Piccola guida alla sicurezza di WordPress
La sicurezza di WordPress è un argomento di enorme importanza per tutti i proprietari di siti web. Ogni settimana, Google inserisce nella blacklist circa 20.000 siti web per malware e circa 50.000 per il phishing. Se il vostro sito web lo usate sul serio, è necessario prestare attenzione alle best practice di sicurezza di WordPress. In questa guida, condivideremo tutti i migliori consigli di sicurezza di WordPress per aiutarti a proteggere il tuo sito web contro gli hacker e malware.
Il software di base di WordPress è molto sicuro, ed è controllato regolarmente da centinaia di sviluppatori.
Io credo che la sicurezza non è solo eliminare il rischio. Ma possiamo considerarla anche riduzione del rischio. Come proprietario di un sito web, c’è molto che puoi fare per migliorare la sicurezza di WordPress (anche se non sei esperto di tecnologia).
Ho un certo numero di passi attuabili che eseguo regolarmente per migliorare la sicurezza di WordPress.
Per renderti le cose più facili ho preso spunto da altre guide online mettendo le cose insieme e che prevedono questa tabella di contenuti per aiutarti a navigare facilmente attraverso la mia guida definitiva alla sicurezza di WordPress.
Questa guida ovviamente non sostituisce una Assistenza professionale, quindi se hai necessità di essere seguito costantemente ti invito a consultare i nostri piani di Assistenza.
Tenere WordPress aggiornato
WordPress è un software open source che viene regolarmente mantenuto e aggiornato. Per impostazione predefinita, WordPress installa automaticamente aggiornamenti minori. Per le versioni principali, è necessario avviare manualmente l'aggiornamento.
WordPress viene inoltre fornito con migliaia di plugin e temi che è possibile installare sul tuo sito web. Questi plugin e temi sono mantenuti da sviluppatori di terze parti che rilasciano regolarmente aggiornamenti.
Questi aggiornamenti WordPress sono cruciali per la sicurezza e la stabilità del tuo sito WordPress. È necessario fare in modo che il tuo core WordPress, i plugin, e il tema siano aggiornati costantemente.
Password molto Forte e autorizzazioni utente calibrate
I più comuni tentativi di hacking utilizzano password rubate.Puoi rendere questo attacco più difficile usando password uniche per il tuo sito e molto forti . Non solo per l'area di amministrazione di WordPress, ma anche per account FTP, per il database, l’account di hosting, e il tuo indirizzo email professionale.
La ragione principale per cui i principianti non amano utilizzare password complesse è perché sono difficili da ricordare. La cosa buona è che non c'è bisogno di ricordare più password. È possibile utilizzare un gestore di password. Io uso Keepass , e lo trovo utilissimo e semplicissimo .Un altro modo per ridurre il rischio è quello di non dare qualsiasi accesso al tuo account di amministrazione di WordPress a meno che non sia assolutamente necessario. Se si dispone di un team molto ampio e molti o autori, che scrivono sul tuo blog allora assicurarsi di aver compreso i ruoli e le capacità degli utenti in WordPress prima di aggiungere nuovi utenti agli autori al vostro sito WordPress.
Il ruolo dell’Hosting in WordPress
Il tuo servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del tuo sito. Un buon fornitore di hosting condiviso come Siteground ha molte misure di sicurezza supplementari per proteggere i server contro le minacce comuni.
Un buon servizio di hosting gestito offre backup automatici, aggiornamenti automatici WordPress, e configurazioni di sicurezza più avanzate per proteggere il tuo sito web.
WordPress Sicurezza in pochi e semplici passi (niente codice)
Per esperienza so che “migliorare la sicurezza di WordPress” può essere una frase terrificante per i principianti. Specialmente se non sei un tecnico. Indovina un po '- non sei solo.
Ho aiutato migliaia di utenti di WordPress a migliorare la sicurezza del loro sito.
Ti mostro come puoi farlo con qualche click !
Installare una soluzione di backup di WordPress
I backup sono la vostra prima difesa contro qualsiasi attacco di WordPress. Ricordate, niente è sicuro al 100%. Se i siti web del governo possono essere “bucati”,allora lo potrà essere anche il vostro.
I backup consentono di ripristinare rapidamente il vostro sito WordPress nel caso in cui qualcosa di brutto sia accaduto.
