Condividi questo contenuto!

La sicurezza di WordPress è un argomento di enorme importanza per ogni proprietario di siti Web. Google elenca oltre 10.000 siti Web ogni giorno per malware e circa 50.000 per phishing ogni settimana.

Se prendi sul serio il tuo sito Web, devi prestare attenzione alle migliori pratiche di sicurezza di WordPress. In questa guida alla sicurezza WordPress completa condivideremo tutti i principali suggerimenti per aiutarti a proteggere il tuo sito Web da hacker e malware.

Nonostante il software di base di WordPress sia molto sicuro e controllato regolarmente da centinaia di sviluppatori, è comunque possibile fare molto per proteggere il tuo sito.

Crediamo che la sicurezza non riguardi solo l’eliminazione del rischio. Riguarda anche la riduzione del rischio. Come proprietario di un sito Web, puoi fare molto per migliorare la sicurezza del tuo sito WordPress (anche se non sei un esperto di tecnologia).

Abbiamo una serie di passaggi attuabili che puoi adottare per proteggere il tuo sito Web dalle vulnerabilità.

Per semplificare, abbiamo creato un sommario per aiutarti a navigare facilmente attraverso la nostra guida alla sicurezza WordPress completa.

Sommario

Nozioni di base sulla sicurezza WordPress

Sicurezza WordPress in pochi passaggi (senza codifica)

Sicurezza WordPress per utenti fai-da-te

Pronto? Iniziamo.

Nozioni di base sulla sicurezza WordPress

Perché la sicurezza WordPress è importante?

Un sito WordPress compromesso può causare gravi danni alle entrate e alla reputazione della tua azienda. Gli hacker possono rubare informazioni sugli utenti, password, installare software dannoso e persino distribuire malware ai tuoi utenti.

Peggio ancora, potresti ritrovarti a pagare ransomware agli hacker solo per riguadagnare l’accesso al tuo sito web.

Nel marzo 2016, Google ha riferito che oltre 50 milioni di utenti di siti Web hanno ricevuto da loro l’avviso che un sito Web che stanno visitando potrebbe contenere malware o rubare informazioni.

Inoltre, Google inserisce nella blacklist circa 20.000 siti Web per malware e circa 50.000 per phishing ogni settimana.

Se il tuo sito Web è un’azienda, devi prestare particolare attenzione alla sicurezza WordPress.

In modo simile a come i proprietari delle attività commerciali proteggono il proprio negozio fisico, in quanto proprietario di attività commerciali online è responsabilità dell’utente proteggere il sito Web aziendale.

Mantenere WordPress aggiornato

WordPress è un software open source che viene regolarmente aggiornato. Per impostazione predefinita, WordPress installa automaticamente aggiornamenti minori. Per le versioni principali, è necessario avviare manualmente l’aggiornamento.

WordPress include anche migliaia di plugin e temi che puoi installare sul tuo sito web. Questi plugin e temi sono gestiti da sviluppatori di terze parti che rilasciano regolarmente aggiornamenti.

Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del tuo sito WordPress. Devi assicurarti che core, plugin e tema di WordPress siano aggiornati.

Password complesse e autorizzazioni utente

I tentativi più comuni di hacking di WordPress consistono in password rubate. Puoi renderlo difficile usando password più forti che sono uniche per il tuo sito web. Non solo per l’area di amministrazione di WordPress, ma anche per account FTP, database, account di hosting WordPress e indirizzi e-mail personalizzati che utilizzano il nome di dominio del tuo sito.

A molti principianti non piace usare password complesse perché sono difficili da ricordare. La cosa buona è che non è più necessario ricordare le password. È possibile utilizzare un gestore di password. Consulta la nostra guida su come gestire le password di WordPress .

Un altro modo per ridurre il rischio è non consentire a nessuno di accedere al tuo account di amministratore di WordPress a meno che non sia assolutamente necessario . Se hai un team numeroso o autori ospiti, assicurati di comprendere i ruoli e le autorizzazioni degli utenti in WordPress prima di aggiungere nuovi account utente e autori al tuo sito WordPress.

