Come proteggere il tuo sito Web WordPress [L'unica guida di cui avrai mai bisogno]
Pubblicato: 2021-08-05
Gli utenti di WordPress tendono a dedicare molto tempo alla progettazione, ai contenuti e all'ottimizzazione del proprio sito Web, ma spesso dimenticano un fattore essenziale: la sicurezza del sito Web. Anche se può sembrare una questione noiosa per le persone che non sono sviluppatori, mantenere sicuro il tuo WordPress è una parte fondamentale della gestione della tua attività.
Perché potresti chiedere?
Esploriamo insieme questa domanda.
Molte persone ignorano queste informazioni perché non hanno mai avuto a che fare con un sito Web violato e quindi semplicemente non riescono a immaginare la seccatura, il tempo e gli sforzi per risolverli.
Innanzitutto, se gestisci un business online, o almeno gestisci parte della tua attività attraverso il sito web, un attacco hacker interromperà inevitabilmente il tuo processo lavorativo. Se possiedi un negozio online, non sarai in grado di vendere; se prenoti gli appuntamenti tramite il tuo sito web, non potrai farlo.
Per i negozi online ad alto volume, questo è particolarmente negativo: non solo non sarai in grado di vendere per un po', ma potresti anche perdere gli ordini. I backup del sito Web vengono in genere creati una volta al giorno e, se vieni violato ore dopo il completamento, tutti gli ordini effettuati nel frattempo andranno persi.
Se il tuo sito web è operativo, è possibile che si sia ancora verificato un hack, ad esempio, i link possono essere inseriti nel codice e puntare ad altri siti web.
Se monetizzi il tuo sito web tramite annunci, potresti sostituire i tuoi annunci con annunci di qualcun altro (e quindi visualizzare annunci da cui non otterrai entrate).
Ci sono molti casi in cui il tuo sito web potrebbe essere compromesso e ci vorranno giorni, se non settimane, per realizzarlo. Nello scenario con l'iniezione di link di spam, ciò può influire sulla tua SEO (dal momento che a Google non piacciono fortemente i link di spam). Di conseguenza, le tue classifiche di Google potrebbero risentirne e potrebbe essere necessario molto, molto tempo per riparare questo tipo di danno.
C'è anche la questione della fiducia dei clienti; le persone si preoccupano davvero quando sentono che un sito Web che utilizzano è stato violato.
L'uso dei certificati SSL ha evitato le conseguenze più gravi come la fuga di numeri di carte di credito, ma è ancora possibile ottenere alcuni dati. Gli utenti possono associare un attacco hacker al tuo sito Web con una scarsa sicurezza e decidere di interrompere del tutto l'utilizzo dei tuoi servizi.
Nel complesso, se il tuo sito Web viene violato, puoi ripararlo, ma proteggere il tuo WordPress in primo luogo è un modo molto indolore da percorrere.
Se si è già verificato un attacco, puoi utilizzare un plug-in per eseguire la scansione del tuo sito Web, ma la maggior parte dei plug-in disponibili indicherà semplicemente quali file sono stati modificati di recente e dovrai comunque pulire tutto manualmente.
Un altro modo per provare a risolvere questo problema è ripristinare un backup del tuo sito web. Questa, tuttavia, non è una soluzione garantita al 100%, soprattutto se non sei sicuro di quando il tuo WordPress è stato violato (e quindi quale copia di backup è sicuramente pulita).
Puoi anche contattare un'agenzia specializzata che offre rimozione malware e assistenza tecnica; agiranno in modo relativamente rapido e puliranno il tuo WordPress per te, ma ovviamente ha un costo.
Devi tenere a mente che anche se riesci a riparare il danno, questa situazione può (e probabilmente accadrà) di nuovo se non imposti una protezione adeguata.
La tua migliore possibilità qui è agire in modo preventivo e proteggere il tuo sito Web adottando un approccio dettagliato e completo alla protezione.
Ma cosa significa questo?
Quindi, come proteggi il tuo sito Web WordPress ? Quali passi attuabili puoi intraprendere? Siamo felici che tu l'abbia chiesto! Continua a leggere.
Il modo in cui viene solitamente scelto l'hosting web è tramite una raccomandazione di un amico, tramite l'agenzia che costruisce il sito web o tramite una ricerca online.
Quello che gli utenti inesperti cercano spesso è il prezzo più basso. Come per la maggior parte delle cose nella vita, però, un hosting affidabile e di alta qualità costerà di più e ti offrirà anche di più. I buoni provider di hosting offrono molte funzionalità di sicurezza che potrebbero fare la differenza tra il fatto che tu debba avere a che fare con un sito Web violato o meno.
D'altra parte, i provider di hosting a basso costo taglieranno gli angoli ogni volta che possono per coprire la differenza e, sfortunatamente, la sicurezza è un'area che soffre molto.
Facciamo un esempio di alcune delle funzionalità che mettiamo a disposizione dei nostri clienti. Oltre alle classiche opzioni come la protezione DDoS, i certificati SSL e i Web Application Firewall, ne abbiamo alcune che miglioreranno il livello di sicurezza del tuo sito web.
Uno di questi è Patchman, un'applicazione che può essere estremamente utile per gli utenti che non aggiornano automaticamente il proprio WordPress. Patchman esegue la scansione della tua installazione e corregge eventuali vulnerabilità note nei file core di WordPress e in numerosi plugin popolari. Invece di aggiornare automaticamente il software per correggere la vulnerabilità, che potrebbe causare problemi di dipendenza che interrompono il sito, Patchman applica la correzione per la sicurezza alla versione attualmente installata.
