TechBlogSD - Tutto per WordPress e sviluppo WEB
Istruzioni WEB e WordPress, notizie, recensioni di temi e plugin

Guida alla sicurezza di WordPress – 28 suggerimenti per proteggere il tuo sito

3

WordPress alimenta oltre il 35% dei siti Web su Internet. A causa dell’elevata popolarità e della natura open source, i siti WordPress sono uno dei principali obiettivi di hacker e software dannoso. Il tuo sito WordPress potrebbe essere un facile bersaglio per gli aggressori a causa di un semplice nome utente amministratore, password facili e temi o plug-in obsoleti. Ma non preoccuparti, è facile proteggere il tuo sito seguendo alcuni semplici passaggi. Ecco una guida passo passo alla sicurezza di WordPress per principianti per comprendere i vari aspetti della protezione del tuo sito da aggressori e vulnerabilità.

Correlati: scarica la guida alla sicurezza di WordPress in formato PDF.

Guida alla sicurezza di WordPress

  1. Mantieni il tuo computer e il tuo cellulare liberi da virus
  2. Usa un hosting sicuro
  3. Mantieni aggiornata la tua installazione
  4. Usa password complesse
  5. Nessun nome utente amministratore
  6. Gestione sicura dei ruoli
  7. Usa temi e plugin affidabili
  8. Disabilita l’editor di temi e plugin nell’interfaccia di amministrazione
  9. Blocca l’esecuzione di PHP dalla dashboard
  10. Ferma l’attacco di forza bruta
  11. Blocca utenti sospetti, IP e bot
  12. Disabilita la navigazione nella directory
  13. Disabilita la versione di WordPress
  14. Cambia il prefisso della tabella del database
  15. Cambia l’URL dell’amministratore di WordPress
  16. Usa i permessi file corretti
  17. Tieni traccia delle modifiche ai file
  18. Usa le impostazioni di base del firewall
  19. Nega l’accesso al file di registro
  20. Disabilita XMLPRC e pingback
  21. Gestire i dati sensibili in modo sicuro
  22. Prevenire lo spam
  23. Backup periodico del sito
  24. Scansiona il sito alla ricerca di malware
  25. Monitora gli errori 404
  26. Proteggi i file "wp-config.php" e ".htaccess"
  27. Fornire un accesso sicuro a terze parti
  28. Usa il plugin di sicurezza

1 Mantieni il tuo computer e cellulare al sicuro

Guida alla sicurezza di WordPress - 28 suggerimenti per proteggere il tuo sito

La creazione di un sito Web richiede molte risorse come documenti, immagini, script, file e video. Potrebbe essere necessario disporre di un laptop e di un dispositivo mobile dedicati per continuare a creare i tuoi contenuti. Soprattutto sulla piattaforma WordPress self-hosted, l’accesso remoto al server tramite FTP è richiesto la maggior parte delle volte per la risoluzione dei problemi e il caricamento. Quindi, installa l’antivirus sul tuo computer e scansiona i file regolarmente. Non dimenticare di scansionare il plugin e i file del tema prima di caricarli sul tuo sito WordPress.

Il caricamento di un singolo script o file con codice dannoso sul tuo server rovinerà tutto il tuo duro lavoro. Anche la tua società di hosting probabilmente vieterà il tuo account per aver causato problemi al server. Inoltre, assicurati di accedere alla dashboard di WordPress solo tramite una connessione WiFi protetta ed evita le reti pubbliche per proteggere i tuoi dati.

2 Hosting protetto

L’installazione di WordPress richiede un hosting a pagamento che dovrebbe essere acquistato da una qualsiasi delle società di hosting. Come nuovo utente di WordPress, potresti tendere a spendere meno soldi e finire per acquistare un hosting condiviso economico per il tuo sito. Indubbiamente ti pentirai della tua decisione di scegliere una cattiva compagnia di hosting prima o poi. Quando ti trovi su un server condiviso, è importante che tutti i siti su quel server funzionino in modo sicuro e protetto.

