Tutto Ciò Che Devi Sapere Sulla Sicurezza di WordPress (+20 Consigli per Rinforzarla)

Se stai cercando un sistema di gestione dei contenuti all-in-one di alto livello per alimentare il tuo sito web, non cercare oltre WordPress.

WordPress è una piattaforma eccellente e sicura di base, ma c’è certamente di più che puoi (e dovresti!) fare per mantenere il tuo sito al sicuro da intenzioni malevole. Molte di queste migliorie alla sicurezza sono facili da implementare e possono essere eseguite manualmente in pochi minuti. Altre richiedono semplicemente l’installazione di un particolare plugin.

In questo articolo, ti guiderò attraverso 20 diverse strategie per rafforzare le difese della tua fortezza WordPress. Ma prima, approfondiamo un po’ perché la sicurezza del sito web dovrebbe interessarti.

Perché La Sicurezza Di WordPress È Così Importante

Scegliere WordPress come piattaforma è un ottimo modo per iniziare quando stai cercando di creare un sito. Non è solo una piattaforma flessibile e potente per la costruzione di siti web — è anche notevolmente sicura di per sé.

Ovviamente, nessuna piattaforma può essere sicura al 100%, e ci sono molte ragioni per preoccuparsi della sicurezza del tuo sito WordPress:

• Popolarità – WordPress alimenta una grande parte di tutti i siti web su internet, rendendolo un obiettivo primario per i criminali informatici. Il suo ampio utilizzo lo rende una piattaforma attraente per sfruttare le vulnerabilità e ottenere accesso non autorizzato ai siti web.
• Vulnerabilità – Come ogni software, WordPress non è immune da vulnerabilità. Gli hacker cercano costantemente vulnerabilità nei temi di WordPress, nei plugins e nel software principale. Sfruttarle può portare ad accessi non autorizzati, violazioni dei dati, alterazione o anche controllo completo di un sito web.
• Violazioni dei dati – I siti web WordPress spesso memorizzano informazioni sensibili degli utenti, come indirizzi email, password e dati personali. Una violazione della sicurezza può esporre questi dati confidenziali, portando a furto di identità, perdite finanziarie o persino conseguenze legali (accidenti!).
• Impatto SEO – Un sito WordPress compromesso può essere utilizzato per attività malevoli, come ospitare malware, reindirizzare i visitatori verso siti web dannosi o inviare email di spam. I motori di ricerca possono segnalare e penalizzare tali siti web, portando a una significativa perdita di posizionamento e traffico organico una volta che si riacquista il controllo del sito.
• Reputazione e fiducia – Se un sito web WordPress viene compromesso e utilizzato per scopi malevoli, può danneggiare gravemente la reputazione del proprietario del sito e erodere la fiducia degli utenti. Pensiamo ad un negozio di e-commerce, per esempio. Se il negozio non può garantire la sicurezza dei dati personali degli acquirenti, le persone semplicemente non compreranno lì (e chi può biasimarle?).
• Fermata e perdite finanziarie – Un sito violato può subire tempi di inattività prolungati mentre il proprietario del sito lavora per risolvere la violazione della sicurezza. A sua volta, il tempo di inattività può risultare in perdita di affari, riduzione dei ricavi e spese aggiuntive per il recupero e il ripristino.

Date queste minacce, investire in misure di sicurezza per WordPress è essenziale per proteggere il tuo sito web e i dati dei suoi utenti. Idealmente, dovresti dedicare tanto tempo e impegno alla sicurezza quanto ne hai speso progettando il tuo sito inizialmente (se non di più). Fortunatamente per te, caro lettore, ci sono molti modi semplici e veloci per migliorare la sicurezza del tuo sito, così come alcune tecniche più complesse che potresti voler adottare — e qui sotto, le stiamo coprendo tutte.

Principali Vulnerabilità Di Sicurezza Di WordPress

Come dice il detto, conosci il tuo nemico. Prima di addentrarci nei nostri consigli di sicurezza, scopriamo di più sulle vulnerabilità di sicurezza da cui devi proteggere il tuo sito WordPress.

