Come proteggere il tuo sito WordPress in 8 passaggi
Richiedi un'analisi del tuo sitoChiudi gli hackers fuori dal tuo sito! Segui questi 8 semplici passaggi per mettere al riparo il tuo sito web da sorprese non desiderate…
Le minacce alla sicurezza non sono esclusive di WordPress.: sappi che ogni piattaforma, privata o open source, è sotto attacco 24 ore su 24, 7 giorni su 7. Per questo è importante occuparsi di sicurezza.
Fortunatamente, la community di WordPress fornisce molte soluzioni per semplificare il lavoro.
Di seguito sono riportati alcuni passaggi chiave da eseguire per proteggere un sito WordPress dalle minacce alla sicurezza.
Come proteggere un sito WordPress
Esistono otto azioni fondamentali che tutti i gestori di WordPress dovrebbero prendere in considerazione per mitigare attività dannose e vulnerabilità. Seguire queste best practice contribuirà a garantire che un sito WordPress sia pronto per affrontare l’assalto degli hacker che sondano i siti Web ogni giorno:
Usa HTTPS.
Non utilizzare la parola “admin” come nome utente amministratore.
Imponi l’uso di password complesse.
Aggiorna plugin e temi.
Piano di backup del sito web.
Ridurre al minimo l’uso dei plugin.
Autenticazione a due fattori.
Installa un firewall WordPress e uno scanner di vulnerabilità.
Esaminiamo ognuno di questi in modo un po’ più dettagliato.
1. Aggiungi HTTPS/SSL
Ormai la maggior parte dei siti utilizza HTTPS . Ma se il tuo sito non utilizza HTTPS, verifica con il tuo host web l’aggiunta di un certificato SSL gratuito. Basta impostare l’indirizzo WordPress e l’indirizzo del sito utilizzando https:// . Questa operazione può essere eseguita nella scheda Impostazioni generali.
Se il sito sta passando da uno stato non sicuro a uno stato sicuro, vale la pena esaminare il plug-in Really Simple SSL (utilizzato da oltre 5 milioni di siti Web), poiché semplifica davvero la conversione in HTTPS gestendo i reindirizzamenti e altre attività correlate.
Really Simple SSL aiuta anche a mitigare le minacce alla sicurezza come il clickjacking e gli attacchi di contraffazione tra siti fornendo la possibilità di aggiungere intestazioni di sicurezza.
Al giorno d’oggi, l’installazione di un certificato SSL è un compito facile: molti degli hosting che utilizzate hanno sicuramente una semplice funzionalità gratuita per l’attivazione e la gestione di un certificato SSL, spesso tramite Cpanel nella sezione sicurezza. Una della più note autorità emittenti certificati SSL è Let’s Encrypt.
Dopo la conversione in HTTPS, è una buona idea verificare che nessuna pagina richieda collegamenti o contenuti HTTP.
Il controllo dei contenuti misti è un must. Il contenuto misto si verifica quando le risorse del sito Web non sicure (script, immagini, video e così via) sono collegate a pagine HTTPS .
Esegui la scansione del tuo sito con Missing Padlock per identificare rapidamente le istanze di contenuti misti, quindi correggi gli errori collegandoti correttamente alle risorse HTTPS.
2. Utilizzare un nome utente amministratore sicuro
Un numero enorme di attacchi alla sicurezza contro la schermata di accesso di WordPress viene eseguito con il nome utente “Admin”. Esistono due tipi principali di attacchi che tentano di decifrare la password di accesso:
Forza bruta.
Attacco tramite dizionario.
L’attacco di forza bruta si verifica quando il software di hacking automatizzato tenta di indovinare la password dell’amministratore utilizzando diverse combinazioni di parole, lettere e numeri.
Un attacco del dizionario è quando il software di hacking utilizza password comuni per cercare di indovinare l’accesso dell’amministratore.
In molti casi, il nome utente amministratore utilizzato da questi software è “Admin”.
Non utilizzare la parola “Admin” come nome utente è un semplice passaggio che aiuterà a proteggere un sito WordPress.
Per fare un ulteriore passo avanti, puoi creare una regola firewall con il plug-in di sicurezza di Wordfence (vedi passaggi successivi) per bloccare automaticamente qualsiasi essere umano o bot che tenti di accedere con il nome utente Admin.