È comune che centinaia o addirittura migliaia di siti condividano un singolo indirizzo IP del server. Quando un sito sul tuo server viene violato, ci sono più possibilità che l’intero server possa essere violato e anche tu sarai colpito. Ci sono stati molti casi in passato, migliaia di siti su un server sono stati violati poiché l’hacker potrebbe abbattere il server attraverso la vulnerabilità in un singolo sito Web.

WordPress consiglia alcune società di hosting sicure come Bluehost, SiteGround e DreamHost. Tuttavia, devi verificare con l’azienda prima di acquistare un piano di hosting.

Guida alla sicurezza di WordPress - 28 suggerimenti per proteggere il tuo sito

Hosting consigliato da WordPress

Assicurati che il tuo sito possa essere completamente sottoposto a backup periodicamente e che il backup sia archiviato all’esterno del server. Dal punto di vista della sicurezza, l’archiviazione del backup sullo stesso server è davvero inutile quando il server stesso è sotto attacco.

3 Rimani aggiornato

WordPress ha tre componenti principali da aggiornare frequentemente.

  • Tema
  • Plugin
  • File WordPress principali

Poiché le minacce possono evolversi nel tempo, tutti questi tre componenti dovrebbero essere aggiornati alle versioni più recenti e sicure. Si consiglia vivamente di abilitare l’aggiornamento automatico per le versioni di WordPress in modo che eventuali patch di sicurezza vengano installate automaticamente senza il tuo intervento. Assicurati anche di aggiornare temi e plug-in sul tuo server di hosting in modo che siano sicuri e aggiornati.

Scopri di più su come funziona WordPress.

4 Imposta una password sicura

Generalmente gli utenti installano WordPress tramite i servizi di installazione con un clic offerti dalle società di hosting. Questo è un processo di meno di 5 minuti e ci sono possibilità che tu non fornisca una password molto forte durante questo processo di installazione rapida, specialmente quando lo fai per la prima volta. Inoltre, la maggior parte degli utenti dimentica di aggiornare la password dopo la configurazione iniziale e alcuni utenti saggi usano persino la password come "password".

Il sito WordPress self-hosted ha bisogno di molte password per diversi motivi. Assicurati di avere password complesse per tutti i tuoi account e proteggi le credenziali da persone sconosciute.

  • Password di accesso per il pannello di amministrazione di WordPress
  • Password di accesso all’account FTP
  • Password per il tuo database
  • Password per diversi utenti sul tuo sito come amministratore, editor, contributori, ecc.
  • La password di accesso del tuo account di hosting
  • Password per l’ accesso a cPanel e phpMyadmin

Puoi anche utilizzare l’autenticazione a due fattori per accedere alla dashboard di WordPress. Ciò aiuta ad avere due password, ad esempio una per l’accesso iniziale alla dashboard e una password aggiuntiva verrà inviata al tuo cellulare per l’accesso finale. Cambia immediatamente la password se vedi che qualcosa non va sul tuo sito. Usa il nostro strumento gratuito per la creazione di password per creare password complesse e verifica la sicurezza della tua password utilizzando il nostro strumento gratuito per il controllo della sicurezza della password .

Correlati: scarica la guida alla sicurezza di WordPress in formato PDF.

5 Cambia nome utente amministratore

Analogamente alle password, è abitudine per la maggior parte di noi fornire un semplice nome utente come "admin". Il primo tentativo che qualsiasi bot o hacker tenterà di accedere al tuo sito è con il nome utente "admin" e la password come "password". Una volta completata l’installazione, WordPress non ti consentirà di modificare il nome utente. Quindi fornisci nome utente e password complessi durante l’installazione in modo che hacker e bot non possano indovinarlo facilmente.

Scopri di più su come cambiare il tuo nome utente admin.