• Software, temi e plugin obsoleti – Utilizzare versioni obsolete di WordPress, temi o plugin può esporre il tuo sito a vulnerabilità di sicurezza note.
• Nomi utente e password deboli – Credenziali di accesso deboli facilitano l’accesso degli hacker al tuo sito. Evita di utilizzare nomi utente comuni come “admin” e scegli password forti e uniche che includano una combinazione di lettere, numeri e simboli.
• Attacchi brute force – Gli attacchi brute force comportano tentativi ripetuti di indovinare le tue credenziali di accesso. Puoi prevenirli limitando i tentativi di accesso e utilizzando l’autorizzazione a due fattori (ne parleremo più avanti in questo articolo).
• Scripting tra siti (XSS) – Le vulnerabilità XSS si verificano quando script dannosi vengono iniettati nelle pagine web, compromettendo potenzialmente i browser degli utenti o i dati delle sessioni. Molti plugin di sicurezza dispongono di funzionalità per prevenire XSS.
• Infezioni da Malware – Il Malware può essere iniettato nel tuo sito tramite vulnerabilità, temi o plugin infetti, o file compromessi. Per evitare il Malware, non installare plugin senza prima verificarne la reputazione. Inoltre, la scansione regolare del Malware può rilevare le infezioni prima che abbiano la possibilità di causare danni al tuo sito.
• Backdoors – Una backdoor è un punto di accesso nascosto in un sito web che permette accessi non autorizzati anche dopo che sono state messe in atto misure di sicurezza. Le backdoors possono essere create da attori malevoli o introdotte accidentalmente tramite temi, plugin compromessi o pratiche di sicurezza insufficienti. Una volta stabilita una backdoor, può concedere accesso non autorizzato a un attaccante, che può poi manipolare il sito, rubare dati o eseguire altre attività malevole senza la conoscenza del proprietario del sito.

Implementare plugin di sicurezza e altre migliori pratiche può proteggere il tuo sito da queste vulnerabilità. Quindi, senza ulteriori indugi, passiamo a ciò per cui sei qui: consigli pratici sulla sicurezza di WordPress e come metterli in pratica.

20 Consigli sulla Sicurezza di WordPress

Spero di averti convinto dell’importanza di mantenere un sito WordPress sicuro. Se non l’ho fatto, dovrò iscrivermi di nuovo a Persuasive Writing 101. Per favore, non farmi fare questo.

Nel resto di questo articolo, ti presenterò 20 strategie (insieme ad alcuni dei migliori plugin di sicurezza per WordPress) per rendere il tuo sito più sicuro dalle vulnerabilità di sicurezza più comuni e pericolose. Non devi implementare ogni suggerimento in questa lista (anche se certamente puoi!), ma più passi compi per proteggere il tuo sito, minori saranno le tue possibilità di incontrare un disastro in futuro.

1. Utilizza Un Hosting di Qualità

Puoi pensare al tuo fornitore di hosting come alla strada del tuo sito web su Internet — è il luogo dove il tuo sito “vive”. E come la qualità di un buon distretto scolastico conta per il futuro dei tuoi figli (così dicono; io sono venuto su bene), la qualità della base del tuo sito web conta in molti modi importanti.

Un buon fornitore di hosting può influenzare quanto bene il tuo sito si comporta, quanto è affidabile, quanto può crescere e persino come si posiziona nei motori di ricerca. I migliori host offrono una varietà di funzionalità utili, un supporto eccellente e un servizio personalizzato per la tua piattaforma scelta.

Come probabilmente hai già indovinato, il tuo provider di hosting può avere un impatto significativo anche sulla sicurezza del tuo sito. Ci sono diversi vantaggi di sicurezza nel scegliere tra le migliori aziende di hosting.

Come l’Hosting può Migliorare la Sicurezza di WordPress:

• Un host di qualità aggiorna costantemente il proprio servizio, software e strumenti per rispondere alle ultime minacce ed eliminare potenziali violazioni della sicurezza.
• I provider di hosting offrono spesso varie funzionalità di sicurezza specifiche, come certificati SSL/TLS e protezione DDoS. Dovresti anche avere accesso a un Web Application Firewall (WAF), che aiuterà a monitorare e bloccare gravi minacce al tuo sito.
• Il tuo provider di hosting molto probabilmente fornirà un modo per eseguire il backup del tuo sito (in alcuni casi, effettuando anche backup in tempo reale per te), così se subisci un attacco, puoi facilmente tornare a una versione stabile e precedente.
• Se il tuo host offre un supporto affidabile e disponibile 24/7, avrai sempre qualcuno pronto ad aiutarti se incontri un problema legato alla sicurezza.

