Una guida per principianti per proteggere il tuo sito WordPress

Pubblicato: 2017-05-16

WordPress è uno dei sistemi di gestione dei contenuti più popolari.

In effetti, questa piattaforma di pubblicazione è ora utilizzata da oltre il 27,5% dei primi 10 milioni di siti. Altre piattaforme come Joomla e Drupal semplicemente impallidiscono al confronto. Ciò che rende WordPress così ampiamente supportato è la sua facilità d'uso, che consente di creare un sito completamente funzionante in un breve periodo di tempo.

Ma il fatto che WordPress sia così diffuso lo rende anche un bersaglio per gli hacker.

Eventuali vulnerabilità di sicurezza potrebbero rendere il tuo sito suscettibile ad attacchi dannosi e persino compromettere i dati degli utenti nel processo. Questo tipo di attacco può essere assolutamente devastante per qualsiasi azienda.

Un sito compromesso non solo riduce la fiducia dei tuoi visitatori, ma potrebbe anche inserire le tue pagine nella lista nera di Google. In effetti, un passo che Google sta già compiendo verso un Web più sicuro è la visualizzazione di un avviso per gli utenti di Chrome se stanno tentando di visitare un sito potenzialmente pericoloso o ingannevole (ad es. phishing o malware).

Chiunque visiti il ​​tuo sito (se è stato attaccato) potrebbe incontrare quanto segue:

Protect Your WordPress Site

L'importanza della sicurezza del sito Web non può essere sottolineata abbastanza.

Tutto ciò che serve è un singolo attacco per fermare completamente le vendite e potenzialmente inserire il tuo sito nella lista nera di Google. Rimuovere il tuo sito è certamente possibile, ma dovrai richiedere una revisione manuale che può richiedere diversi giorni o addirittura settimane per essere risolta a seconda del problema. Una soluzione molto migliore è quindi adottare misure per proteggere il tuo sito.

Qui diamo uno sguardo approfondito a come puoi proteggere e mantenere sicuro il tuo sito WordPress.

Mantieni WordPress aggiornato

Gli aggiornamenti per WordPress sono fondamentali.

Una valutazione di oltre 11.000 siti infetti ha rilevato che il 75% era su WordPress. Più sorprendente, tuttavia, è il fatto che oltre il 50% di quei siti Web non era aggiornato. L'aggiornamento all'ultima versione non solo ti dà accesso a funzionalità più recenti, ma corregge anche i noti difetti di sicurezza che gli aggressori potrebbero sfruttare.

In effetti, queste vulnerabilità di sicurezza diventano note quando sono disponibili nuovi aggiornamenti. Ecco un esempio di registro di sicurezza per una versione aggiornata di WordPress:

Keep WordPress Updated

Questa informazione è apertamente disponibile man mano che vengono rilasciati nuovi aggiornamenti. Ma se non aggiorni immediatamente, lasci il tuo sito aperto agli attacchi. Aggiorna sempre all'ultima versione per proteggere il tuo sito dalle vulnerabilità scoperte di recente. Se sono disponibili aggiornamenti, vedrai una notifica nella parte superiore della dashboard:

Keep WordPress Updated

Le versioni più recenti di WordPress ti consentono di aggiornare facilmente con un clic di un pulsante. Tieni presente che il tuo sito verrà messo in modalità di manutenzione per un breve periodo fino al completamento dell'aggiornamento. L'aggiornamento richiede solo pochi minuti ma una volta terminato non dovrai fare nient'altro.

Non hai voglia di aggiornare manualmente il tuo sito ogni volta?

Le notifiche possono essere piuttosto fastidiose. Ma aggiornare il tuo WordPress è uno dei modi più semplici per proteggere il tuo sito. Se non vuoi preoccuparti se il tuo sito ha l'ultima versione, puoi configurare gli aggiornamenti automatici con alcune semplici modifiche.

Apri il file wp-config.php e aggiungi la seguente riga:

[codice]
define('WP_AUTO_UPDATE_CORE', true);
[/codice]

Puoi anche abilitare gli aggiornamenti automatici dei plugin aggiungendo la seguente riga allo stesso file:

[codice]
add_filter('auto_update_plugin', '__return_true');
[/codice]

E aggiungi questa riga per abilitare gli aggiornamenti per i temi:

[codice]
add_filter('auto_update_theme', '__return_true');
[/codice]

L'aggiunta di queste righe assicurerà che il tuo sito sia mantenuto aggiornato senza richiedere nessun'altra azione. Se sei una persona che non può essere disturbata da aggiornamenti o notifiche, vorrai sicuramente configurare gli aggiornamenti automatici per assicurarti che il tuo sito sia sempre aggiornato.