Puoi mantenere il nickname e il nome visualizzato diversi dal nome utente per rendere difficile agli hacker trovare il nome utente dell’amministratore. Allo stesso modo, cerca di mantenere diversi i nomi utente di amministratore, editor e collaboratore. Altrimenti è facile per gli hacker trovare il nome utente dell’amministratore sul tuo sito con la pagina degli archivi dell’autore.

6 Utilizzare la gestione sicura dei ruoli

WordPress offre molti ruoli per classificare le persone che gestiscono il tuo sito. Amministratore, editore, collaboratore, sottoscrittore sono alcuni dei ruoli che puoi assegnare. Quando hai abilitato la funzione di registrazione sul tuo sito, assicurati di offrire abbonato o nessun ruolo ai nuovi utenti che si iscrivono.

Guida alla sicurezza di WordPress - 28 suggerimenti per proteggere il tuo sito

Abilita il ruolo di abbonato per i nuovi utenti

È necessario fornire le tue credenziali di amministratore per ottenere determinati assistenti per i tuoi plugin o temi commerciali. Crea sempre un utente amministratore separato e forniscilo solo in un’area privata dei forum di supporto che non può essere vista da altri utenti. Non dimenticare di eliminare l’utente una volta risolta la query.

7 Usa temi e plugin affidabili

WordPress ha 57 migliaia di plugin gratuiti disponibili nel repository quando viene scritto questo articolo. Oltre a questi plug-in gratuiti, esiste un numero equivalente di plug-in premium e gratuiti offerti attraverso vari siti Web di terze parti. Allo stesso modo è disponibile un numero enorme di temi gratuiti e premium tra cui scegliere.

Diversi tipi di plug-in gratuiti ea pagamento inducono sempre i principianti a installare e provare sul proprio sito WordPress. L’abbondanza di temi e plug-in può causare enormi minacce alla sicurezza del tuo sito. Non vi è alcuna garanzia che questi plugin e temi vengano mantenuti e aggiornati per proteggerli dalle ultime vulnerabilità. Non acquistare o installare plugin e temi da risorse inaffidabili e mantieni sempre l’abitudine di testare plugin e temi sul tuo sito di sviluppo prima di distribuirli sul sito live. Scegli sempre una versione premium per ottenere il supporto appropriato invece di utilizzare versioni gratuite.

Oltre alla sicurezza, l’installazione di più plugin ridurrà anche la velocità di caricamento della pagina. Quindi elimina i plug-in non necessari e mantieni l’elenco il meno possibile.

Correlati: come configurare il tuo blog WordPress con Bluehost?

8 Disabilita la modifica dei file dal pannello di amministrazione

WordPress ti consente di modificare i file PHP di temi e plug-in direttamente dal pannello di amministrazione. Quando qualcuno ha accesso non autorizzato al tuo pannello di amministrazione, può facilmente iniettare codice dannoso dalla dashboard senza accedere alla directory principale del server. Quindi assicurati di rimuovere l’accesso all’editor per proteggere i tuoi dati dalle persone che accedono al tuo pannello di amministrazione.

Aggiungi il codice seguente nel tuo file "wp-config.php" per disabilitare le opzioni del plugin e dell’editor del tema nel frontend di amministrazione.

define('DISALLOW_FILE_EDIT',true);

Scopri di più su come modificare il file wp-config.php sulla tua installazione di WordPress.

9 Prevenire l’esecuzione di file PHP

Gli hacker eseguono file PHP sul tuo sito per attivare azioni indesiderate. Puoi bloccare gli utenti che eseguono file PHP dalla tua interfaccia di amministrazione da qualsiasi indirizzo IP diverso dal tuo. Per abilitare il blocco dell’esecuzione di PHP, crea il file “.htaccess" e inseriscilo nella cartella “/wp-content/plugins/” e “/wp-content/themes/” con il seguente contenuto:

<Files *.php > deny from all allow from "Your IP address" </Files>

10 Protezione dagli attacchi di forza bruta

L’attacco di forza bruta è il modo per tentare di accedere al tuo sito indovinando il nome utente e la password. È possibile accedere a qualsiasi sito WordPress utilizzando l’URL – “yoursite.com/wp-admin/” o “yoursite.com/wp-login.php/”. Ci sono migliaia di bot dannosi che proveranno ad accedere al tuo sito WordPress poiché l’URL di accesso è noto a tutti.