Questa lista dovrebbe fornirti un buon punto di partenza da cui lavorare quando cerchi un host per il tuo nuovo sito. Vorrai trovare uno che offra tutte le funzionalità e le caratteristiche di cui avrai bisogno, oltre ad avere una reputazione di affidabilità e ottime prestazioni.

DreamPress è un servizio di Hosting WordPress Gestito che è veloce, affidabile, scalabile e, naturalmente, sicuro. DreamPress include un certificato SSL/TLS preinstallato e fornisce un WAF dedicato progettato con regole create per proteggere i siti WordPress e bloccare i tentativi di hacking. Con il tuo piano di hosting, otterrai anche backup automatizzati, supporto 24/7 da esperti di WordPress, e Jetpack Premium — un plugin che può aggiungere molte funzionalità di sicurezza aggiuntive al tuo sito — senza costi aggiuntivi.

Con DreamPress, potrai stare tranquillo sapendo che il tuo sito è protetto. Il nostro servizio di hosting si occupa anche di molti altri passaggi per aumentare la sicurezza in questa lista — anche se ti incoraggiamo ancora a leggere per scoprire quali ulteriori misure puoi prendere per proteggere il tuo sito.

2. Registra Il Tuo Dominio In Modo Privato

Per registrare un dominio, ti viene chiesto di fornire il tuo nome, indirizzo e numero di telefono. Queste informazioni sono utilizzate per tracciare la proprietà dei nomi di dominio e possono essere trovate online con una rapida ricerca nella directory WHOIS.

Mantenere traccia di queste informazioni è essenziale per la salute di internet, ma è comprensibile non voler pubblicare i propri dati personali online. Qui entra in gioco la Registrazione Privata. Quando registri un dominio con DreamHost (o un’altra piattaforma di hosting sicura, immagino), hai l’opzione di sostituire le tue informazioni personali con i dati pertinenti della piattaforma di hosting — quindi, cercando il tuo dominio su WHOIS appariranno l’indirizzo e le informazioni di contatto di DreamHost invece delle tue. Puoi persino abilitare questa funzione di sicurezza dopo che il tuo dominio è già stato registrato!

3. Cambia Il Tuo Nome Utente Admin

Quando crei il tuo sito web per la prima volta, tutto nuovo e splendente, ti viene assegnato un Profilo Utente. In qualsiasi momento, puoi tornare indietro e cambiare il tuo Nickname o compilare il tuo Nome Completo, ma per cambiare il tuo nome utente la storia è diversa – dovrai creare un nuovo utente e assegnargli il ruolo di amministratore. Lo svantaggio? Devi utilizzare un indirizzo email diverso da quello usato dal tuo account attuale.

Puoi poi modificare il tuo nome utente creando un nuovo utente, assegnandogli il ruolo di amministratore, attribuendo a esso tutto il tuo contenuto e cancellando il tuo account originale. Quando il tuo vecchio nome utente sarà stato eliminato, potrai cambiare l’indirizzo email del tuo nuovo account se lo desideri.

4. Attiva Un Firewall Per Applicazioni Web

Probabilmente conosci il concetto di un firewall — un programma che aiuta a bloccare ogni tipo di attacco indesiderato al tuo sito. Molto probabilmente, hai qualche tipo di firewall sul tuo computer. Un Web Application Firewall (WAF) è semplicemente un firewall progettato specificamente per i siti web. Può proteggere server, siti web specifici o interi gruppi di siti.

Un WAF sul tuo sito WordPress fungerà da barriera tra il tuo sito web e il resto del web. Un firewall monitora l’attività in entrata, rileva attacchi, malware e altri eventi indesiderati e blocca tutto ciò che considera un rischio dall’accedere al tuo server web. #winning

Hai molte opzioni per aggiungere un WAF al tuo sito (WordFence è una scelta popolare). Ma se hai optato per il nostro pacchetto DreamPress, puoi rilassarti; non avrai bisogno di un firewall aggiuntivo. DreamPress include un WAF integrato che monitorerà il tuo sito per rilevare minacce e bloccare gli utenti e i programmi dannosi che cercano di accedere. Nessuna azione è richiesta da parte tua.