Puoi avere la completa certezza che le patch applicate verranno applicate in modo sicuro e senza danneggiare il tuo sito web.
Se stai optando per l'hosting condiviso, la scelta di un hosting sicuro e ad alte prestazioni è un imperativo. Molte aziende offrono anche l'hosting WordPress, che è configurato specificamente per WordPress e il tuo sito in genere funzionerà molto meglio su di esso.
Se hai un sito Web ad alto volume e scegli di aggiornare il tuo account di hosting, scegli il server dedicato completamente gestito garantirà un livello di sicurezza più elevato, rispetto alla sua controparte più economica (non gestita).
Tutto sommato, fai una ricerca approfondita sul web hosting e non lasciare che il prezzo ti guidi nella tua scelta.
Il motivo per cui ciò accade è dovuto alle vulnerabilità scoperte dagli hacker. Se sei interessato a saperne di più sull'argomento, ti consigliamo questo articolo, ma per riassumere, le vulnerabilità sono "buchi" nel codice dell'applicazione che stai utilizzando. C'è una battaglia costante tra hacker e sviluppatori di software, dove gli hacker trovano e sfruttano le vulnerabilità della sicurezza e gli sviluppatori cercano di correggerle rapidamente.
Come altre applicazioni CMS, WordPress passa attraverso cicli di aggiornamenti, in cui vengono aggiunte nuove funzionalità e gli sviluppatori lavorano per correggere eventuali vulnerabilità note. Ogni anno, di solito ci sono 1-3 aggiornamenti principali e molti aggiornamenti secondari, tutti critici per la sicurezza, poiché contengono quasi sempre patch di sicurezza.
Ma aspetta: se hai qualcosa come Patchman, perché devi ancora aggiornare?
Patchman copre i file core di WordPress e alcuni dei plug-in più popolari, ma molti plug-in non vengono patchati tramite l'app. Ciò significa che tutti quei plug-in, se non aggiornati, diventeranno facilmente un punto di ingresso per gli hacker per fare ciò che vogliono sul tuo sito web.
Mantenere aggiornato il tuo WordPress è abbastanza facile.
Innanzitutto, tutte le versioni successive alla 5.6 (rilasciata a dicembre 2020) hanno gli aggiornamenti automatici abilitati, il che significa che non devi fare nulla. Se non è il caso per qualche motivo (diciamo che il tuo sviluppatore li ha disabilitati), ci sono un paio di modi in cui puoi abilitare i tuoi aggiornamenti automatici.
Uno è tramite Softaculous, l'applicazione spesso utilizzata dagli utenti di cPanel per installare WordPress sui propri server. Il WordPress Manager di Softaculous ti permette di configurare gli aggiornamenti automatici; puoi selezionare di aggiornare automaticamente solo gli aggiornamenti minori o anche quelli maggiori.
Puoi inoltre scegliere di aggiornare automaticamente anche i tuoi plugin e temi. Soprattutto, sarà necessario un backup prima di qualsiasi aggiornamento automatico nel caso in cui sia necessario ripristinarlo.
Un'altra opzione, se sei un po' abile nel modificare il tuo codice, è usare la configurazione nativa degli aggiornamenti automatici di WordPress: scopri di più su questo direttamente sulla KB di WordPress.
Molte persone usano il nome utente "admin" poiché appare per impostazione predefinita quando si utilizza un'applicazione software come Softaculous per installare il proprio WordPress.
Non utilizzare il nome utente predefinito , rendendo le cose più facili per gli hacker: scegli un nome utente diverso, come il tuo indirizzo e-mail. Se ti è stato consegnato un utente già creato con questo nome utente, crea un nuovo amministratore ed elimina quello esistente.
Lo stesso vale per la tua password; più è forte, meglio è. Scegli una password lunga che includa cifre e caratteri speciali o, ancora meglio, generane una casuale.
Se sei preoccupato di dimenticare la tua password, prova a trovare un sistema che possa aiutarti a ricordare. Ad alcune persone piace utilizzare una combinazione statica di caratteri + il nome del sito Web come elemento di differenziazione ( Jack1990Apple!), altri scelgono password associative.
Naturalmente, puoi semplicemente salvare i tuoi dati di accesso e non preoccuparti se li ricorderai o meno. Tuttavia, non utilizzare il browser per memorizzare i dati di accesso! Questa è un'opzione piuttosto pericolosa (e comunemente usata).
Se desideri memorizzare i tuoi dati di accesso in modo da non doverli digitare ogni volta, usa un gestore di password come Lastpass: hanno un piano gratuito e i tuoi dati di accesso saranno il più sicuri possibile. Con il password manager devi ricordare solo 1 password (quella principale) e memorizzare anche i dati della carta di credito.
I clienti del servizio di hosting condiviso di Kualo sono anche protetti automaticamente dagli attacchi di accesso di forza bruta, con tentativi di forza bruta limitati e bloccati.
Ciò significa che anche se gli hacker hanno i tuoi dettagli di accesso esatti, non saranno comunque in grado di accedere senza tale autenticazione aggiuntiva.
Puoi installare un plug-in come WP 2FA e costringere altri utenti del tuo sito Web a usarlo (soprattutto se hanno diritti di amministratore o editore). Ricordati di scaricare sempre i tuoi codici di backup e di conservarli in un luogo sicuro, nel caso perdessi l'accesso al tuo telefono.