Ci sono molti plugin gratuiti o a pagamento per WordPress per fare un backup che è possibile utilizzare. La cosa più importante che dovete sapere quando si tratta di backup è che è necessario salvare regolarmente il backup completo del sito in una posizione remota (non nel vostro account di hosting).
Si consiglia di riporlo in un servizio cloud come Amazon, Dropbox, o cloud privati come Stash.
Sulla base di quanto spesso si aggiorna il sito web, la cornice ideale potrebbe essere o una volta al giorno o backup in tempo reale, ma se non inserite molto di frequente nuovi contenuti potete farlo una volta a settimana o una volta al mese.
Fortunatamente questo può essere fatto facilmente utilizzando plugin come UpdraftPlus o BackupBuddy. Entrambi sono affidabili e soprattutto facile da usare (senza codifica necessaria).
Migliori Plugin per la Sicurezza di WordPress
Dopo i backup, la prossima cosa che dobbiamo fare è impostare un sistema di controllo e di monitoraggio che tiene traccia di tutto ciò che accade sul tuo sito web.
Questo include il monitoraggio dell'integrità dei file, tentativi falliti di login, la scansione di malware, ecc
Fortunatamente, questo può essere tutto curato dal miglior plugin per WordPress di sicurezza gratuito, Sucuri scanner.
È necessario installare e attivare il plug-in gratuito Sucuri Security.
La prima cosa che ti verrà chiesta di fare è generare una chiave API gratuita. Ciò consente la registrazione di controllo, verifica l'integrità, avvisi e-mail, e altre caratteristiche importanti.
La passo successivo, che dovi fare è cliccare sulla scheda Hardening dal menu Sucuri. Passare attraverso ogni opzione e fare clic sul pulsante "Harden".
Queste opzioni consentono di bloccare le aree chiave che gli hacker utilizzano spesso nei loro attacchi. L'unica opzione che è a pagamento è il Web Application Firewall.
Dopo questa parte, la maggior parte delle impostazioni di default di questo plugin sono buone e non ha bisogno di cambiare niente. L'unica cosa che si consiglia di personalizzare è gli avvisi e-mail.
Le impostazioni predefinite di avviso possono ingombrare la tua casella di posta con e-mail. Si raccomanda di ricevere solo gli avvisi per azioni chiave, quali le variazioni dei plugin, nuova registrazione degli utenti, ecc È possibile configurare le segnalazioni andando in Impostazioni Sucuri »avvisi.
Questo plugin di sicurezza è molto potente, navigate attraverso tutte le schede e le impostazioni e vedrete tutto ciò che fa, come scansione Malware, registri di controllo, tentativo di accesso non riuscito, ecc
Abilita Web Application Firewall (WAF)
Il modo più semplice per proteggere il vostro sito web e di essere fiducioso circa la sicurezza di WordPress è quello di utilizzare un firewall per le applicazioni web (WAF). Il firewall blocca tutto il traffico dannoso prima che raggiunga il vostro sito web.
Io utilizzo Sucuri su molti siti web che non hanno mai subito falle, ma ne esistono anche di altri e molto più complessi, il fatto di usare Sucuri è dettato molto dalla semplicità di confugurazione.
La parte migliore di firewall Sucuri è che aiuta tantissimo anche per una pulizia di malware e cosi ti garantisce la rimozione dalle black list. In pratica garantiscono loro il Fix del tuo sito nel caso sia violato. Si tratta di una garanzia abbastanza forte perché la riparazione di siti web violati è costosa. Mentre è possibile ottenere l'intero stack di sicurezza Sucuri per $ 199 all'anno.
Sucuri non è l'unico fornitore di firewall come ho detto prima. L'altro concorrente popolare è Cloudflare. L’ho usato solo una volta devo dire, è un po più complesso da configurare essendo principalmente un fornitore di chache ma una volta configurato vi garantisce la protezione al 100%
WordPress Sicurezza fai da te
Se farai tutto quello che ti ho detto finora, allora sei sulla buona strada.
Ma, come sempre, c'è di più che si può fare per migliorare la sicurezza di WordPress.
Alcuni di questi passaggi possono richiedere conoscenza del codice.
Cambiare il nome utente predefinito "admin"
Inizialmnte quando si installava WordPress, il nome utente predefinito è "admin". Dal momento che i nomi utente rappresentano la metà delle credenziali di accesso, questo ha reso più facile per gli hacker fare attacchi brute-force.
Fortunatamente, WordPress da allora ha cambiato questo e ora si richiede di scegliere un nome utente personalizzato al momento della installazione di WordPress.