Mantenere un nome utente e una password amministratore sicuri è essenziale in modo che i bot non possano indovinare. D’altra parte, migliaia di bot che colpiscono la tua pagina di accesso aumenteranno l’utilizzo della CPU e della RAM del tuo server. Ciò porterà la tua società di hosting a vietare il tuo account in particolare sull’ambiente di hosting condiviso.

Esistono molti plug-in di sicurezza disponibili per WordPress per proteggere gli attacchi di forza bruta con uno o una combinazione dei seguenti metodi.

  • Abilita il numero massimo di tentativi di accesso in modo che l’utente venga bloccato dopo pochi tentativi. In qualità di amministratore, riceverai una notifica relativa al blocco con nome utente e dettagli IP.
  • Usa captcha sui moduli di accesso e registrazione per proteggere i tentativi di accesso automatico dei bot.
  • Quando noti bot dannosi stanno tentando di accedere, verranno reindirizzati al server localhost per evitare il caricamento sul tuo server.
  • Modifica l’URL del tuo accesso al pannello di amministrazione.
  • Mantenere una whitelist per consentire solo a quegli indirizzi IP di accedere alla pagina di accesso. A tutti gli altri indirizzi IP verrà negato l’accesso alla pagina di accesso.
  • Prevenzione dell’accesso basata sui cookie che consente solo alle persone che hanno impostato cookie speciali sul proprio browser di accedere al tuo sito.
  • Utilizzo della tecnica honeypot per inserire un campo nascosto nella pagina di login. Poiché i bot tendono a riempire tutti i campi della pagina di accesso, possono essere facilmente bloccati dall’accesso al tuo sito.

Scopri in dettaglio come prevenire attacchi di forza bruta nel sito WordPress.

11 Blocca utenti sospetti, bot e lista nera IP

Un altro aspetto importante della sicurezza è monitorare gli utenti e i bot che accedono al tuo sito. Poiché la maggior parte dei servizi di hosting a pagamento si basa sul limite di traffico, è necessario monitorare i bot automatici che eseguono la scansione del tuo sito. Puoi trovare i dettagli del traffico utilizzando uno degli strumenti di statistica disponibili nel tuo account di hosting come "Awstats". I singoli utenti, il nome dell’agente utente dei bot e gli indirizzi IP possono essere bloccati per proteggere il tuo sito.

Puoi anche bloccare facilmente tutti gli indirizzi IP diversi dal tuo creando un file “.htaccess” e posizionandolo all’interno della cartella “/wp-admin/” con il seguente codice:

order deny,allow allow from "Your IP address" deny from all

Se accedi al pannello di amministrazione da più di un indirizzo IP, consenti più indirizzi IP aggiungendo più comandi di autorizzazione come di seguito:

order deny,allow allow from "Your IP address1" allow from "Your IP address2" allow from "Your IP address3" deny from all

Puoi anche bloccare l’intero paese utilizzando i plug-in di blocco del paese.

12 Disabilitare la navigazione nelle directory

La navigazione nella directory consente a qualsiasi utente di navigare nella struttura della directory del tuo sito. Ad esempio, chiunque può aprire la cartella "/wp-content/plugins/" sul browser e controllare tutti i plug-in installati sul tuo sito. Quando un hacker sa che c’è un plugin problematico sul tuo sito, sarà una facile porta d’ingresso per dirottare il tuo sito.

La navigazione nella directory può essere disabilitata aggiungendo la seguente direttiva nel file ".htaccess" situato nella directory principale del tuo server.