DreamHost offre anche DreamShield, il nostro servizio di scansione malware interno. Quando attivi DreamShield sul tuo account di hosting, scannerizziamo il tuo sito quotidianamente alla ricerca di codici dannosi. Se troviamo qualcosa di sospetto, sarai immediatamente notificato via email.

5. Implementa L’Autenticazione a Due Fattori

L’autenticazione a due fattori (noto anche come autenticazione a due passaggi e altri nomi simili) si riferisce a un processo in due fasi che dovrai seguire quando accedi al tuo sito. Questo richiede un po’ più di tempo e sforzo ma contribuisce notevolmente a tenere lontani gli hacker.

L’autenticazione a due fattori prevede l’uso di uno smartphone o di un altro dispositivo per verificare il tuo accesso. Prima, visiterai il tuo sito WordPress e inserirai il tuo nome utente e la tua password come al solito. Poi, un codice unico sarà inviato al tuo dispositivo mobile, che dovrai fornire per completare l’accesso. Questo ti permette di dimostrare la tua identità mostrando di avere accesso a qualcosa di esclusivamente tuo — come un particolare telefono o tablet.

Come con molte funzionalità di WordPress, aggiungere l’autenticazione a due fattori è semplice con un plugin dedicato. Il plugin Two Factor Authentication è una scelta solida — è creato da sviluppatori affidabili, compatibile con Google Authenticator, e ti permetterà di aggiungere la funzionalità a due fattori al tuo sito senza problemi.

Un’altra scelta è il plugin Two-Factor, sviluppato principalmente da sviluppatori core di WordPress e noto per la sua affidabilità. Come per qualsiasi plugin di questa categoria, richiede un po’ di impegno per essere appreso, ma farà il suo lavoro ed è incredibilmente sicuro. Se sei disposto a spendere un po’ di soldi, puoi anche dare un’occhiata alla soluzione premium simile a Clef di Jetpack.

Qualunque percorso tu scelga, assicurati di pianificare in anticipo con il tuo team, poiché dovrai raccogliere i numeri di telefono e altre informazioni per tutti gli account utente. Con ciò, la tua pagina di login è ora sicura e pronta all’uso.

6. Fai Attenzione Quando Aggiungi Nuovi Plugin E Temi

Una delle migliori caratteristiche di WordPress è la disponibilità immediata di plugin e temi per quasi ogni esigenza. Con questi strumenti utili, puoi far sembrare il tuo sito perfetto e aggiungere quasi ogni funzionalità o caratteristica che puoi immaginare.

Non tutti i plugin e i temi sono creati allo stesso modo, però.

Gli sviluppatori che non sono attenti o non hanno il giusto livello di esperienza possono creare plugin che sono poco affidabili o insicuri — o semplicemente scadenti. Potrebbero utilizzare pratiche di codifica scadenti che lasciano falle che gli hacker possono sfruttare facilmente o interferire inconsapevolmente con funzionalità cruciali.

Questo significa che devi essere molto attento ai temi e ai plugin che aggiungi al tuo sito. Ogni elemento dovrebbe essere valutato per assicurarsi che sia una scelta solida e che non danneggi il tuo sito o causi problemi. Ecco come selezionare strumenti di qualità:

• Leggi le recensioni – Controlla le valutazioni e le recensioni degli utenti per sapere se altri hanno avuto una buona esperienza con il plugin o il tema.
• Supporto degli sviluppatori – Guarda quanto recentemente il plugin o il tema è stato aggiornato. Se è passato più di sei mesi, probabilmente non è sicuro come potrebbe essere.
• Con calma – Installa nuovi plugin e temi uno alla volta, così se qualcosa va storto, saprai qual è stata la causa. Inoltre, ricorda di fare un backup del tuo sito prima di aggiungere qualsiasi cosa.
• Fonti verificate – Ottieni i tuoi plugin e temi da fonti affidabili, come le directory dei temi e plugin di WordPress.org, ThemeForest e CodeCanyon e siti web di sviluppatori affidabili.