Ad ogni modo, se lo lasci in questo modo, rendi molto più facile per gli hacker identificare l'ingresso al tuo back-end e iniziare un attacco di forza bruta.
Modifica l'URL (slug) della tua pagina di accesso utilizzando un plug-in come ThemeMyLogin o cerca un plug-in di sicurezza che includa più funzionalità che abbiamo elencato (2FA, limite di tentativi di accesso, ecc.).
C'è anche un eccellente articolo di WPBeginner su come modificare manualmente l'URL di accesso, ma se non ti senti a tuo agio nella gestione del codice, è meglio non andarci.
D'altra parte, ogni plugin che installi è un altro pezzo di codice che deve essere curato (cioè aggiornato). Una moltitudine di plug-in aumenta anche il rischio di incompatibilità - questo è quando due o più plug-in non possono funzionare insieme - quindi è necessario evitare di installare plug-in di cui si può fare a meno.
Alcuni dei migliori plugin di sicurezza uniranno diverse funzionalità, come accennato in precedenza, riducendo così il numero di plugin che dovrai installare per fare tutte le cose di cui stiamo parlando. Alcuni ottimi esempi sono:
Se più utenti con diritti di amministratore lavorano sul tuo sito Web, questo è un modo eccellente per tenere traccia di ciò che viene fatto.
Dal punto di vista della sicurezza, può mostrarti varie informazioni che possono essere molto utili, dai tentativi di accesso falliti alle modifiche ai file e alle impostazioni del sito WordPress. Se sei una persona a cui piace eseguire la manutenzione del proprio sito Web, questa funzione è un must.
Un'ottima opzione (e gratuita) è il registro delle attività WP, un plug-in che esiste da anni ed è anche noto sia per il registro dettagliato che per la semplicità dell'interfaccia.
Una volta, era richiesto un SSL per i siti Web che dovevano essere protetti per transazioni specifiche come i pagamenti. Al giorno d'oggi, tuttavia, non importa se stai elaborando pagamenti sul tuo sito web o meno. SSL è obbligatorio per qualsiasi sito Web che elabora informazioni sensibili come password, nomi, indirizzi, ecc.
I meccanismi fuori dalle quinte di questo sono i seguenti: senza un SSL sul tuo sito web, tutti i dati trasferiti tra il browser web dell'utente e il tuo server web vengono consegnati in testo normale che gli hacker possono leggere.
Una volta installato un SSL, le informazioni sensibili vengono crittografate prima di essere trasferite tra le due parti: il browser Web dell'utente e il server, proteggendole da terze parti con intenti dannosi.
Google ha riconosciuto l'importanza di un certificato SSL da tempo e ha iniziato a mostrare nelle prime posizioni siti Web in grado di offrire un trasferimento crittografato di informazioni.
Inoltre, nel 2018, Google ha avvertito tutti i proprietari di siti Web che ogni sito che non dispone di SSL attivo sarebbe stato visualizzato come "Non sicuro" nell'URL. Questo rende il certificato SSL un must assoluto; la buona notizia è che è abbastanza facile ottenere e, per di più, in alcune società di hosting (tra cui Kualo!) un SSL è incluso gratuitamente.
Molte volte, quando si installa un nuovo tema/plugin o si lavora attivamente sul proprio sito, qualcosa potrebbe rompersi, quindi avere un backup sul posto è senza dubbio un must.
Mentre i provider di hosting più affidabili avranno quei backup giornalieri impostati per te, non è una cattiva idea imparare a eseguirli manualmente o utilizzare un plug-in di backup come UpdraftPlus o BackupBuddy. Entrambi hanno la possibilità di caricare i backup del tuo sito Web su servizi cloud come Amazon o esportarli localmente.
Puoi anche utilizzare la funzione Softaculous Backup che è facilmente accessibile nel tuo cPanel. La buona notizia è che offre la massima semplicità e non prevede costi aggiuntivi. La cattiva notizia è che, a differenza delle sue controparti, caricherà i backup sul tuo account di hosting, quindi utilizzerà spazio su disco ed è anche archiviato nello stesso posto del sito Web stesso. Se dovesse succedere qualcosa al tuo account (ad esempio, eliminare i file per errore o un'intrusione manuale di un hacker), anche la tua copia di backup potrebbe essere compromessa.
Ricorda sempre di creare una copia di backup se hai intenzione di lavorare sul tuo WordPress e non sei sicuro del risultato finale!
Se gestisci un sito di eCommerce ad alto traffico, i backup orari potrebbero essere la scelta migliore per te. Come accennato in precedenza, i siti Web che generano molti ordini possono subire perdite significative nel caso in cui debbano ripristinare un backup eseguito diverse ore prima.
Puoi farlo aggiungendo un pezzo di codice al tuo file wp-config.php:
Puoi farlo aprendo un editor di testo come Blocco note e incollando questo codice:
<File *.php>
negato da tutti
</File>
Salva questo file come .htaccess e caricalo nelle cartelle /wp-content/uploads/ sul tuo sito web usando un client FTP o tramite il tuo File Manager in cPanel.
Ad esempio, se un hacker volesse provare 1000 password diverse sui tuoi siti Web, dovrebbe effettuare 1000 tentativi di accesso separati che verranno rilevati dal plug-in di sicurezza o dal firewall. Tuttavia, se mantieni abilitato XML-RPC, un hacker potrebbe utilizzare la funzione system.multicall e provare 1000 password diverse con 30-60 richieste.
Ecco perché consigliamo vivamente di disabilitarlo e puoi farlo semplicemente aggiungendo un codice nel tuo file .htaccess:
Alla riga 5 dovresti inserire il tuo IP se è l'unico da cui desideri conservare XML-RPC (altrimenti, eliminalo).