Options All -Indexes

Scopri come modificare il file .htaccess nel sito WordPress.

13 Disabilita la versione di WordPress

I siti WordPress mostrano la versione di WordPress che utilizza nel codice sorgente delle pagine. Puoi fare clic con il pulsante destro del mouse e visualizzare il codice sorgente del tuo sito WordPress sul browser per trovare le informazioni sulla versione come di seguito:

<meta name="generator" content="WordPress 5.5" />

Idealmente non è necessario nascondere questo tag del generatore di meta se stai prontamente aggiornando all’ultima versione. Si consiglia di nascondere queste informazioni sulla versione se non si utilizza l’ultima versione o se non si aggiorna periodicamente.

Le vecchie versioni di WordPress presentano molte vulnerabilità note che vengono risolte nel tempo. Gli hacker possono utilizzare queste informazioni sulla versione per trovare i siti che utilizzano versioni precedenti e iniettare facilmente tali vulnerabilità. Oltre al tag del generatore di meta, WordPress mostra anche il numero di versione nella maggior parte dei fogli di stile e dei file di script aggiungendo il suffisso alla stringa "/?ver=5.5". Utilizza i plug-in di sicurezza per rimuovere completamente le informazioni sulla versione da tutti i codici sorgente.

Offerta SEO: ottimizza il tuo sito con la speciale prova gratuita di 14 giorni di Semrush Pro.

14 Modificare il prefisso della tabella del database

Quando installi WordPress, sarai promosso a inserire il prefisso per le tabelle del tuo database MySQL. WordPress per impostazione predefinita aggiunge "wp_" a tutte le tabelle del database come prefisso. Ad esempio, tutto il contenuto di testo del tuo sito WordPress è archiviato nella tabella "wp_posts". Ciò semplifica il lavoro degli hacker per iniettare codice dannoso nelle tabelle del database direttamente tramite un accesso inappropriato.

Generalmente l’installazione con un clic da parte delle società di web hosting aggiunge sempre un prefisso complesso al database di WordPress. Ma quando installi WordPress manualmente se hai fornito un semplice prefisso, ti consigliamo di cambiarlo ora. È possibile modificare il prefisso della tabella del database utilizzando uno qualsiasi dei plug-in di sicurezza poiché la modifica manuale è un compito piuttosto difficile per i principianti.

Modificando il prefisso stai migliorando la protezione del tuo database poiché gli hacker non possono indovinare i nomi corretti delle tabelle.

15 Cambia l’URL di accesso di WordPress

La modifica dell’URL di accesso ridurrà gli attacchi di forza bruta poiché nessun bot e hacker trovano il modo di accedere al tuo sito. Plugin come iThemes Security e All in one WP security e firewall offrono un modo semplice per modificare l’URL di accesso. Puoi mantenere l’URL simile a " http://nomesito.com/dontattack1me4/ " contenente caratteri alfanumerici per renderlo più sicuro.

16 Utilizzo dei permessi file corretti

Ogni file e cartella sulla tua installazione di WordPress viene fornito con un’autorizzazione file definita. Questo aiuta a decidere chi può leggere, scrivere o eseguire determinati file sul sito. Generalmente i file come "wp-config.php" e ".htaccess" dovrebbero essere protetti con il permesso appropriato in modo che il gruppo pubblico non possa accedere a questi file.

Guida alla sicurezza di WordPress - 28 suggerimenti per proteggere il tuo sito

Modificare il permesso del file usando FileZilla

I permessi di file predefiniti definiti da WordPress sono per lo più sufficienti per proteggere i tuoi dati. Ma il problema sorge quando installi plugin e temi che cambieranno o creeranno molte cartelle sulla tua installazione. È una buona pratica scansionare il tuo sito e assicurarti di avere le autorizzazioni corrette per tutte le cartelle importanti.