7. Aggiorna Regolarmente WordPress

Mantenere WordPress aggiornato è una delle cose più importanti che puoi fare per proteggere il tuo sito. Gli aggiornamenti minori e gli aggiornamenti di sicurezza verranno implementati automaticamente, ma potresti dover approvare gli aggiornamenti principali indipendentemente (non preoccuparti, è molto semplice farlo). Probabilmente è superfluo dirlo, ma DreamHost gestisce questi aggiornamenti per te, quindi non devi preoccuparti.

Ma il tuo lavoro non è finito solo perché WordPress è aggiornato.

Dovrai anche aggiornare regolarmente i tuoi plugin, temi e altre installazioni di WordPress per assicurarti che funzionino bene insieme e siano protetti contro le ultime minacce. Fortunatamente, questo è anche abbastanza semplice — vai semplicemente alla tua dashboard di WordPress, cerca le notifiche rosse che ti indicano che ci sono temi o plugin con aggiornamenti disponibili e clicca su “Aggiorna Ora” accanto a ciascuno di essi.

Puoi anche aggiornare i tuoi plugin in blocco selezionandoli tutti e poi premendo il pulsante di aggiornamento, sia qui che nel pannello WordPress.

8. Configura Permessi dei File

Parliamo di tecnica per un minuto.

Molte delle informazioni, dei dati e dei contenuti del tuo sito WordPress sono memorizzati in una serie di cartelle e file nel suo backend. Questi sono organizzati in una struttura gerarchica, e a ciascuno è assegnato un livello di permessi. I permessi su un file o una cartella di WordPress determinano chi può visualizzare e modificarlo. Possono essere impostati per consentire l’accesso a chiunque, solo a te, o quasi qualsiasi cosa intermedia.

I permessi dei file sono rappresentati da un numero a tre cifre in WordPress, e ogni cifra ha un significato. La prima cifra rappresenta un utente singolo (il proprietario del sito), la seconda cifra per il gruppo (ad esempio, i membri del tuo sito), e la terza per tutti nel mondo. Il numero stesso significa che l’utente, il gruppo o il mondo:

• 0: Non ha accesso al file.
• 1: Può solo eseguire il file.
• 2: Può modificare il file.
• 3: Può modificare ed eseguire il file.
• 4: Può leggere il file.
• 5: Può leggere ed eseguire il file.
• 6: Può leggere e modificare il file.
• 7: Può leggere, modificare ed eseguire il file.

Quindi, ad esempio, se a un file viene assegnato un livello di permessi 640 significa che l’utente principale può leggere e modificare il file, il gruppo può leggerlo ma non modificarlo, e il resto del mondo non può accedervi affatto. È importante assicurarsi che ogni persona abbia solo il livello di accesso ai file e alle cartelle del tuo sito che desideri concederle.

WordPress raccomanda di impostare le cartelle con un livello di permessi pari a 755 e i file a 644. Puoi tranquillamente attenerti a queste linee guida, anche se puoi configurare qualsiasi combinazione desideri. Ricorda solo che è meglio non concedere a nessuno più accesso di quanto strettamente necessario, soprattutto ai file principali.

Dovresti anche tenere presente che le tue impostazioni di permessi ideali dipenderanno in parte dal tuo servizio di hosting, quindi potresti voler scoprire cosa consiglia il tuo host.

Nota: Fai molta attenzione quando modifichi i livelli di autorizzazione — scegliere i valori sbagliati (come il temuto 777) può rendere il tuo sito inaccessibile.

E mentre siamo su questo argomento, è importante notare che WordPress include un editor di codice integrato che consente agli utenti di modificare i file di tema e plugin direttamente dall’Area Admin. Questo è utile quando ne hai bisogno, ma rappresenta un grande rischio per la sicurezza se il tuo sito finisce nelle mani sbagliate. Ecco perché dovresti disabilitare la modifica dei file con un plugin come Sucuri.

9. Mantieni Al Minimo Gli Utenti Di WordPress

Se gestisci da solo il tuo sito WordPress, non devi preoccuparti di questo passaggio. Basta non dare a nessun altro un account sul tuo sito, e sarai l’unica persona che può apportare modifiche.