Tuttavia, alcuni installatori di WordPress, ancora impostano il nome utente amministratore di default "admin". Se si nota questo, allora è probabilmente è una buona idea cambiare il vostro servizio di Hosting.
Dal momento che WordPress non consente di modificare i nomi utente di default, ci sono tre metodi che è possibile utilizzare per modificare il nome utente.
Creare un nuovo nome utente amministratore e cancellare quello vecchio.
Utilizzare il plugin Username Changer
Aggiornare il nome utente da phpMyAdmin
Nota: Sto parlando il nome utente denominato "admin", non il ruolo di amministratore.
Disabilitare File Editing
WordPress è dotato di un editor, che permette di modificare i file del tema e dei plugin direttamente dalla vostra area di amministrazione di WordPress. Nelle mani sbagliate, questa caratteristica può essere un rischio per la sicurezza, che è il motivo per cui si consiglia di disattivarlo.
Si può facilmente farlo aggiungendo il seguente codice nel file wp-config.php.
// Non consentire modifica file
define ( 'DISALLOW_FILE_EDIT', true);
In alternativa, è possibile farlo con 1-click utilizzando la funzione Hardening nel plug-in gratuito Sucuri che ti ho menzionato sopra.
Disabilita l'esecuzione dei file PHP in determinati directory di WordPress
Un altro modo per aumentare la sicurezza di WordPress è disattivando l'esecuzione di file PHP nella directory in cui non è necessario, ad esempio / wp-content / uploads /.
È possibile farlo con l'apertura di un editor di testo come Blocco note e incollare questo codice:
<Files *.php>
deny from all
</Files>
Successivamente, è necessario salvare il file come .htaccess e caricarlo su /wp-content/uploads/ sul tuo sito web utilizzando un client FTP.
In alternativa, è possibile farlo con 1-click utilizzando la funzione Hardening nel plug-in gratuito Sucuri che ti ho menzionato sopra.
Limitare tentativi di login
Per impostazione predefinita, WordPress permette agli utenti di provare il login tutte le volte che si vuole. Questo lascia il tuo sito WordPress vulnerabile ad attacchi di forza bruta. Gli hacker cercano di decifrare le password, cercando di effettuare il login con diverse combinazioni.
Questo può essere facilmente risolto limitando i tentativi di login falliti che un utente può fare. Se si utilizza il web application firewall accennato in precedenza, questo risolvere immediatamente la situazione.
Se invece non si è attivato il firewall si potrà rimediare cosi :
In primo luogo, è necessario installare e attivare il plugin LockDown.
Dopo l'attivazione, visitare la pagina Impostazioni »Login Lockdown per l'installazione del plugin.
Aggiungere Domande di sicurezza per la schermata di login di WordPress
L'aggiunta di una domanda di sicurezza per la tua schermata di login di WordPress rende ancora più difficile per qualcuno ottenere l'accesso non autorizzato.
È possibile aggiungere domande di sicurezza installando il plugin WP Security Questions . Dopo l'attivazione, è necessario visitare la pagina Security Questions Impostazioni »Sicurezza per configurare le impostazioni del plugin.
Riparare un sito WordPress dopo l’attacco di Hacker
Molti utenti WordPress non si rendono conto dell'importanza di backup e sicurezza del sito Web fino a quando il loro sito non è violato.
La pulizia di un sito WordPress può essere molto difficile e richiede tempo. Il mio primo consiglio è di lasciare che un professionista lo faccia per voi.
Gli hacker installano backdoor sui siti violati, e se queste backdoor non sono eliminate correttamente, il vostro sito sarà violato nuovamente.
Noi di TreeHost possiamo occuparci per voi della pulizia del vostro sito nel caso sia stato violato. Ma il mio consiglio più grande è di chiamarci prima per metterlo in sicurezza, se non lo avete gia fatto da soli, oppure saremo lieti di ospitarlo nel nostro hosting assicucrandovi backup e ripristino entro poche ore.
Grazie di aver letto il mio articolo sulla sicurezza di WordPress e spero vi sia stato utile, le informazioni raccolte da me sono state sperimentate personalmente su i siti dei nostri clienti e migliorate di volta in volta.
Se ti occorre una consulenza professionale per la tua sicurezza, noi offriamo nei nostri pacchetti di Assistenza tutto il necessario per garantire ottima sicurezza e prestazioni e sari seguito passo passo in tutti gli aspetti del tuo business online.