17 Tracciamento delle modifiche ai file

Gli hacker iniettano codice dannoso nel tuo file system e visualizzano il loro contenuto invece del tuo quando il sito viene aperto. Quindi è una saggia idea tenere traccia delle modifiche su file importanti sul tuo sito. Generalmente tutti i file core con estensione .php (come "wp-config.php") non dovrebbero essere modificati da nessuno a tua insaputa.

È possibile ottenere questo tracciamento dei file utilizzando uno qualsiasi dei plug-in di sicurezza. Questi plugin ti consentono di scegliere directory e file specifici sul tuo sito da monitorare.

18 Utilizzare le impostazioni di base del firewall

Esistono impostazioni firewall di base e avanzate per migliorare la sicurezza del tuo sito WordPress. Generalmente questi controlli vengono aggiunti nel file ".htaccess" e impediscono a hacker e bot di accedere al tuo sito. Alcune delle impostazioni del firewall per migliorare la sicurezza di WordPress includono:

  • Nega l’accesso ai file “wp-config.php” e “.htaccess”.
  • Limita la dimensione del caricamento del file
  • Rimuovi la firma del server

19 Nega l’accesso al file di registro

La risoluzione dei problemi di WordPress richiede un’analisi esperta della situazione. WordPress ti consente di abilitare la registrazione di debug in modo che sia facile scoprire cosa sta succedendo quando l’azione viene attivata sul tuo sito. Una volta abilitato il debug, il file "debug.log" verrà archiviato in "/wp-content/debug.log". Questo è un file importante da proteggere dagli hacker per evitare che vengano divulgate informazioni sensibili. Assicurati di disabilitare il debug una volta completata la risoluzione dei problemi ed elimina i file di registro.

Inoltre puoi disabilitare l’accesso del browser al file "debug.log" e continuare ad accedere tramite FTP.

20 Disabilita XMLPRC e Pingback

Quando monitori il traffico verso il tuo sito, sarai sorpreso di vedere il numero di bot che tentano di accedere alla pagina "/xmlprc.php". Ci sono molte possibilità che gli hacker possano utilizzare l’API XMLPRC per rimuovere il tuo sito, incluse vulnerabilità come DoS o Denial of Service.

Oltre ai problemi di hacking, è necessario proteggere l’accesso alla pagina "xmlprc.php" per ridurre il carico sul server di hosting. Assicurati di non utilizzare la funzione XMLPRC sul tuo sito WordPress e disabilitala per proteggere il tuo sito dagli hacker.

Avvertenza: tieni presente che alcuni plug-in e app come l’app WordPress per iOS utilizzano questa API XMLPRC. Se disabiliti il ​​servizio, l’app o il plug-in non funzioneranno.

Simile a XMLPRC, i pingback possono anche creare problemi di sicurezza per il tuo sito. Puoi disabilitare i pingback dal pannello di amministrazione e migliorare la protezione dei dati per il tuo sito.

Guida alla sicurezza di WordPress - 28 suggerimenti per proteggere il tuo sito

Disabilitare i Pingback in WordPress

21 Gestire i dati sensibili in modo sicuro

Nel mondo della sicurezza di WordPress, hackerare non significa necessariamente dirottare sempre il sito o il server. La maggior parte delle volte l’hacking viene eseguito per rubare dati sensibili come e-mail e dettagli della carta di credito disponibili sul sito. Utilizza HTTPS sulle pagine per raccogliere dati tramite moduli, soprattutto se i dati sono di natura sensibile come dettagli finanziari, codice fiscale, ecc. e invia i dati tramite server di posta elettronica protetti per proteggerli dagli hacker. Soprattutto se hai un negozio online, è obbligatorio utilizzare SSL e applicare il protocollo HTTPS per le transazioni finanziarie.

Non utilizzare robots.txt per nascondere pagine e directory importanti dai motori di ricerca. Chiunque può visualizzare il tuo file robots.txt sul browser e accedere alle pagine nascoste. L’utilizzo delle direttive ".htaccess" può aiutare a controllare meglio, ma discuterne con lo sviluppatore del plug-in o un esperto se non si capisce come vengono archiviati e trasferiti i dati.