Tuttavia, ci sono molte ragioni per aggiungere un altro account utente al tuo sito: potresti voler permettere ad altri autori di contribuire con contenuti, o potresti aver bisogno di persone che aiutino a modificare i contenuti e gestire il tuo sito. Potresti anche avere un intero team di utenti che accede regolarmente al tuo sito WordPress e apporta le proprie modifiche.

Questo può essere vantaggioso (o addirittura necessario). Tuttavia, rappresenta anche un potenziale rischio per la sicurezza.

Più persone lasci entrare nel tuo sito, maggiore è la probabilità che qualcuno commetta un errore, causi problemi o sia semplicemente inadeguato. Ecco perché dovresti mantenere il numero degli utenti del tuo sito il più basso possibile senza ostacolare la sua capacità di crescere. In particolare, cerca di limitare il numero di amministratori e altri ruoli utente con elevati privilegi.

Ecco alcune altre best practice:

• Limita ogni utente solo ai permessi necessari per svolgere il loro lavoro.
• Incoraggia gli utenti a utilizzare password robuste.
• Cerca di mantenere un solo amministratore e un piccolo gruppo di redattori.
• Rimuovi gli utenti che hanno lasciato il sito o che non necessitano più dell’accesso.
• Disconnetti regolarmente gli utenti inattivi (il plugin Inactive Logout è ottimo per questo!).
• Considera di scaricare un plugin come Members, che offre un’interfaccia utente per il sistema di ruoli e capacità di WordPress.

10. Limita i Tentativi di Accesso

Tutti dimenticano la loro password qualche volta. Ma buone notizie! Per impostazione predefinita, WordPress consente un numero illimitato di tentativi.

Ma è davvero una buona notizia? Gli attacchi di forza bruta, ossia attacchi in cui un hacker prova un numero indefinito di password, sono uno dei modi più comuni con cui gli hacker accedono agli account privati. Senza un limite ai tentativi di accesso, un hacker o un Bot potrebbe provare tutte le password possibili senza conseguenze.

Prima di tutto, controlla il tuo Web Access Firewall (WAF) per limitare il numero di tentativi di accesso che un utente può effettuare. Se il tuo firewall è già configurato, un limite sarà già impostato, ma puoi anche utilizzare un plugin separato per questo! Sia Login Lockdown che Cerber Limit Login Attempts registrano l’indirizzo IP e la marca temporale di ogni tentativo di accesso fallito, ti permettono di limitare il numero di tentativi falliti consentiti in un certo lasso di tempo e bloccano gli indirizzi IP che superano il limite. Entrambi i plugin sono gratuiti, ma Login Lockdown è più semplice e adatto ai principianti. Se richiedi un sistema più robusto, Cerber Limit Login Attempts è la scelta giusta, permettendo non solo la lista bianca/nera degli IP, ma anche la notifica agli amministratori se viene raggiunto un certo numero di blocchi.

11. Tieni Traccia dell’Attività della Tua Area Amministrativa

Se hai più utenti, tenere traccia di ciò che stanno facendo sul sito è una buona idea. Monitorare l’attività nella tua area di amministrazione WordPress ti aiuterà a individuare quando altri utenti stanno facendo cose che non dovrebbero — e può aiutarti a scoprire quando gli utenti non autorizzati hanno ottenuto accesso.

Ma hai anche bisogno di uno strumento che ti aiuti a capire chi è dietro le diverse attività del sito — come quando qualcuno effettua una modifica non autorizzata o una nuova installazione sospetta. Per questo, hai bisogno di un altro plugin. Simple History è all’altezza del suo nome creando un registro delle modifiche e degli eventi sul tuo sito chiaro e facile da comprendere.

Per funzionalità di tracciamento più complete, dai un’occhiata a WP Security Audit Log, che traccia praticamente tutto ciò che accade sul tuo sito e offre componenti aggiuntivi premium.

12. Proteggi Con Password La Tua Pagina Di Login

La pagina di accesso è il modo più probabile per i pirati informatici di accedere al tuo sito, quindi proteggerla è un ottimo modo per proteggere il resto del tuo sito. Questo può essere un po’ tecnico, ma vale comunque la pena impararlo. Usa questo tutorial per imparare come creare un file htaccess e aggiungere un prompt per la password alla tua pagina di accesso. Un accesso per il tuo login — cosa inventeranno ancora?