3. Applicare password complesse
Banale forse ma importantissimo: non consentire a nessuno, in particolare agli utenti con privilegi di amministratore, di creare una password non sicura.
Anche gli utenti con privilegi di sito Web bassi possono diventare un vettore di attacco. Pertanto, è importante applicare password complesse a tutti coloro che possono accedere al sito WordPress.
È possibile abilitare una politica di sicurezza delle password che impone password complesse utilizzando il plug-in di sicurezza WordPress di Wordfence.
4. Aggiorna plugin e temi
Altra cosa banale ma mai ripetuta abbastanza: alcuni aggiornamenti a plugin, temi e l’installazione principale di WordPress servono a correggere (correggere) le vulnerabilità. Il mancato aggiornamento del software può rendere vulnerabile il sito.
La maggior parte degli aggiornamenti funziona correttamente. In rare occasioni, un aggiornamento potrebbe cambiare qualcosa nel software che inizia a scontrarsi con un altro plugin o tema, causando l’arresto anomalo del sito.
In tal caso, è facile ripristinare il sito a uno stato precedente se è stato eseguito il backup del sito.
Il modo migliore per aggiornare plugin e temi è mettere in “stage” il sito e verificare se il sito funziona come dovrebbe con il software aggiornato: se non hai la possibilità di configurare e utilizzare un’area di stage, la seconda opzione è eseguire il backup del sito e quindi aggiornarlo.
Prova il sito per assicurarti che tutto funzioni. Se il sito non funziona correttamente, ripristinalo con il backup o disattiva uno per uno tutti i plugin, fino ad identificare l’eventuale responsabile.
La terza opzione è impostare tutti i plugin per l’aggiornamento automatico in modo da non doverci nemmeno pensare. Se qualcosa va storto, riporta il sito allo stato precedente con i backup (punto successivo).
5. Esegui il backup del tuo sito Web WordPress
Il backup di un sito Web su base giornaliera è fondamentale.
Ci sono molte cose che possono andare storte e un backup vi salverà il giorno in cui accade qualcosa di catastrofico al sito.
UpdraftPlus WordPress Backup Plugin , con oltre 3 milioni di utenti, è una soluzione popolare e affidabile.
Un’altra soluzione popolare si chiama WP Rollback .
WP Rollback ha oltre 200.000 installazioni e le persone che creano il software sono sviluppatori WordPress fidati ed esperti.
Funziona bene con temi e plugin scaricati da WordPress.org.
Ma se disponete di un’affidabile funzione di backup direttamente sul vostro hosting, questa può essere l’opzione consigliabile: spesso utilizziamo i backup forniti dal nostro hosting provider per ripristinare i siti da problemi di svariata natura. Quasi sempre questa è l’opzione più veloce e indolore.
6. Ridurre al minimo l’uso dei plug-in
Se dovessimo inventare un proverbio per WordPress riguarderebbe sicuramente i plugin: meno plugin, meno problemi.
Ogni plug-in installato, infatti, aumenta la possibilità che uno di essi esponga il sito a una vulnerabilità.
A parte i motivi di sicurezza, l’utilizzo di troppi plug-in può influire sulle prestazioni del sito, nonché aumentare la possibilità che il codice tra due o più plug-in abbia un conflitto e blocchi il sito.
Pianifica in anticipo quali plug-in desideri utilizzare per realizzare ciò di cui hai bisogno, utilizza la tua esperienza pregressa per crearti delle policy, delle liste di plugin sicuri.
E ricorda: alcuni plug-in possono eseguire più attività, eliminando la necessità di installare un plug-in autonomo per realizzare quell’unica cosa.
7. Implementare l’autenticazione a due fattori
L’autenticazione a due fattori è così chiamata perché sono necessarie due forme di identificazione per accedere a un sito WordPress con questa funzione attivata.
Il primo fattore è il nome utente e la password.
Il secondo fattore è una seconda forma di autenticazione, solitamente con un’app come Authy o Google Authenticator che si trova sul cellulare dell’utente.
Quindi, anche se un hacker ottiene l’accesso al nome utente e alla password, non sarà in grado di accedere senza la seconda autenticazione.
Ci sono molti plugin WordPress tra cui scegliere per aggiungere questa funzionalità, tra cui:
WP2FA
WP 2FA è una scelta popolare per aggiungere l’autenticazione a due fattori.