Nota: se sei uno dei nostri utenti, non è necessario eseguire questo passaggio, poiché il tuo XMLRPC sarà protetto dalla funzione di protezione della forza bruta di LiteSpeed.
Un ottimo modo per affrontare questo problema è impedire ai bot abusivi di ottenere l'accesso al tuo WordPress. Inserisci il codice seguente nel file .htaccess.
Concedi a qualsiasi utente del tuo sito Web il minor numero di accessi possibile. Se hai uno scrittore di contenuti, ad esempio, non è necessario fornire loro un account amministratore: un utente Editor andrà benissimo. Non condividere il tuo account a meno che non sia assolutamente necessario e, se lo fai, cambia la tua password non appena chi l'hai data non ne ha più bisogno.
Non condividere anche i tuoi dati di hosting a meno che non sia assolutamente necessario.
Non utilizzare temi e plug-in WordPress annullati (scaricati illegalmente).
Ad un certo punto, potrebbe diventare una tentazione risparmiare un po' di soldi e scaricare un plugin o un tema senza licenza. In questo caso, pagherai in un altro modo, molto probabilmente posizionando una backdoor sul tuo WordPress. Gli hacker spesso nascondono link di spam o codice dannoso all'interno degli elementi senza licenza e li offrono per il download gratuito.
Evitali ad ogni costo e se commissioni un sito Web o una funzionalità, assicurati di confermare con lo sviluppatore che tutto sia concesso in licenza correttamente.
Ritieni che qualcuno dei consigli offerti sia difficile da seguire? Ci siamo persi qualcosa di importante? Scrivici nei commenti, ci piacerebbe sentire i tuoi pensieri!
Oppure, se sei pronto per passare all'hosting WordPress super sicuro di Kualo, controlla i nostri piani qui.
Perché potresti chiedere?
Esploriamo insieme questa domanda.
Perché è importante proteggere il tuo WordPress?
Come altre cose legate alla sicurezza nella vita, la sicurezza del sito web è un male necessario. Di solito, quando incarichi uno sviluppatore o un'agenzia di creare un sito Web per te, viene visualizzato il tema della sicurezza. Gli esperti conoscono in prima persona la frequenza con cui i siti Web vengono violati, in particolare i siti Web WordPress a causa della popolarità della piattaforma. In genere ti consiglieranno di proteggere il tuo sito Web in vari modi e potrebbero consigliarti alcune pratiche di sicurezza ben note.Molte persone ignorano queste informazioni perché non hanno mai avuto a che fare con un sito Web violato e quindi semplicemente non riescono a immaginare la seccatura, il tempo e gli sforzi per risolverli.
Innanzitutto, se gestisci un business online, o almeno gestisci parte della tua attività attraverso il sito web, un attacco hacker interromperà inevitabilmente il tuo processo lavorativo. Se possiedi un negozio online, non sarai in grado di vendere; se prenoti gli appuntamenti tramite il tuo sito web, non potrai farlo.
Per i negozi online ad alto volume, questo è particolarmente negativo: non solo non sarai in grado di vendere per un po', ma potresti anche perdere gli ordini. I backup del sito Web vengono in genere creati una volta al giorno e, se vieni violato ore dopo il completamento, tutti gli ordini effettuati nel frattempo andranno persi.
Se il tuo sito web è operativo, è possibile che si sia ancora verificato un hack, ad esempio, i link possono essere inseriti nel codice e puntare ad altri siti web.
Se monetizzi il tuo sito web tramite annunci, potresti sostituire i tuoi annunci con annunci di qualcun altro (e quindi visualizzare annunci da cui non otterrai entrate).
Ci sono molti casi in cui il tuo sito web potrebbe essere compromesso e ci vorranno giorni, se non settimane, per realizzarlo. Nello scenario con l'iniezione di link di spam, ciò può influire sulla tua SEO (dal momento che a Google non piacciono fortemente i link di spam). Di conseguenza, le tue classifiche di Google potrebbero risentirne e potrebbe essere necessario molto, molto tempo per riparare questo tipo di danno.
C'è anche la questione della fiducia dei clienti; le persone si preoccupano davvero quando sentono che un sito Web che utilizzano è stato violato.
L'uso dei certificati SSL ha evitato le conseguenze più gravi come la fuga di numeri di carte di credito, ma è ancora possibile ottenere alcuni dati. Gli utenti possono associare un attacco hacker al tuo sito Web con una scarsa sicurezza e decidere di interrompere del tutto l'utilizzo dei tuoi servizi.
Nel complesso, se il tuo sito Web viene violato, puoi ripararlo, ma proteggere il tuo WordPress in primo luogo è un modo molto indolore da percorrere.
Riesci a riparare un WordPress hackerato?
Se non hai familiarità con il processo, riparare un sito Web WordPress violato può essere una vera lotta. La ripulitura del codice infetto richiede un tipo specifico di conoscenza. A differenza di molti altri problemi tecnici, sarebbe difficile per Google una soluzione rapida a causa della natura variabile degli attacchi degli hacker.Se si è già verificato un attacco, puoi utilizzare un plug-in per eseguire la scansione del tuo sito Web, ma la maggior parte dei plug-in disponibili indicherà semplicemente quali file sono stati modificati di recente e dovrai comunque pulire tutto manualmente.