E se stai ospitando contenuti che non tutti devono vedere, puoi proteggere con password altre parti del tuo sito. Per i post del blog e altre pagine, puoi aggiungere la protezione con password andando in pagine >> opzione tutti i post. Clicca su “modifica” e vedrai l’opzione per cambiare la visibilità in “Protetto da Password”. Pubblica, e badabing-badaboom, quella pagina è ben protetta!

13. Nascondi La Tua Pagina Di Login

Aggiungere una protezione con password alla tua pagina di login è ottimo, ma ancora meglio è se gli hacker non riescono nemmeno a trovarla. Cambiare le tue pagine wp-admin e wp-login è facile e aiuta a scoraggiare gli hacker che possono facilmente trovare la tua pagina di login se lasci le impostazioni predefinite.

Ci sono diversi plugin che possono reindirizzare la pagina di login predefinita su un’altra pagina a tua scelta. Molti plugin offrono questo come parte di un pacchetto più ampio (per esempio, Defender include anche uno scanner per malware e un firewall). Ma se stai cercando qualcosa di semplice, prova WPS Hide Login, che nasconde semplicemente il tuo login. Non dimenticare solo di aggiungere ai segnalibri la tua nuova pagina di login per poterla trovare.

14. Aggiorna PHP

Proprio come l’America si basa su Dunkin’ (non citarci), WordPress si basa su PHP. Aggiornare WordPress non è sufficiente per mantenere il tuo sito sicuro — devi assicurarti di utilizzare anche l’ultima versione di PHP.

Normalmente, ogni versione di PHP è supportata per almeno due anni dalla sua data di rilascio, il che significa che le vulnerabilità sono gestite dagli ingegneri che hanno progettato il codice. Quando il codice diventa obsoleto (o raggiunge la sua EOL o “fine vita”), è il momento di aggiornare, oppure rischi di essere esposto a problemi di sicurezza, rallentamenti delle prestazioni e a una miriade di bug.

Per vedere quale versione di PHP stai utilizzando attualmente, accedi al tuo sito WordPress e seleziona Strumenti >> Stato del sito. Vai alla sezione Informazioni e poi Server, e visualizza la tua versione attuale di PHP.

15. Proteggi il Tuo Database WordPress

Lasciare tutto nelle impostazioni predefinite è un vantaggio per i pirati informatici e, di default, WordPress utilizza wp_ come prefisso per tutte le tue tabelle correlate. Buone notizie! Se stai utilizzando il Installatore con un Solo Clic, hai già un prefisso di lettere e numeri casuali. Finché termina con un trattino basso, il sistema è soddisfatto. Ancora migliori notizie! Anche se il tuo WordPress è già installato, potrebbe essere idoneo per l’Installatore con un Solo Clic purché il sito sia completamente ospitato e rispetti alcune altre linee guida.

Tieni presente che rompere qualcosa può essere facile come la mancanza di un underscore. Fortunatamente, esiste una versione predefinita del file wp-config.php disponibile su WordPress Core, così puoi ricostruire rapidamente e facilmente — che tu abbia provato a cambiare il prefisso del database manualmente o con un servizio come phpMyAdmin.

16. Aggiungi Domande di Sicurezza

Le domande di sicurezza sono spesso trascurate, ma danno un ulteriore slancio alla tua sicurezza. A seconda del plugin che scegli, potrai scegliere tra domande di sicurezza preesistenti o crearne di tue.

17. Nascondi La Tua Versione Di WordPress

Sicurezza tramite Oscurità — se non possono trovarlo, non possono violarlo!

Nascondi quale versione di WordPress stai utilizzando (o nascondi del tutto che stai usando WordPress) modificando il codice dell’header. Se ciò ti sembra troppo tecnico, utilizza un plugin come WPCode. Assicurati solo di modificare il codice e non solo di editare le informazioni di visualizzazione nelle impostazioni del tuo tema — quei frammenti di codice torneranno con il prossimo aggiornamento del tema.