Il ruolo dell’hosting di WordPress

Il tuo servizio di hosting WordPress svolge il ruolo più importante nella sicurezza del tuo sito WordPress. Un buon provider di hosting condiviso come ad esempio Siteground prende delle misure extra per proteggere i propri server dalle minacce comuni.

Ecco come una buona società di web hosting lavora in background per proteggere i tuoi siti Web e dati.

  • Monitorano continuamente la loro rete per attività sospette.
  • Tutte le buone società di hosting dispongono di strumenti per prevenire attacchi DDOS su larga scala
  • Mantengono aggiornati il ​​software e l’hardware del server per impedire agli hacker di sfruttare una vulnerabilità di sicurezza nota in una versione precedente.
  • Sono pronti a implementare piani di ripristino di emergenza che consentano loro di proteggere i dati in caso di incidente grave.

L’utilizzo di un servizio di hosting WordPress gestito fornisce una piattaforma più sicura per il tuo sito Web. Le società di hosting WordPress gestite offrono backup automatici, aggiornamenti automatici di WordPress e configurazioni di sicurezza più avanzate per proteggere il tuo sito Web

Consigliamo, oltre al già citato Siteground, anche WPEngine come nostro provider di hosting WordPress gestito preferito. Sono anche tra i più popolari nel settore.

Sicurezza WordPress in pochi passaggi (senza codifica)

Sappiamo che migliorare la sicurezza di WordPress può essere un pensiero terrificante per i principianti.

In questa guida alla sicurezza WordPress ti mostreremo come migliorare la sicurezza di WordPress con pochi clic (non è richiesta alcuna codifica).

Installare una soluzione di backup di WordPress

I backup sono la tua prima difesa contro qualsiasi attacco WordPress. Ricorda, nulla è sicuro al 100%. Se i siti Web governativi possono essere hackerati, anche i tuoi possono esserlo.

I backup ti consentono di ripristinare rapidamente il tuo sito WordPress nel caso in cui dovesse succedere qualcosa di brutto.

Esistono molti plug-in di backup WordPress gratuiti e a pagamento che puoi utilizzare. La cosa più importante che devi sapere quando si tratta di backup è che devi salvare regolarmente i backup dell’intero sito in una posizione remota (non il tuo account di hosting).

Ti consigliamo di archiviarlo su un servizio cloud come Amazon, Dropbox o cloud privati ​​come Stash.

In base alla frequenza con cui aggiorni il tuo sito Web, l’impostazione ideale potrebbe essere una volta al giorno o backup in tempo reale.

Per fortuna questo può essere fatto facilmente usando plugin come VaultPress o UpdraftPlus . Sono entrambi affidabili e, soprattutto, facili da usare (non è necessaria alcuna codifica).

Per fare un backup del tuo sito web puoi consultare la nostra guida apposita su come fare un backup di un sito WordPress con UpdraftPLus.

Installare un plug-in di sicurezza WordPress

Dopo i backup, la prossima cosa che dobbiamo fare è configurare un sistema di auditing e monitoraggio che tenga traccia di tutto ciò che accade sul tuo sito web.

Ciò include il monitoraggio dell’integrità dei file, i tentativi di accesso non riusciti, la scansione del malware, ecc.

Tutto ciò può essere fatto dal miglior plug-in di sicurezza gratuito per WordPress, Sucuri Scanner .

Devi installare e attivare il plug-in Sucuri Security gratuito . Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin per WordPress .

Dopo l’attivazione, è necessario accedere al menu Sucuri nell’amministratore di WordPress. La prima cosa che ti verrà chiesto di fare è Generare una chiave API gratuita. Ciò consente la registrazione di controllo, il controllo dell’integrità, gli avvisi e-mail e altre importanti funzionalità.

La prossima cosa che devi fare è fare clic sulla scheda “Rafforzamento (Hardening)” dal menu delle impostazioni (settings). Passare attraverso ogni opzione e fare clic sul pulsante “Applica rafforzamento (Apply hardening)“.

Queste opzioni ti aiutano a bloccare le aree chiave che gli hacker usano spesso nei loro attacchi. L’unica opzione di rafforzamento che è un aggiornamento a pagamento è il Web Application Firewall che spiegheremo nel passaggio successivo, quindi saltalo per ora.

