

Cloudflare ha guadagnato fama per il servizio CDN gratuito. È specializzato nella prevenzione degli attacchi DDoS. Cloudflare mantiene il tuo sito accessibile agli utenti durante un attacco o con traffico intenso quando il tuo server smette di rispondere.

Il firewall copre anche i moduli e protegge il tuo sito Web da commenti spam e registrazioni di spam. Cloudflare offre anche certificati SSL gratuiti in tutti i suoi piani a pagamento. I piani gratuiti ti consentono di utilizzare solo i certificati Cloudflare. Per ottenere un certificato personalizzato, è necessario eseguire l'upgrade a un piano aziendale o aziendale.

Sebbene Cloudflare disponga di una versione gratuita che fornisce CDN gratuita, la maggior parte delle altre funzionalità, incluso il firewall delle applicazioni Web, richiedono una transizione a un piano a pagamento.

Cloudflare non offre un servizio per la scansione dei server per rilevare il malware. Inoltre, non fornisce una garanzia per la rimozione del malware.

Caratteristiche di Sucuri

Sucuri è uno dei servizi di sicurezza più affidabili per il monitoraggio dei siti web. Offre monitoraggio e scansione completi per malware, protezione da attacchi DDoS e rimozione di software dannoso.

Sucuri offre CloudProxy, un firewall per siti Web e servizi di bilanciamento del carico. Blocca il traffico sospetto, il codice infetto, i bot e altre minacce. Sucuri scansiona regolarmente il tuo sito web.

Cosa scegliere?

Sucuri ha ovviamente più vantaggi perché offre la migliore combinazione di strumenti e servizi (sito firewall + bilanciamento del carico + pulizia malware/ripristino hack).

Prezzo

Cloudflare offre un servizio CDN gratuito per tutti. Non fanno pagare per la larghezza di banda, ovvero puoi utilizzare la loro CDN gratuita indipendentemente dalla quantità di traffico.

Tuttavia, il piano gratuito non include un firewall per le applicazioni web. Il tuo sito web può utilizzare la CDN, ma non sarà adeguatamente protetto da attacchi DDoS, spam, ecc.

Per utilizzare un firewall, è necessario un piano Pro che costa $ 20 al mese, ma questo piano non include la riduzione avanzata degli attacchi DDoS e SSL personalizzato. Per ottenere queste funzionalità, dovrai acquistare un piano aziendale che costa $ 200 al mese.

Sucuri non offre un piano gratuito. Il loro piano di sicurezza parte da $ 199 all'anno, il che risulta essere più conveniente rispetto al piano Pro di CloudFlare. Questo piano di base include il monitoraggio completo del sito, il firewall delle applicazioni Web, la protezione DDoS, la rimozione del malware e un certificato SSL gratuito.

Piuttosto che escludere funzionalità significative dai piani di livello inferiore, Sucuri utilizza la priorità temporale come incentivo per i suoi piani più costosi. Ad esempio, il tempo necessario per rimuovere il malware in un piano tariffario di base è di 12 ore, 6 ore per un piano professionale e 4 ore per un piano aziendale. Allo stesso tempo, il tempo di pulizia effettivo è più veloce di quanto indicato nei piani.

Sucuri offre supporto 24 ore su 24 per tutti i piani. I loro abbonati al piano aziendale possono anche utilizzare il supporto tramite chat.

Cosa scegliere?

Sucuri è una scelta ovvia per le piccole imprese quando si tratta di prezzi. Cloudflare Pro costa $ 240 all'anno contro Sucuri che addebita $ 199 all'anno con un'ampia gamma di funzionalità. Per ottenere la stessa funzionalità, dovrai passare al piano Cloudflare a $ 2.400 all'anno. Il piano Sucuri più costoso è di $ 499 all'anno.

Rimozione del malware

Il malware e il codice infetto sono le minacce più comuni affrontate dai proprietari di siti Web.

In che modo Sucuri e Cloudflare proteggono i siti da queste minacce comuni?

Una versione gratuita di Cloudflare è generalmente utile come rete di distribuzione di contenuti che renderà il download del tuo sito più veloce.

La sicurezza del firewall per i siti web (disponibile nella versione a pagamento) include la protezione del sito da codice dannoso, exploit in XSS JavaScript e form. Non offre il rilevamento delle modifiche ai file, la scansione del malware, il monitoraggio della lista nera e altre funzionalità di sicurezza. Puoi aggiungere applicazioni di terze parti per scansionare il malware, ma questi servizi ti costeranno denaro extra.

Sucuri è specializzata nel monitoraggio dei siti e nella protezione da software dannoso e altri attacchi. Il firewall Sucuri ti protegge da DDoS, SQL injection, XSS JavaScript injection, commenti e moduli di contatto spam.

Tuttavia, se anche un utente malintenzionato rompe queste barriere, Sucuri si offrirà di ripulire il tuo sito (gratuitamente). Se ora hai un sito Web colpito da software dannoso, Sucuri può anche pulirlo.