18. Prevenire l’Hotlinking

Il hotlinking è l’atto di rubare larghezza di banda utilizzando file ospitati su un sito e collegandoli a un altro. Ad esempio, diciamo che qualcuno disegna un fumetto molto intelligente e un altro sito web desidera mostrarlo senza permesso. Potrebbero collegare il fumetto invece di ospitarlo sui propri server, aumentando così il consumo di larghezza di banda del sito originale e, di conseguenza, i costi.

Per prevenire il hotlinking, puoi scegliere di rifiutare certi domini, permettere solo certi domini, o eliminare completamente la possibilità di fare hotlinking, tutto apportando alcune modifiche al tuo file htaccess. Puoi anche includere un frammento nel tuo file .htaccess che indirizza tutti i tentativi di hotlinking a una pagina o immagine a tua scelta — magari una che dice, “Smettila di fare hotlinking, approfittatore!”

19. Protezione DDoS (Disabilita XML RPC)

Un attacco di Distributed Denial of Service (o DDoS) avviene quando un hacker utilizza più sistemi per inviare un’enorme quantità di dati e sovraccaricare il proprio obiettivo. Questo può rallentare e far bloccare il bersaglio — immagina un enorme ingorgo stradale per il tuo sito web dove nessun traffico legittimo può entrare.

Sappiamo che la pazienza è difficile da trovare online, con l’utente medio che aspetta solo 3 secondi affinché una pagina si carichi prima di andarsene, quindi quanto prima riesci a identificare e risolvere un attacco sul tuo sito web, meglio è.

Mentre prevenire un attacco DDoS può sembrare scoraggiante, uno dei primi passi che puoi compiere è rimuovere o disabilitare qualsiasi plugin vecchio o inutilizzato. I plugin sono incredibilmente utili, ma aumentando la funzionalità, hanno anche accesso al tuo sito web che può essere sfruttato. Per una volta, scaricare più plugin non è la soluzione!

XML-RPC permette l’accesso a WordPress tramite l’app sul tuo dispositivo mobile. Se non utilizzi il tuo smartphone per apportare modifiche al tuo sito WordPress, probabilmente non hai bisogno di questa funzionalità attiva. Disattivarla comporta l’aggiunta di un breve frammento di codice al tuo file htaccess, e sarai molto più sicuro per questo.

20. Scansione Malware

Malware (abbreviazione di software dannoso) si nasconde in applicazioni che sembrano sicure, così che l’utente non sappia che il suo computer o sito web è stato infettato.

La scansione di Malware è una difesa importante che funziona utilizzando software anti-malware per identificare e isolare i file sospetti fino a quando non decidi se devono essere rimossi. Se viene rilevata una minaccia, un buon scanner di malware eliminerà ogni traccia di essa dal tuo computer il prima possibile. Fortunatamente, diversi plugin di firewall includono la scansione di malware, quindi assicurati di controllare i tuoi plugin di sicurezza per vedere cosa offrono.

Se hai DreamHost come piattaforma di hosting, puoi attivare DreamShield per gestire la scansione giornaliera del malware per te.

Sicurezza WordPress: Blindare Il Sistema

Se il tuo sito web viene violato, passerai ore (forse persino giorni) a tentare di riparare i danni. Potresti perdere definitivamente dati o vedere le tue informazioni personali compromesse — o peggio: i dati dei tuoi clienti.

È per questo che devi dedicare abbastanza tempo ed energia per assicurarti che il tuo sito sia sicuro. Altrimenti, rischi solo di perdere affari preziosi e tempo prezioso.

Questi consigli sulla sicurezza di WordPress dovrebbero essere utili. Alcuni sono semplici modifiche, mentre altri interessano l’intero sito. Ma se stai cercando un cambiamento impattante che puoi fare oggi per mantenere il tuo sito sicuro, assicurati che sia ospitato su un host WordPress sicuro.

Hosting DreamPress (con migrazione WordPress gratuita) è specificamente progettato per l’ambiente WordPress. Inoltre, se dovessi incontrare un problema di sicurezza, noi ti copriamo con backup automatici giornalieri, una scansione malware giornaliera e il nostro team di supporto di esperti WordPress! Pronto a proteggere il tuo sito da minacce e vulnerabilità? Scopri di più sull’hosting DreamPress oggi.