Abbiamo anche trattato molte di queste opzioni di “rafforzamento” più avanti in questo articolo per coloro che vogliono farlo senza usare un plugin o per quelle che richiedono passaggi aggiuntivi come ad esempio “Modifica prefisso database” o “Modifica del nome utente amministratore“.

Dopo la parte di rafforzamento, le impostazioni predefinite del plugin sono abbastanza buone per la maggior parte dei siti Web e non necessitano di modifiche. L’unica cosa che consigliamo di personalizzare è “Email Alerts“.

Le impostazioni di avviso predefinite possono ingombrare la posta in arrivo con e-mail. Ti consigliamo di ricevere avvisi per azioni chiave come modifiche ai plugin, registrazione di nuovi utenti, ecc. Puoi configurare gli avvisi andando su Sucuri»Impostazioni (Settings) »Avvisi (Alerts).

Questo plug-in di sicurezza di WordPress è molto potente, quindi sfoglia tutte le schede e le impostazioni per vedere tutto ciò che fa come la scansione di malware, i log di controllo, il monitoraggio dei tentativi di accesso non riusciti, ecc.

Abilitare un Web Application Firewall (WAF)

Il modo più semplice per proteggere il tuo sito ed essere sicuro della sicurezza di WordPress è utilizzare un firewall per applicazioni web (WAF).

Un firewall per siti Web blocca tutto il traffico dannoso prima ancora che raggiunga il tuo sito Web.

Firewall per siti Web di livello DNS : questi firewall indirizzano il traffico del tuo sito Web attraverso i loro server proxy cloud. Ciò consente loro di inviare solo traffico reale al tuo server web.

Firewall a livello di applicazione : questi plugin firewall esaminano il traffico una volta raggiunto il server ma prima di caricare la maggior parte degli script di WordPress. Questo metodo non è efficiente come il firewall a livello DNS nel ridurre il carico del server.

Sucuri, dato che ne abbiamo parlato sopra, ha anche la sua funzione di firewall per applicazioni Web per WordPress.

La parte migliore del firewall di Sucuri è che viene fornito con una garanzia di pulizia del malware e rimozione della lista nera. Fondamentalmente se dovessi essere hackerato sotto il loro controllo, garantiscono che ripareranno il tuo sito Web (indipendentemente da quante pagine hai).

Questa è una garanzia abbastanza forte perché riparare siti Web compromessi è costoso. Gli esperti di sicurezza normalmente fanno pagare intorno ai $ 250 l’ora. Considerando che è possibile ottenere l’intero stack di sicurezza Sucuri per $ 199 all’anno diventa quasi “un’assicurazione sul proprio sito web “.

Sposta il tuo sito WordPress su SSL / HTTPS

SSL (Secure Sockets Layer) è un protocollo che crittografa il trasferimento di dati tra il tuo sito Web e il browser degli utenti. Questa crittografia rende più difficile rubare informazioni.

Una volta abilitato SSL, il tuo sito Web utilizzerà HTTPS anziché HTTP, inoltre visualizzerai un segno di lucchetto accanto all’indirizzo del tuo sito Web nel browser.

I certificati SSL sono generalmente emessi dalle autorità di certificazione e i loro prezzi partono da $ 80 a centinaia di dollari ogni anno. A causa dei costi aggiuntivi, la maggior parte dei proprietari di siti Web ha deciso di continuare a utilizzare il protocollo non sicuro.

Per risolvere questo problema, un’organizzazione no profit chiamata Let’s Encrypt ha deciso di offrire certificati SSL gratuiti ai proprietari di siti Web. Il loro progetto è supportato da Google Chrome, Facebook, Mozilla e molte altre società.

Ora, è più facile che mai iniziare a utilizzare SSL per tutti i tuoi siti Web WordPress. Molte società di hosting offrono ora un certificato SSL gratuito per il tuo sito Web WordPress .

Sicurezza WordPress per utenti fai-da-te

Se fai tutto ciò che abbiamo menzionato finora, sei già a buon punto. Ma come sempre, puoi fare di più per rafforzare la sicurezza di WordPress.

Alcuni di questi passaggi sottoelencati potrebbero richiedere conoscenze di codifica.