Un altro modo per provare a risolvere questo problema è ripristinare un backup del tuo sito web. Questa, tuttavia, non è una soluzione garantita al 100%, soprattutto se non sei sicuro di quando il tuo WordPress è stato violato (e quindi quale copia di backup è sicuramente pulita).
Puoi anche contattare un'agenzia specializzata che offre rimozione malware e assistenza tecnica; agiranno in modo relativamente rapido e puliranno il tuo WordPress per te, ma ovviamente ha un costo.
Devi tenere a mente che anche se riesci a riparare il danno, questa situazione può (e probabilmente accadrà) di nuovo se non imposti una protezione adeguata.
La tua migliore possibilità qui è agire in modo preventivo e proteggere il tuo sito Web adottando un approccio dettagliato e completo alla protezione.
Ma cosa significa questo?
Quindi, come proteggi il tuo sito Web WordPress ? Quali passi attuabili puoi intraprendere? Siamo felici che tu l'abbia chiesto! Continua a leggere.
Passaggi attuabili per proteggere il tuo sito Web WordPress
1. Scegli un buon provider di hosting
Prima di concentrarsi su qualsiasi altro passaggio di sicurezza, è fondamentale scegliere una solida base per il tuo sito web. Lavorare con un buon provider di hosting in grado di offrirti più livelli di sicurezza è il modo più semplice per proteggere il tuo sito Web da futuri attacchi informatici. La scelta di un provider di hosting web è raramente qualcosa che le persone pianificano meticolosamente, soprattutto se non gestiscono attività online da anni.Il modo in cui viene solitamente scelto l'hosting web è tramite una raccomandazione di un amico, tramite l'agenzia che costruisce il sito web o tramite una ricerca online.
Quello che gli utenti inesperti cercano spesso è il prezzo più basso. Come per la maggior parte delle cose nella vita, però, un hosting affidabile e di alta qualità costerà di più e ti offrirà anche di più. I buoni provider di hosting offrono molte funzionalità di sicurezza che potrebbero fare la differenza tra il fatto che tu debba avere a che fare con un sito Web violato o meno.
D'altra parte, i provider di hosting a basso costo taglieranno gli angoli ogni volta che possono per coprire la differenza e, sfortunatamente, la sicurezza è un'area che soffre molto.
Facciamo un esempio di alcune delle funzionalità che mettiamo a disposizione dei nostri clienti. Oltre alle classiche opzioni come la protezione DDoS, i certificati SSL e i Web Application Firewall, ne abbiamo alcune che miglioreranno il livello di sicurezza del tuo sito web.
Uno di questi è Patchman, un'applicazione che può essere estremamente utile per gli utenti che non aggiornano automaticamente il proprio WordPress. Patchman esegue la scansione della tua installazione e corregge eventuali vulnerabilità note nei file core di WordPress e in numerosi plugin popolari. Invece di aggiornare automaticamente il software per correggere la vulnerabilità, che potrebbe causare problemi di dipendenza che interrompono il sito, Patchman applica la correzione per la sicurezza alla versione attualmente installata.
Puoi avere la completa certezza che le patch applicate verranno applicate in modo sicuro e senza danneggiare il tuo sito web.
Se stai optando per l'hosting condiviso, la scelta di un hosting sicuro e ad alte prestazioni è un imperativo. Molte aziende offrono anche l'hosting WordPress, che è configurato specificamente per WordPress e il tuo sito in genere funzionerà molto meglio su di esso.
Se hai un sito Web ad alto volume e scegli di aggiornare il tuo account di hosting, scegli il server dedicato completamente gestito garantirà un livello di sicurezza più elevato, rispetto alla sua controparte più economica (non gestita).
Tutto sommato, fai una ricerca approfondita sul web hosting e non lasciare che il prezzo ti guidi nella tua scelta.
2. Mantieni aggiornato il tuo WordPress
Questo è probabilmente il primo consiglio che sentirai dal tuo sviluppatore web: tieni tutto aggiornato! Molti proprietari di WordPress ignorano questo di regola, consapevolmente o meno, e diventano bersagli di attacchi dannosi.Il motivo per cui ciò accade è dovuto alle vulnerabilità scoperte dagli hacker. Se sei interessato a saperne di più sull'argomento, ti consigliamo questo articolo, ma per riassumere, le vulnerabilità sono "buchi" nel codice dell'applicazione che stai utilizzando. C'è una battaglia costante tra hacker e sviluppatori di software, dove gli hacker trovano e sfruttano le vulnerabilità della sicurezza e gli sviluppatori cercano di correggerle rapidamente.
Come altre applicazioni CMS, WordPress passa attraverso cicli di aggiornamenti, in cui vengono aggiunte nuove funzionalità e gli sviluppatori lavorano per correggere eventuali vulnerabilità note. Ogni anno, di solito ci sono 1-3 aggiornamenti principali e molti aggiornamenti secondari, tutti critici per la sicurezza, poiché contengono quasi sempre patch di sicurezza.
Ma aspetta: se hai qualcosa come Patchman, perché devi ancora aggiornare?
Patchman copre i file core di WordPress e alcuni dei plug-in più popolari, ma molti plug-in non vengono patchati tramite l'app. Ciò significa che tutti quei plug-in, se non aggiornati, diventeranno facilmente un punto di ingresso per gli hacker per fare ciò che vogliono sul tuo sito web.
Mantenere aggiornato il tuo WordPress è abbastanza facile.
Innanzitutto, tutte le versioni successive alla 5.6 (rilasciata a dicembre 2020) hanno gli aggiornamenti automatici abilitati, il che significa che non devi fare nulla. Se non è il caso per qualche motivo (diciamo che il tuo sviluppatore li ha disabilitati), ci sono un paio di modi in cui puoi abilitare i tuoi aggiornamenti automatici.