Cosa scegliere?

Per utilizzare un firewall per applicazioni Web con servizi di monitoraggio, protezione anti-malware e pulizia, Sucuri è la soluzione più adatta. Tuttavia, nel campo della consegna dei contenuti, è meglio utilizzare Cloudflare.

Passaggio 2. Trasferisci su HTTPS se non l'hai già fatto

Uno dei più recenti fattori di ranking che Google ha annunciato ufficialmente è l'obbligo di passare a HTTPS. Questa enfasi sulla sicurezza dei siti Web mostra che Google prende sul serio il fatto che i siti Web inaffidabili o compromessi vengono declassati nelle classifiche dei motori di ricerca. Secondo Google stesso, questo è un tentativo di rendere Internet più sicuro.

HTTPS è un protocollo per garantire la riservatezza dello scambio di dati tra un utente e un sito web. Garantisce la sicurezza del trasferimento di informazioni importanti tra siti e server, in contrasto con il vecchio protocollo HTTP.

In precedenza HTTPS era ampiamente utilizzato per le transazioni finanziarie sui siti di e-commerce, per proteggere le cassette postali. In altre parole, veniva applicato a tutte le transazioni che richiedevano sicurezza e affidabilità.

Trasferendo il tuo sito su un protocollo HTTPS, non solo lo renderai più sicuro; aumenterai anche le tue possibilità di ottenere posizioni elevate nei risultati di ricerca sulle query tematiche di Google e Bing.

Passaggio 3: installa i plug-in di sicurezza di WordPress

È importante impostare un sistema di controllo e monitoraggio che tenga traccia di ogni attività che si verifica sul tuo sito.

Hai bisogno di un plug-in di sicurezza per:

  • monitorare l'integrità dei file;
  • tenere traccia dei tentativi di accesso non riusciti;
  • scansionare il sito alla ricerca di malware;
  • eliminare qualsiasi minaccia;
  • proteggi il tuo sito dalle minacce;
  • avere un assistente universale nella lotta contro tutti i tipi di vulnerabilità;

Il plugin gratuito, Sucuri Scanner, può gestire queste attività.

Come configurare Sucuri Scanner?

  1. Crea una chiave API gratuita. Aiuterà a tenere traccia delle tracce, controllare l'integrità del sito Web, notificare via e-mail quando si verificano minacce.
  2. Vai alla scheda Hardening nel menu Sucuri nella dashboard di WordPress. Contrassegna ciascuna opzione e fai clic sul pulsante "Rafforza".

Queste impostazioni aiutano a bloccare le zone a rischio che gli hacker utilizzano spesso per i loro attacchi.

  1. Configura gli avvisi di minaccia via e-mail. Per assicurarti che la tua e-mail non ingombra la tua posta, ti consigliamo di impostare la ricezione di e-mail solo su azioni critiche come la registrazione di nuovi utenti, le modifiche ai plug-in.

Wordfence Security è uno dei plugin di sicurezza più famosi con oltre 2 milioni di installazioni attive e un firewall integrato. Fornisce una protezione completa di un sito Web su tutti i fronti:

  • Protezione universale del sito;
  • Protezione contro nuove minacce;
  • Protezione dagli attacchi di forza bruta;
  • Rilevamento di traffico dannoso;
  • Bloccare gli intrusi prima che raggiungano il sito;
  • Protezione dai bot;
  • Blocco delle reti dannose;
  • Protezione dell'input da password di forza bruta, attacchi DDoS;
  • Scansione del sito per il rilevamento delle minacce;
  • Scansione di backdoor;
  • Scansione per Trojan, codice sospetto;
  • Scansione di messaggi e commenti.

Per ottenere un firewall più affidabile, dovrai acquistare una versione Premium (a partire da $ 99 all'anno). Le funzionalità di base del plug-in sono disponibili nella versione gratuita.

Invia una richiesta a Google, Bing, ecc.

Il risultato negativo dell'essere hackerato è che molti motori di ricerca, browser e software di sicurezza identificano la tua risorsa come problematica e inviano avvisi agli utenti che desiderano visitare il sito. Pertanto, cercano di garantire la sicurezza dei loro utenti, prevenendo loro il pericolo.

Affinché il tuo sito si alzi il più rapidamente possibile, contatta Google, Bing, Yahoo, Mozilla e altri servizi per rimuovere il tuo sito dalla loro lista nera.

Concludere

Come per la maggior parte delle altre cose che improvvisamente sono andate storte, fai solo attenzione e assicurati di aver preso tutte le precauzioni possibili per proteggere il tuo sito WordPress da eventuali attacchi. Se era inevitabile e sei già stato hackerato, non scoraggiarti.

Basta usare l'esperienza negativa (che di solito può essere evitata) come campanello d'allarme, seguire i passaggi sopra descritti e utilizzare tutte le misure di sicurezza per evitare un tale evento in futuro.