Modificare il nome utente predefinito “admin”

In passato, il nome utente admin predefinito di WordPress era “admin”. Poiché i nomi utente costituiscono la metà delle credenziali di accesso, ciò ha reso più facile per gli hacker eseguire attacchi brute force.

Per fortuna, WordPress da allora ha cambiato ciò e ora richiede di selezionare un nome utente personalizzato al momento dell’installazione di WordPress .

Tuttavia, alcuni programmi di installazione di WordPress con 1 clic, impostano ancora il nome utente admin predefinito su “admin”. Se noti che è così, allora è probabilmente una buona idea cambiare il tuo web hosting .

Poiché WordPress non consente di modificare i nomi utente per impostazione predefinita, esistono tre metodi che è possibile utilizzare per modificare il nome utente.

  1. Crea un nuovo nome utente admin ed elimina quello vecchio.
  2. Utilizza il plug-in UsernameChanger
  3. Aggiorna il nome utente da phpMyAdmin

Abbiamo trattato tutti e tre questi aspetti nella nostra guida dettagliata su come modificare correttamente il tuo nome utente WordPress.

Nota: stiamo parlando del nome utente chiamato “admin”, non del ruolo di amministratore.

Disabilitare la modifica dei file

WordPress è dotato di un editor di codice integrato che ti consente di modificare i tuoi temi e file plugin direttamente dalla tua area di amministrazione di WordPress. Nelle mani sbagliate, questa funzione può rappresentare un rischio per la sicurezza, motivo per cui si consiglia di disattivarla.

disabilitare-modifica-file-per-aumentare-sicurezza-in-wordpress

Puoi farlo facilmente aggiungendo il seguente codice nel tuo file wp-config.php .

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

In alternativa, puoi farlo con 1 clic usando la funzione Hardening  nel plugin Sucuri gratuito che abbiamo menzionato sopra.

Disabilitare l’esecuzione di file PHP in alcune directory di WordPress

Un altro modo per rafforzare la sicurezza di WordPress è disabilitare l’esecuzione dei file PHP nelle directory in cui non è necessario come / wp-content / uploads /.

Puoi farlo aprendo un editor di testo come Blocco note e incollando questo codice:

deny from all

Successivamente, è necessario salvare questo file come .htaccess e caricarlo sul proprio sito Web su / wp-content / uploads /  utilizzando un client FTP .

Per una spiegazione più dettagliata, consulta la nostra guida su come disabilitare l’esecuzione di PHP in determinate directory di WordPress

In alternativa, puoi farlo con 1 clic usando la funzione di Hardening nel plugin Sucuri gratuito che abbiamo menzionato sopra.

Limitare i tentativi di login

Per impostazione predefinita, WordPress consente agli utenti di provare ad accedere tutte le volte che vogliono. Questo rende il tuo sito WordPress vulnerabile agli attacchi brute force. Gli hacker cercano di decifrare le password tentando di accedere con combinazioni diverse.

Questo può essere facilmente risolto limitando i tentativi di accesso falliti che un utente può effettuare. Se si utilizza una web application firewall (menzionata sopra nell’articolo) questo problema viene automaticamente risolto.

Tuttavia, se non si dispone della configurazione di un firewall, procedere con i passaggi seguenti.

Innanzitutto, è necessario installare e attivare il plug-in Login LockDown. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin WordPress .

Dopo l’attivazione, visita la pagina Impostazioni »Login LockDown per configurare il plug-in.

Per istruzioni dettagliate, dai un’occhiata alla nostra guida su come limitare i tentativi di accesso in WordPress e obbligare gli utenti a password complesse .

Aggiungere  l’autenticazione a due fattori

La tecnica di autenticazione a due fattori richiede agli utenti di accedere utilizzando un metodo di autenticazione in due passaggi. Il primo è il nome utente e la password e il secondo passaggio richiede l’autenticazione utilizzando un dispositivo o un’app separati.

La maggior parte dei migliori siti Web online come Google, Facebook, Twitter, ti consente di abilitarlo per i tuoi account. Puoi anche aggiungere la stessa funzionalità al tuo sito WordPress.

Innanzitutto, è necessario installare e attivare il plug-in Two Factor Authentication. Dopo l’attivazione, è necessario fare clic sul collegamento “Autenticazione a due fattori (Two Factor Auth)” nella barra laterale di amministrazione di WordPress.