Uno è tramite Softaculous, l'applicazione spesso utilizzata dagli utenti di cPanel per installare WordPress sui propri server. Il WordPress Manager di Softaculous ti permette di configurare gli aggiornamenti automatici; puoi selezionare di aggiornare automaticamente solo gli aggiornamenti minori o anche quelli maggiori.
Puoi inoltre scegliere di aggiornare automaticamente anche i tuoi plugin e temi. Soprattutto, sarà necessario un backup prima di qualsiasi aggiornamento automatico nel caso in cui sia necessario ripristinarlo.
Un'altra opzione, se sei un po' abile nel modificare il tuo codice, è usare la configurazione nativa degli aggiornamenti automatici di WordPress: scopri di più su questo direttamente sulla KB di WordPress.
3. Scegli un nome utente e una password sicuri
I tentativi di hacking più comuni di WordPress includono l'utilizzo dei dettagli di accesso rubati. Stiamo parlando del cosiddetto attacco Brute Force, un tipo efficiente e diretto di attacchi informatici, in cui gli hacker lasciano che un computer provi diverse combinazioni di nomi utente e password finché non trovano quelle giuste.Molte persone usano il nome utente "admin" poiché appare per impostazione predefinita quando si utilizza un'applicazione software come Softaculous per installare il proprio WordPress.
Non utilizzare il nome utente predefinito , rendendo le cose più facili per gli hacker: scegli un nome utente diverso, come il tuo indirizzo e-mail. Se ti è stato consegnato un utente già creato con questo nome utente, crea un nuovo amministratore ed elimina quello esistente.
Lo stesso vale per la tua password; più è forte, meglio è. Scegli una password lunga che includa cifre e caratteri speciali o, ancora meglio, generane una casuale.
Se sei preoccupato di dimenticare la tua password, prova a trovare un sistema che possa aiutarti a ricordare. Ad alcune persone piace utilizzare una combinazione statica di caratteri + il nome del sito Web come elemento di differenziazione ( Jack1990Apple!), altri scelgono password associative.
Naturalmente, puoi semplicemente salvare i tuoi dati di accesso e non preoccuparti se li ricorderai o meno. Tuttavia, non utilizzare il browser per memorizzare i dati di accesso! Questa è un'opzione piuttosto pericolosa (e comunemente usata).
Se desideri memorizzare i tuoi dati di accesso in modo da non doverli digitare ogni volta, usa un gestore di password come Lastpass: hanno un piano gratuito e i tuoi dati di accesso saranno il più sicuri possibile. Con il password manager devi ricordare solo 1 password (quella principale) e memorizzare anche i dati della carta di credito.
4. Limita i tentativi di accesso
Un altro modo per prevenire attacchi di forza bruta (di nuovo, cercheranno di irrompere indovinando i tuoi dettagli) è semplicemente limitare il numero di tentativi di accesso. Fortunatamente, questa è una cosa piuttosto facile da fare; installa semplicemente un plug-in come Loginizer o, se stai utilizzando un plug-in di sicurezza, controlla se non offre questa funzionalità.I clienti del servizio di hosting condiviso di Kualo sono anche protetti automaticamente dagli attacchi di accesso di forza bruta, con tentativi di forza bruta limitati e bloccati.
5. Usa 2FA (autenticazione a due fattori)
L'autenticazione a due fattori è diventata in qualche modo un gold standard negli ultimi due anni. In effetti, molti siti Web affidabili costringeranno i propri utenti a implementare 2FA sul proprio account come uno dei modi più affidabili per proteggerlo. Il modo in cui funziona è che richiederà un'autenticazione aggiuntiva (di solito tramite il telefono) ogni volta che accedi da un dispositivo non riconosciuto.Ciò significa che anche se gli hacker hanno i tuoi dettagli di accesso esatti, non saranno comunque in grado di accedere senza tale autenticazione aggiuntiva.
Puoi installare un plug-in come WP 2FA e costringere altri utenti del tuo sito Web a usarlo (soprattutto se hanno diritti di amministratore o editore). Ricordati di scaricare sempre i tuoi codici di backup e di conservarli in un luogo sicuro, nel caso perdessi l'accesso al tuo telefono.
6. Modifica l'URL della tua pagina di accesso
Proprio come il nome utente "admin", un altro noto dettaglio di WordPress quando si tratta di accedere all'accesso è la sua pagina di accesso. Quello predefinito è "www.yourwebsite.com/wp-login.php" o "www.yourwebsite.com/wp-admin"Ad ogni modo, se lo lasci in questo modo, rendi molto più facile per gli hacker identificare l'ingresso al tuo back-end e iniziare un attacco di forza bruta.
Modifica l'URL (slug) della tua pagina di accesso utilizzando un plug-in come ThemeMyLogin o cerca un plug-in di sicurezza che includa più funzionalità che abbiamo elencato (2FA, limite di tentativi di accesso, ecc.).
C'è anche un eccellente articolo di WPBeginner su come modificare manualmente l'URL di accesso, ma se non ti senti a tuo agio nella gestione del codice, è meglio non andarci.