Generalmente i dati raccolti dai moduli vengono archiviati in tabelle personalizzate nel database e utilizzati per scopi diversi. Quindi, assicurati che nessun’altra persona abbia accesso al tuo account di hosting e legga le tabelle del database.

22 Prevenire lo spam

Sebbene lo spamming non sia un hacking, l’hacker può essere uno spammer per verificare le vulnerabilità del tuo sito tramite commenti o invio di moduli.

  • Assicurati di utilizzare plug-in di prevenzione dello spam come Akismet per proteggere il tuo sito dagli spammer.
  • Se richiesto, puoi utilizzare captcha sui moduli di commento, login, registrazione e contatto.
  • Blocca i commenti che non provengono dal tuo dominio per impedire ai bot di generare automaticamente commenti dall’esterno del tuo sito.

23 Avere un backup periodico del sito

Da Outlook la sicurezza e il backup guarderanno due argomenti diversi. Ma la verità è che sono interconnessi come due fasi di un’unica attività. Quando un sito viene violato, la prima cosa di cui hai bisogno è avere un backup sicuro per ripristinare il contenuto.

  • Assicurati di avere un backup periodico dei file del sito e del database.
  • Archivia il tuo backup al di fuori del server di hosting.
  • Proteggi il tuo backup da accessi non autorizzati in modo simile alla protezione del tuo sito live.
  • Testa e conferma che il backup funziona e può essere ripristinato durante l’emergenza.
  • Verifica con il tuo host che sia stato eseguito il backup dell’intero contenuto del sito e che possono aiutare nel ripristino durante il disastro.

Effettua regolarmente il backup del tuo sito in modo che possa essere ripristinato durante le situazioni di emergenza. Scarica anche il backup sul tuo computer locale e tienilo lontano dal tuo server di hosting. Il backup locale ti aiuterà a ripristinare il tuo sito quando il tuo server è infetto.

Nota: puoi creare un ambiente di sviluppo WordPress locale utilizzando MAMP qualsiasi altro software ed eseguire periodicamente il backup del tuo sito live sul computer locale.

24 Scansione per malware

Il malware o il software dannoso è un pezzo di codice che l’hacker inserirà nel tuo codice normale. Potrebbe essere difficile trovare malware su un sito, poiché è difficile differenziare il codice dannoso. Scansiona periodicamente il tuo sito alla ricerca di malware utilizzando servizi di sicurezza a pagamento per assicurarti che i contenuti del tuo sito siano al sicuro. La maggior parte delle società di hosting e dei plug-in di sicurezza offre funzionalità di scansione del malware e invia lo stato della scansione alla tua e-mail.

Quando il tuo sito viene infettato da software dannoso o si verifica qualsiasi altro problema di sicurezza di WordPress, la prima cosa che potresti notare è un calo del traffico. Poiché i robot dei motori di ricerca come Googlebot sono molto intelligenti, possono rilevare il codice dannoso e abbassare il ranking della ricerca per proteggere gli utenti. Puoi utilizzare gli strumenti di sicurezza disponibili in Google Search Console e confermare che il tuo sito è sicuro da navigare.

Guida alla sicurezza di WordPress - 28 suggerimenti per proteggere il tuo sito

Controlla i problemi di sicurezza in Google Search Console

25 Monitoraggio degli errori 404

I bot automatici cercheranno di accedere a pagine inesistenti sul tuo sito, portando così all’errore 404. Il monitoraggio dell’errore 404 ti darà un’idea di chi sta tentando di accedere agli URL vecchi o inesistenti sul tuo sito.

Ad esempio, un bot o un utente tenta di accedere a una pagina inesistente “…/payment/” dovrebbe essere bloccato. Ciò indica che il bot o l’utente sta cercando di indovinare le potenziali pagine nascoste sul tuo sito per ottenere dati sensibili.