Successivamente, è necessario installare e aprire un’app di autenticazione sul telefono. Ce ne sono molti disponibili come Google Authenticator, Authy e LastPass Authenticator.

Ti consigliamo di utilizzare LastPass Authenticator o Authy perché entrambi ti consentono di eseguire il backup dei tuoi account sul cloud. Ciò è molto utile in caso di smarrimento, ripristino del telefono o acquisto di un nuovo telefono. Tutti gli accessi al tuo account saranno facilmente ripristinati.

Utilizzeremo il programma di autenticazione LastPass Authenticator per il tutorial. Tuttavia, le istruzioni sono simili per tutte le app di autenticazione. Apri l’app di autenticazione, quindi fai clic sul pulsante Aggiungi.

Ti verrà chiesto se desideri scansionare un sito manualmente o scansionare il codice a barre. Seleziona l’opzione codice a barre di scansione e quindi punta la fotocamera del tuo telefono sul QRcode mostrato nella pagina delle impostazioni del plugin.

Questo è tutto, l’app di autenticazione ora lo salverà. La prossima volta che accedi al tuo sito web, ti verrà chiesto il codice di autenticazione a due fattori dopo aver inserito la password.

Basta aprire l’app di autenticazione sul telefono e inserire il codice che vedi su di essa.

Per istruzioni più dettagliate consulta il nostro articolo su come aggiungere l’autenticazione a 2 fattori in WordPress.

Cambiare prefisso delle tabelle WordPress del database

Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle nel database di WordPress . Se il tuo sito WordPress utilizza il prefisso del database predefinito, è più facile per gli hacker indovinare il nome della tua tabella. Questo è il motivo per cui consigliamo di cambiarlo.

Puoi modificare il prefisso del tuo database seguendo il nostro tutorial passo-passo su come cambiare il prefisso delle tabelle WordPress del database per migliorare la sicurezza .

Nota: questo può interrompere il tuo sito se non viene eseguito correttamente. Procedi solo se ti senti a tuo agio con le tue capacità di programmazione.

Proteggere con password WordPress Admin e pagina di login

Normalmente, gli hacker possono richiedere la tua cartella wp-admin e la pagina di login (wp-login) senza alcuna restrizione. Ciò consente loro di provare i loro trucchi di hacking o eseguire attacchi DDoS.

È possibile aggiungere ulteriore protezione con password a livello di server, che bloccherà efficacemente tali richieste.

Segui le nostre istruzioni dettagliate su come proteggere con password la tua directory di amministrazione di WordPress (wp-admin) .

[ Torna all’inizio ↑ ]

Disabilitare l’indicizzazione e la navigazione delle directory

La navigazione nella directory può essere utilizzata dagli hacker per scoprire se sono presenti file con vulnerabilità note, in modo che possano trarre vantaggio da questi file per ottenere l’accesso.

La navigazione nella directory può essere utilizzata anche da altre persone per esaminare i file, copiare immagini, scoprire la struttura della directory e altre informazioni. Ecco perché si consiglia vivamente di disattivare l’indicizzazione e la navigazione delle directory.

Devi connetterti al tuo sito web usando FTP o il file manager di cPanel. Quindi, individuare il file .htaccess nella directory principale del sito Web. Se non riesci a vederlo lì, fai riferimento alla nostra guida sul perché non riesci a vedere il file .htaccess in WordPress .

Successivamente, è necessario aggiungere la seguente riga alla fine del file .htaccess:

Options -Indexes

Non dimenticare di salvare e caricare il file .htaccess sul tuo sito.

Disabilitare XML-RPC in WordPress

XML-RPC è stato abilitato per impostazione predefinita in WordPress 3.5 perché aiuta a connettere il tuo sito WordPress con applicazioni Web e Mobile.

A causa della sua natura potente, XML-RPC può amplificare significativamente gli attacchi brute-force.

Ad esempio, tradizionalmente se un hacker voleva provare 500 password diverse sul tuo sito Web, dovrebbe effettuare 500 tentativi di accesso separati che verranno catturati e bloccati dal plug-in login lockdown (blocco dell’accesso).

Ma con XML-RPC, un hacker può utilizzare la funzione system.multicall per provare migliaia di password con 20 o 50 richieste.