7. Installa un plug-in di sicurezza
Al momento della stesura di questo articolo, sono disponibili più di 50 milioni di plugin, sia gratuiti che a pagamento. Sarebbe un peccato non sfruttare l'ampia base di plugin in grado di proteggere la tua installazione da attacchi dannosi.D'altra parte, ogni plugin che installi è un altro pezzo di codice che deve essere curato (cioè aggiornato). Una moltitudine di plug-in aumenta anche il rischio di incompatibilità - questo è quando due o più plug-in non possono funzionare insieme - quindi è necessario evitare di installare plug-in di cui si può fare a meno.
Alcuni dei migliori plugin di sicurezza uniranno diverse funzionalità, come accennato in precedenza, riducendo così il numero di plugin che dovrai installare per fare tutte le cose di cui stiamo parlando. Alcuni ottimi esempi sono:
- Sicurezza di Wordfence: un'altra opzione prevalente ricca di funzionalità. Ottimo per gli utenti con più siti Web tramite il suo centrale Wordfence, il plug-in controlla WordPress per diversi rischi per la sicurezza come codice dannoso, iniezioni di spam e persino URL errati
- WP Cerber Security: un ottimo plugin con una potente combinazione di opzioni, molte delle quali sono consigliate in questo articolo. In effetti, questo è probabilmente uno dei plugin con l'elenco più completo di funzionalità di sicurezza.
- All in One WP Security: questo plugin è molto popolare tra gli utenti meno esperti dal punto di vista tecnico e non esiste nemmeno una versione a pagamento, quindi nessuna restrizione di sorta. Richiederà una configurazione più manuale, ma la sua semplicità garantisce una curva di apprendimento relativamente piatta.
8. Installa un plug-in Registro attività
Questo è un consiglio accurato che può essere utile in molte occasioni. Il plug-in Registro attività registrerà e mostrerà i registri di qualsiasi attività eseguita da diversi utenti sul tuo sito web. Pensala come una sorta di telecamera a circuito chiuso, che tiene d'occhio tutto ciò che accade sul tuo sito web (in formato testo, ovviamente!)Se più utenti con diritti di amministratore lavorano sul tuo sito Web, questo è un modo eccellente per tenere traccia di ciò che viene fatto.
Dal punto di vista della sicurezza, può mostrarti varie informazioni che possono essere molto utili, dai tentativi di accesso falliti alle modifiche ai file e alle impostazioni del sito WordPress. Se sei una persona a cui piace eseguire la manutenzione del proprio sito Web, questa funzione è un must.
Un'ottima opzione (e gratuita) è il registro delle attività WP, un plug-in che esiste da anni ed è anche noto sia per il registro dettagliato che per la semplicità dell'interfaccia.
9. Installa un certificato SSL
Questo dovrebbe essere ovvio, ma includiamo questa raccomandazione per andare sul sicuro.Una volta, era richiesto un SSL per i siti Web che dovevano essere protetti per transazioni specifiche come i pagamenti. Al giorno d'oggi, tuttavia, non importa se stai elaborando pagamenti sul tuo sito web o meno. SSL è obbligatorio per qualsiasi sito Web che elabora informazioni sensibili come password, nomi, indirizzi, ecc.
I meccanismi fuori dalle quinte di questo sono i seguenti: senza un SSL sul tuo sito web, tutti i dati trasferiti tra il browser web dell'utente e il tuo server web vengono consegnati in testo normale che gli hacker possono leggere.
Una volta installato un SSL, le informazioni sensibili vengono crittografate prima di essere trasferite tra le due parti: il browser Web dell'utente e il server, proteggendole da terze parti con intenti dannosi.
Google ha riconosciuto l'importanza di un certificato SSL da tempo e ha iniziato a mostrare nelle prime posizioni siti Web in grado di offrire un trasferimento crittografato di informazioni.
Inoltre, nel 2018, Google ha avvertito tutti i proprietari di siti Web che ogni sito che non dispone di SSL attivo sarebbe stato visualizzato come "Non sicuro" nell'URL. Questo rende il certificato SSL un must assoluto; la buona notizia è che è abbastanza facile ottenere e, per di più, in alcune società di hosting (tra cui Kualo!) un SSL è incluso gratuitamente.
10. Imposta i backup
Sebbene i backup potrebbero non funzionare al 100% se e quando è necessario risolvere un problema con WordPress, sono la tua prima linea di difesa. Un backup di un sito Web può tornare utile non solo quando c'è un attacco di hacker, ma anche quando ci sono problemi tecnici.Molte volte, quando si installa un nuovo tema/plugin o si lavora attivamente sul proprio sito, qualcosa potrebbe rompersi, quindi avere un backup sul posto è senza dubbio un must.
Mentre i provider di hosting più affidabili avranno quei backup giornalieri impostati per te, non è una cattiva idea imparare a eseguirli manualmente o utilizzare un plug-in di backup come UpdraftPlus o BackupBuddy. Entrambi hanno la possibilità di caricare i backup del tuo sito Web su servizi cloud come Amazon o esportarli localmente.
Puoi anche utilizzare la funzione Softaculous Backup che è facilmente accessibile nel tuo cPanel. La buona notizia è che offre la massima semplicità e non prevede costi aggiuntivi. La cattiva notizia è che, a differenza delle sue controparti, caricherà i backup sul tuo account di hosting, quindi utilizzerà spazio su disco ed è anche archiviato nello stesso posto del sito Web stesso. Se dovesse succedere qualcosa al tuo account (ad esempio, eliminare i file per errore o un'intrusione manuale di un hacker), anche la tua copia di backup potrebbe essere compromessa.
Ricorda sempre di creare una copia di backup se hai intenzione di lavorare sul tuo WordPress e non sei sicuro del risultato finale!