Supporta più metodi di autenticazione a due fattori, tra cui Google Authenticator, Authy, collegamento e-mail, OTP e-mail e notifica push.
Ci sono metodi aggiuntivi come l’autenticazione vocale e WhatsApp disponibili con la versione Pro.
Sicurezza dell’accesso a Wordfence
Wordfence è un marchio affidabile. il suo plug-in di autenticazione a due fattori autonomo supporta Authenticator, Authy, 1Password e FreeOTP.
Inoltre, plugin di sicurezza come Wordfence e iThemes Security hanno anche opzioni per attivare l’autenticazione a due fattori.
8. Installa un plugin per la sicurezza di WordPress
I plug-in di sicurezza sono utili perché possono colmare eventuali falle di sicurezza e bloccare gli hacker che stanno cercando di sfruttare tali vulnerabilità.
Esistono due tipi di plugin di sicurezza per WordPress:
Rafforzamento della sicurezza e scansione.
Firewall.
Ecco alcuni strumenti che consiglieremmo.
Sucuri Security
Sucuri è una scelta affidabile per un plugin di sicurezza. È di proprietà di GoDaddy.
Sucuri esegue la scansione di un sito alla ricerca di malware e offre opzioni per rafforzare il sito contro gli exploit.
Scegliere Sucuri è facile perché integra un plug-in firewall, come Wordfence.
La versione a pagamento include anche un firewall.
Protezione jetpack
Jetpack Protect è stato creato da Automattic, la società dietro WordPress.com, Akismet, WPScan e WooCommerce, tra gli altri.
Jetpack Protect esegue una scansione malware giornaliera del core, dei plugin e dei temi di WordPress.
Questo plug-in gratuito è relativamente nuovo: è stato trasformato in un plug-in autonomo nel 2022.
Sicurezza di Wordfence: firewall, scansione malware e sicurezza di accesso
Wordfence è una scelta popolare per la sicurezza di WordPress. Ci sono oltre 4 milioni di installazioni attive.
Wordfence funge da firewall per proteggere un sito Web dagli attacchi di hacking e può vietare i robot di hacking automatizzati e gli hacker in tempo reale se l’attività si adatta allo schema di un hacker.
Gli utenti possono configurare il firewall di Wordfence con regole che possono bloccare immediatamente gli hacker.
Wordfence aiuta anche a rafforzare un sito contro l’hacking fornendo l’autenticazione a due fattori e disabilitando l’esecuzione di PHP nelle cartelle in cui PHP non dovrebbe essere eseguito.
Un altro vantaggio di Wordfence è che il plug-in invia promemoria via e-mail quando un plug-in necessita di un aggiornamento.
La versione a pagamento di Wordfence riceve le regole del firewall per proteggersi dagli exploit più recenti non appena Wordfence ne viene a conoscenza.
Infine un altro consiglio da mettere nella lista dei must: controlla e aggiorna la tua versione PHP
PHP è il software su cui gira WordPress: le versioni obsolete di PHP possono esporre un sito a vulnerabilità di sicurezza.
Assicuratevi che la versione PHP utilizzata non abbia raggiunto lo stato di fine vita (EOL).
Cerca vulnerabilità online
Ecco tre strumenti online che cercano vulnerabilità o indicano se un sito è stato violato:
Sucuri Malware and Security Checker : esegue la scansione di un sito Web per verificare la presenza di vulnerabilità.
Stato del sito di Google Safe Browsing : mostra se Google ha rilevato una vulnerabilità su un sito web.
JavaScript Vulnerability Scanner : verifica se un sito utilizza JavaScript vulnerabile.
Il futuro della sicurezza di WordPress
Gli hacker stanno attaccando tutti i siti, indipendentemente dal sistema di gestione dei contenuti (CMS) utilizzato.
WordPress è il CMS più popolare al mondo , il che lo rende un obiettivo popolare degli hacker. Fortunatamente, WordPress ha un’enorme comunità che lavora per mantenerlo sicuro, il che è un vantaggio che altre piattaforme non hanno. Tutti i proprietari di siti Web WordPress dovrebbero considerare di dedicare del tempo per assicurarsi che siano in atto misure per mantenere i loro siti WordPress completamente sicuri.
Hai dubbi sulla sicurezza del tuo sito? Richiedici un’analisi gratuita