Questo è il motivo per cui se non si utilizza XML-RPC, si consiglia di disabilitarlo.

Esistono 3 modi per disabilitare XML-RPC in WordPress e li abbiamo trattati tutti nel nostro tutorial passo-passo su come disabilitare XML-RPC in WordPress .

Suggerimento: il metodo .htaccess è il migliore perché è il meno dispendioso in termini di risorse.

Se si utilizza la web-application firewall menzionata in precedenza, questo può essere gestito dal firewall.

Disconnettere automaticamente gli utenti inattivi in ​​WordPress

In questa guida sicurezza WordPress non poteva mancare una parte dedicata agli utenti inattivi. Gli utenti che hanno effettuato l’accesso a volte possono allontanarsi dallo schermo e ciò comporta un rischio per la sicurezza. Qualcuno può dirottare la sessione, cambiare password o apportare modifiche all’account.

Questo è il motivo per cui molti siti bancari e finanziari disconnettono automaticamente un utente inattivo. Puoi implementare funzionalità simili anche sul tuo sito WordPress.

Sarà necessario installare e attivare il plug-in Inactive Logout . Dopo l’attivazione, visita la pagina Impostazioni »Inactive Logout per configurare le impostazioni del plug-in.

Basta impostare la durata e aggiungere un messaggio di disconnessione. Non dimenticare di fare clic sul pulsante Salva modifiche per memorizzare le impostazioni.

Aggiungere domande di sicurezza alla schermata di accesso di WordPress

aggiungere-domanda-di-sicurezza-wordpress-per-login

L’aggiunta di una domanda di sicurezza alla schermata di accesso di WordPress rende ancora più difficile l’accesso non autorizzato a qualcuno.

È possibile aggiungere domande sulla sicurezza installando il plug-in WP Security Questions. Al momento dell’attivazione, è necessario visitare la pagina Impostazioni »WP Security Questions per configurare le impostazioni del plug-in.

Scansione di WordPress per malware e vulnerabilità

Se è installato un plug-in di sicurezza di WordPress, questi plug-in controllano regolarmente la presenza di malware e segni di violazioni della sicurezza.

Tuttavia, se vedi un improvviso calo del traffico del sito Web o delle classifiche di ricerca , potresti voler eseguire manualmente una scansione. Puoi utilizzare il tuo plugin di sicurezza WordPress.

Eseguire queste scansioni online è abbastanza semplice, basta inserire gli URL del tuo sito Web e i loro crawler passano attraverso il tuo sito Web per cercare malware noti e codice dannoso. Ad esempio puoi controllare sullo stesso GoogleIsItWP Security Scanner.

Ora tieni presente che la maggior parte degli scanner di sicurezza di WordPress può semplicemente scansionare il tuo sito web. Non possono rimuovere il malware o pulire un sito WordPress compromesso.

Questo ci porta alla sezione successiva, ossia come ripulire malware e siti WordPress compromessi.

Correzione di un sito WordPress compromesso

Molti utenti di WordPress non comprendono l’importanza dei backup e della sicurezza del sito Web fino a quando il loro sito Web non viene violato.

La pulizia di un sito WordPress può essere molto difficile e richiede tempo. Il nostro primo consiglio sarebbe quello di lasciare che un professionista se ne occupi.

Gli hacker installano backdoor sui siti interessati e, se tali backdoor non vengono corrette correttamente, è probabile che il tuo sito Web venga nuovamente violato.

Consentire a una società di sicurezza professionale di riparare il tuo sito Web garantirà che il tuo sito sia sicuro da riutilizzare. Ti proteggerà anche da eventuali attacchi futuri.

Per gli utenti avventurosi e fai-da-te, abbiamo compilato una guida passo passo sulla correzione di un sito WordPress compromesso .

Questo è tutto! Speriamo che questa guida alla sicurezza WordPress ti abbia aiutato a imparare le migliori best practice sulla sicurezza di WordPress e a scoprire i migliori plug-in di sicurezza di WordPress per il tuo sito web. Potrebbe anche interessarti il nostro articolo su come proteggere il tuo sito WordPress da attacchi hacker.

Condividi questo contenuto!

Related Posts