Se gestisci un sito di eCommerce ad alto traffico, i backup orari potrebbero essere la scelta migliore per te. Come accennato in precedenza, i siti Web che generano molti ordini possono subire perdite significative nel caso in cui debbano ripristinare un backup eseguito diverse ore prima.
Passaggi più attuabili per proteggere il tuo sito Web WordPress [Avanzato]
I suggerimenti che troverai in questa sezione richiedono una conoscenza un po' più avanzata nella gestione del tuo WordPress e sicurezza nello scrivere direttamente nel suo codice. Se non ti senti a tuo agio nell'eseguire questi passaggi, è consigliabile consultare uno sviluppatore di WordPress che potrebbe aiutarti a eseguirli.11. Disabilita la modifica dei file
WordPress viene fornito con un editor di codice integrato, che ti consente di modificare i file del tema e dei plug-in dal tuo pannello di amministrazione. Se la persona sbagliata accede al tuo pannello di amministrazione, potrebbe essere un enorme rischio per la sicurezza. Ecco perché consigliamo di disabilitare questa funzione.Puoi farlo aggiungendo un pezzo di codice al tuo file wp-config.php:
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12. Disabilita l'esecuzione di file PHP per specifiche directory di WordPress
Aggiungi un altro livello di protezione disabilitando l'esecuzione di file PHP nelle directory in cui non è necessario. Il motivo per cui vuoi farlo è perché gli hacker utilizzano spesso la funzione per caricare file di accesso backdoor o malware sul tuo sito WordPress. Questo è un passaggio pericoloso se non sai cosa stai facendo poiché il tuo sito potrebbe smettere di funzionare, quindi procedi con attenzione! La directory che stai cercando è /wp-content/uploads/Puoi farlo aprendo un editor di testo come Blocco note e incollando questo codice:
<File *.php>
negato da tutti
</File>
Salva questo file come .htaccess e caricalo nelle cartelle /wp-content/uploads/ sul tuo sito web usando un client FTP o tramite il tuo File Manager in cPanel.
13. Disabilita XML-RPC
Una volta che XML-RPC è stato utilizzato per connettere il tuo sito WordPress con app Web e mobili, ma poiché WordPress ha rilasciato la propria API REST, XML-RPC è diventato una responsabilità anziché una funzionalità utile.Ad esempio, se un hacker volesse provare 1000 password diverse sui tuoi siti Web, dovrebbe effettuare 1000 tentativi di accesso separati che verranno rilevati dal plug-in di sicurezza o dal firewall. Tuttavia, se mantieni abilitato XML-RPC, un hacker potrebbe utilizzare la funzione system.multicall e provare 1000 password diverse con 30-60 richieste.
Ecco perché consigliamo vivamente di disabilitarlo e puoi farlo semplicemente aggiungendo un codice nel tuo file .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>Alla riga 5 dovresti inserire il tuo IP se è l'unico da cui desideri conservare XML-RPC (altrimenti, eliminalo).
Nota: se sei uno dei nostri utenti, non è necessario eseguire questo passaggio, poiché il tuo XMLRPC sarà protetto dalla funzione di protezione della forza bruta di LiteSpeed.
14. Limita l'accesso ai bot
Mentre il tuo sito web sarà sempre scansionato da alcuni bot, i robot dannosi possono creare fastidiosi disturbi. Potrebbero rallentare il tuo flusso di lavoro e/o interrompere la funzionalità del tuo sito WordPress, causando così una perdita di utenti.Un ottimo modo per affrontare questo problema è impedire ai bot abusivi di ottenere l'accesso al tuo WordPress. Inserisci il codice seguente nel file .htaccess.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_outSuggerimenti non tecnici per mantenere sicuro il tuo WordPress
Utilizzare il principio del privilegio minimo (POLP)Concedi a qualsiasi utente del tuo sito Web il minor numero di accessi possibile. Se hai uno scrittore di contenuti, ad esempio, non è necessario fornire loro un account amministratore: un utente Editor andrà benissimo. Non condividere il tuo account a meno che non sia assolutamente necessario e, se lo fai, cambia la tua password non appena chi l'hai data non ne ha più bisogno.
Non condividere anche i tuoi dati di hosting a meno che non sia assolutamente necessario.
Non utilizzare temi e plug-in WordPress annullati (scaricati illegalmente).
Ad un certo punto, potrebbe diventare una tentazione risparmiare un po' di soldi e scaricare un plugin o un tema senza licenza. In questo caso, pagherai in un altro modo, molto probabilmente posizionando una backdoor sul tuo WordPress. Gli hacker spesso nascondono link di spam o codice dannoso all'interno degli elementi senza licenza e li offrono per il download gratuito.
Evitali ad ogni costo e se commissioni un sito Web o una funzionalità, assicurati di confermare con lo sviluppatore che tutto sia concesso in licenza correttamente.
Pensieri finali
Considera il tempo (e i fondi) che spenderai per proteggere il tuo WordPress come un altro investimento aziendale critico. Riparare un sito Web violato ti costerà molto di più: nel caso più sfortunato, potrebbe persino costarti la tua attività. Seguire questa guida non garantirà una protezione del 100% contro gli attacchi dannosi, ma ridurrà significativamente le possibilità che ciò accada.Ritieni che qualcuno dei consigli offerti sia difficile da seguire? Ci siamo persi qualcosa di importante? Scrivici nei commenti, ci piacerebbe sentire i tuoi pensieri!
Oppure, se sei pronto per passare all'hosting WordPress super sicuro di Kualo, controlla i nostri piani qui.