La sicurezza di WordPress è un argomento di enorme importanza per ogni proprietario di siti web. Google blocca ogni settimana circa oltre 10.000 siti Web per malware e circa 50.000 per il phishing ogni settimana.
Se sei seriamente interessato al tuo sito web, devi prestare attenzione alle migliori pratiche di sicurezza di WordPress. In questa guida, condivideremo tutti i migliori consigli sulla sicurezza di WordPress per aiutarti a proteggere il tuo sito web da hacker e malware.
Mantenete aggiornato WordPress: core, temi e plugin
Questi aggiornamenti di WordPress sono fondamentali per la sicurezza e la stabilità del tuo sito WordPress. È necessario assicurarsi che il core, i plugin e il tema di WordPress siano aggiornati. Ricordiamo sempre prima di procedere ad aggiornamenti di fare backup del Data Base e del sito.
Usate password complesse e attenzione alle autorizzazioni utente
I più comuni tentativi di hacking di WordPress utilizzano password rubate. Puoi renderlo difficile utilizzando password più forti che sono uniche per il tuo sito web. Non solo per l’area admindi WordPress, ma anche per account FTP, database, account di hosting WordPress e i tuoi indirizzi email personalizzati che utilizzano il nome di dominio del tuo sito.
Usa sempre almeno 8 caratteri con: maiuscole, minuscole, numeri e caratteri speciali, evita riferimenti al tuo nome, dominio ecc quei dati che possono essere di pubblico dominio.
Se avete collaboratori ricordatevi poi di assegnare i corretti ruolicon le dovute limitazioni del caso, ci è capitato di vedere numerosi account amministratore distribuiti a più utenti dove vi erano password estremamente facili da rubare.
Cambia il nome utente “admin” predefinito
Una delle prime cose quando configuri il tuo WordPress è quella di cambiare il nome di login dell’amministratore che in genere WP assegna con “admin”, usate anche qui nomi non riconducibili a voi al dominio o cose reperibili pubblicamente.
Nota: stiamo parlando del nome utente chiamato “admin”, non del ruolo di amministratore.
L’importanza dell’Hosting Provider
Il servizio di hosting WordPress gioca il ruolo più importante nella sicurezza del tuo sito WordPress. Moviement ad esempio prende le misure extra per proteggere i propri server dalle minacce comuni, assicurati che anche il tuo provider le metta in atto.
Ecco come Moviement lavora in background per proteggere i tuoi siti web e dati.
- Monitoriamo continuamente la rete per attività sospette.
- Dispongono di strumenti per prevenire attacchi DDOS su larga scala.
- Mantieniamo aggiornato il software e l’hardware del server per impedire agli hacker di sfruttare una vulnerabilità di sicurezza.
- Inseriamo a livello di sistema degli script che impediscono injection di codice malevolo.
- Disabilitazione dell’esecuzione di file PHP in alcune directory di WordPress.
- Abbiamo piani di disaster recovery e incidenti che consentono di proteggere i dati in caso di incidente grave.
Su un piano di hosting condiviso, condividi le risorse del server con molti altri clienti. Questo apre il rischio di contaminazione tra siti in cui un hacker può utilizzare un sito vicino per attaccare il tuo sito web.
L’utilizzo di un servizio di hosting WordPress gestito, offre una piattaforma più sicura per il tuo sito web.
Hosting Professionalil nostro piano top per WordPress
Installa una soluzione di backup
La sicurezza non è mai troppa, nonostante il vostro provider possa fornirvi soluzioni di backup e disaster recovery è sempre utile crearsi una propria copia di backup da tenere in sicurezza, ovviamente dovrete schedulare che venga attivata costantemente ogni giorno. In merito esistono sul mercato diversi plug-in gratuiti e a pagamento vi possiamo consigliare UpdraftPluso VaultPress
NOTA: UpdraftPlus è utile anche per gestire due piattaforme WordPress, sito di test e sito di produzionee permette quindi di lavorare su test per poi migrare tutto in produzione. Utilissimo quando si testono aggiornamenti di core, plugin ecc.. vi permetteranno di non impattare nel sito in produzione.
Per configurazioni o come creare due zone wordpress contattateci senza impegno
Installa un plugin di sicurezza
Ci sono diverse soluzioni sul mercato tra queste possiamo segnalarvi due ottime soluzioni: Sucuri Scanner e iThemes Security queste due piattaforme esaminano tutto quello che succede nel vostro sito e bloccano gli IP Address qualora vengano fatti tentativi di accesso al sito, è possibile inoltre cambiare la directory di login /wp-admin, cambiare il prefisso delle tabelle del DB _wp ecc…
Per maggiori informazioni vi consigliamo di leggere tutte le funzionalità nei link sopra.