Correlati: Guida SEO di WordPress per migliorare il ranking di ricerca.

26 Proteggi file WP-config e .htaccess

"Wp-config.php" è il file di configurazione con informazioni importanti come il nome del database e la password del tuo sito WordPress. È possibile accedere al file tramite FTP o tramite account di hosting utilizzando opzioni come "File Manager". La maggior parte dei plugin di sicurezza aggiunge parametri in questo file di configurazione per controllare il comportamento. Si consiglia vivamente di eseguire il backup del file "wp-config.php" prima di effettuare qualsiasi impostazione sui plug-in relativi alla sicurezza.

Allo stesso modo, il file ".htaccess" situato nella directory principale del tuo sito è il file chiave utilizzato per le misure di sicurezza. Assicurati di avere un backup prima di modificare il file tramite i plugin di sicurezza.

27 Fornire un accesso sicuro a terze parti

Quando acquisti un tema o un plug-in da un sito Web di terze parti, potrebbe essere necessario fornire l’accesso come amministratore per la risoluzione dei problemi. Segui le linee guida seguenti quando hai a che fare con sviluppatori di terze parti:

  • Controlla tutti gli aspetti della risoluzione dei problemi e conferma la necessità di condividere le credenziali di accesso dell’amministratore.
  • Non condividere mai il tuo accesso amministratore a siti Web di terze parti.
  • Crea un nuovo nome utente con accesso amministratore e forniscilo.
  • Quando offri l’accesso FTP, assicurati di limitare l’accesso solo per la cartella o il dominio richiesti.
  • Quando si elimina l’account FTP, fare attenzione a eliminare solo l’account e non i dati associati all’account FTP. L’eliminazione errata dell’account FTP insieme ai dati associati cancellerà i tuoi contenuti in pochi secondi.

28 Usa i plugin di sicurezza di WordPress

L’implementazione di tutte le misure di sicurezza discusse sopra sarà un compito arduo per i proprietari dei siti. Fortunatamente, ci sono molti plugin di sicurezza WordPress gratuiti e premium che offrono queste funzionalità come pacchetto. Puoi utilizzare plug-in gratuiti come All in One WP Security e Firewall o plug-in parzialmente gratuiti come iThemes security / Wordfence. La maggior parte dei punti sopra menzionati sono offerti come pacchetto in questi plugin di sicurezza e semplificano il tuo lavoro.

Di seguito sono riportati alcuni dei plugin di sicurezza più diffusi e ti consigliamo vivamente di testare quello adatto alle tue esigenze prima di installarlo sul sito live.

Plugin del pacchetto di sicurezza

Questi plugin offrono la maggior parte delle funzionalità di sicurezza in bundle.

  • iThemes Security (precedentemente Better WP Security)
  • Sicurezza del recinto di parole
  • Sicurezza a prova di proiettile
  • All in One WordPress Sicurezza e Firewall

Plugin di protezione password

  • Forza password complesse
  • Scadenza password WordPress

Protezione dalla forza bruta

  • Soluzione per la sicurezza dell’accesso
  • Blocco accesso
  • Rinomina wp-login.php
  • Modulo Jetpack Protect.
  • Amministratore WP di blocco
  • Clef—Autenticazione a due fattori
  • Google Authenticator

Plugin HTTPS

  • WordPress HTTPS (SSL)

Sicurezza e-mail

  • WP Mail SMTP

Parole finali

Sebbene l’elenco sia lungo, è necessario seguire tutti questi suggerimenti per la sicurezza di WordPress per proteggere il tuo sito. Come accennato, puoi utilizzare qualsiasi plug-in gratuito o premium per implementare la maggior parte di queste funzioni. Inoltre, ti consigliamo di mantenere la sicurezza come abitudine per eseguire backup regolari e mantenere il tuo sito con aggiornamenti tempestivi.

Fonte di registrazione: webnots.com
Lascia una risposta

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More