Sposta il tuo sito WordPress su SSL / HTTPS
SSL (Secure Sockets Layer) è un protocollo che crittografa il trasferimento dei dati tra il tuo sito web e il browser degli utenti. Questa crittografia rende più difficile per qualcuno annusare e rubare informazioni.
Esistono varie tipologie di certificati: SSLa pagamento oppure sui nostri piani di Hostingviene incluso un certificato Let’s Encrypt free.
Quale scegliere dipende un po dalle vostre esigenze e dall’utilizzo che se ne fa, quelli a pagamento vengono certificati da un ente che attesta che il proprietario di quel dominio siate voi, mentre quelli free vengono attivati con un’autocertificazione che ne attesta la proprietà.
Quelli a pagamento poi permettono una certificazione totale del dominio anche sui terzi livelli “store.dominio.com” per ulteriori informazioni sui certificati potete contattarci o andare alla nostra pagina web.
Per utenti più esperti
Se fai tutto ciò che abbiamo menzionato finora, allora sei in una buona forma, ma come sempre, puoi fare di più per rafforzare la sicurezza di WordPress.
ATTENZIONE: Alcuni di questi passaggi potrebbero richiedere la conoscenza del codice PHP quindi se non sei sicuro, affidati al tuo Provider o a una persona esperta.
Disabilità modifica file
WordPress è dotato di un editor di codice integrato che ti consente di modificare i tuoi file di temi e plug-in direttamente dall’area di amministrazione di WordPress. Nelle mani sbagliate, questa funzione può rappresentare un rischio per la sicurezza, motivo per cui è consigliabile disattivarla.
Apri il file di configurazione di WordPress “wp-config.php” e aggiungi il seguente codice.
Disabilitare l’esecuzione di file PHP in alcune directory di WordPress
Un altro modo per rafforzare la sicurezza di WordPress consiste nel disabilitare l’esecuzione di file PHP nelle directory in cui non è necessario, come / wp-content / uploads /.
Puoi farlo aprendo un editor di testo come Blocco note e incollare questo codice
Successivamente, devi salvare questo file come .htaccess e caricarlo in / wp-content / uploads / folders sul tuo sito web usando un client FTP .
Modifica il prefisso del database di WordPress
Per impostazione predefinita, WordPress utilizza wp_ come prefisso per tutte le tabelle nel database di WordPress . Se il tuo sito WordPress utilizza il prefisso del database predefinito, allora è più facile per gli hacker indovinare qual è il nome della tua tabella. Questo è il motivo per cui ti consigliamo di cambiarlo.
Puoi modificare il prefisso del tuo database accedendo al tuo DataBase attraverso pannelli tipo Plesk o cPanel forniti dal tuo provider .
Nota: questo può rompere il tuo sito se non è fatto correttamente. Procedi solo, se ti senti a tuo agio con le tue capacità di codifica.
Disabilita indicizzazione e navigazione nella directory
La navigazione nelle directory può essere utilizzata dagli hacker per scoprire se si dispone di file con vulnerabilità note, in modo che possano trarre vantaggio da questi file per ottenere l’accesso.
Devi collegarti al tuo sito web usando FTP o il file manager di cPanel. Quindi, individua il file .htaccess nella directory principale del tuo sito web. Se non riesci a vederlo, consulta la nostra guida sul motivo per cui non riesci a vedere il file .htaccess in WordPress .
Dopodiché, devi aggiungere la seguente riga alla fine del file .htaccess:
Non dimenticare di salvare e caricare il file .htaccess sul tuo sito.
Disabilita XML-RPC in WordPress
XML-RPC è stato abilitato di default in WordPress 3.5 perché aiuta a connettere il tuo sito WordPress con applicazioni web e mobili.
A causa della sua natura potente, XML-RPC può amplificare in modo significativo gli attacchi a forza bruta.
Ad esempio, tradizionalmente se un hacker volesse provare 500 password diverse sul tuo sito web, dovrebbe effettuare 500 tentativi di accesso separati che verranno catturati e bloccati dal plug-in di blocco di login. Ma con XML-RPC, un hacker può usare la funzione system.multicall per provare migliaia di password con diciamo 20 o 50 richieste.
Questo è il motivo per cui se non stai usando XML-RPC, ti consigliamo di disabilitarlo.
Consigliamo di aggiungere questa stringa di codice sul file .htaccess