Proteggi l'area di amministrazione

Non importa quanto sia sicuro qualcosa, chiunque può accedervi facilmente se dispone degli strumenti giusti o se i proprietari sono negligenti. Con WordPress, l'area di amministrazione è un obiettivo primario per gli hacker.

Segui questi passaggi per proteggere questa pagina:

Usa una password complessa

Se utilizzi una password debole (ad es. "12345", "password", ecc.), metti il ​​tuo sito a rischio maggiore poiché gli aggressori possono utilizzare script automatici per introdursi con la forza bruta. Ciò significa tentare ripetutamente una password finché non funziona finalmente . Ma l'uso di una password complessa che contiene una combinazione di numeri e simboli rende quasi impossibile il crack anche dei programmi più sofisticati.

Usa uno strumento come Strong Password Generator per creare una password forte e sicura per il tuo sito WordPress:

Use a Strong Password

La forzatura bruta di una password come questa richiederebbe anni o addirittura decenni per decifrare un programma per computer. Lo svantaggio però è che una password complessa è difficile da ricordare. Ma il compromesso vale sicuramente la pena se significa impedire agli aggressori di ottenere l'accesso al tuo sito. Fortunatamente, sono disponibili numerosi gestori di password che puoi utilizzare per memorizzare la tua password.

Cambia il tuo nome utente

Quando installi per la prima volta WordPress, ti verrà chiesto di inserire un nome utente.

Change Your Username

Gli aggressori non potranno accedere alla tua dashboard a meno che non dispongano sia del tuo nome utente che della tua password. Puoi facilmente bloccare i tentativi di forza bruta semplicemente usando un nome utente più univoco. Quindi non usare "admin" quando scegli un nome utente.

Limita i tentativi di accesso

Limit Login Attempts

Come accennato in precedenza, gli aggressori possono utilizzare programmi per farsi strada con la forza bruta nel tuo sito. Tuttavia, sono disponibili plug-in come Login LockDown che consentono di limitare i tentativi di accesso da un indirizzo IP specifico. Se più di alcuni tentativi non hanno esito positivo, l'utente viene bloccato.

Rinomina la tua pagina di accesso

Infine, un altro modo per proteggere l'area di amministrazione è spostare del tutto la pagina di accesso. In genere si accede alla dashboard da www.yoursite.com/wp-admin . Un problema evidente, tuttavia, è che gli hacker sanno che la semplice aggiunta di " /wp-admin " a un sito WordPress consentirà loro di accedere alla pagina di amministrazione.

Rename Your Login Page

Protect WP-Admin risolve questo problema consentendo ai webmaster di personalizzare l'URL del pannello di amministrazione:

La protezione dell'area di amministrazione seguendo questi passaggi può ridurre e bloccare notevolmente gli attacchi automatici al tuo sito.

Abilita l'autenticazione a due fattori

L'autenticazione a due fattori aggiunge un ulteriore livello di sicurezza rendendo ancora più difficile per gli aggressori l'accesso al tuo account. L'accesso non richiede solo un nome utente e una password, ma anche un codice di autorizzazione aggiuntivo che viene generalmente inviato tramite SMS a un dispositivo mobile.

Anche se un utente malintenzionato in qualche modo indovina il tuo nome utente e password, non sarebbe in grado di accedere al tuo account senza il codice di autorizzazione. Scarica e installa il plug-in Google Authenticator per configurare facilmente l'autenticazione a due fattori sul tuo sito:

Enable two-factor authentication

Oltre a poter utilizzare l'app Google Authenticator per la verifica, il plug-in offre anche opzioni aggiuntive per l'autenticazione a due fattori come la verifica tramite e-mail e telefonata. L'autenticazione a due fattori può essere utilizzata anche se il tuo sito ha più utenti.

Usa .htaccess per limitare l'accesso ai file cruciali

Puoi rafforzare ulteriormente la sicurezza del tuo sito WordPress con il file .htaccess. Questo file viene utilizzato principalmente in WordPress per l'ottimizzazione del sito Web, ad esempio la riscrittura degli URL per essere più facili da usare per l'utente e per i motori di ricerca. Ma può anche essere utilizzato per migliorare la sicurezza del tuo sito.

Il file .htaccess si trova in genere nella cartella principale ed è possibile accedervi tramite un client FTP o cPanel. Sono inoltre disponibili diversi plugin tra cui SEO di Yoast che consente l'accesso diretto dalla dashboard.

Ecco diversi modi per proteggere il tuo sito utilizzando il file .htaccess:

Nascondi wp-config.php

Il file wp-config.php è standard con ogni installazione ma contiene anche informazioni sensibili come le chiavi di sicurezza e i dettagli di connessione del database al tuo sito. Questi sono dettagli che di certo non vorresti nelle mani sbagliate. La soluzione migliore è quindi nascondere completamente questo file e renderlo inaccessibile.

Nascondi il file wp-config.php aggiungendo il seguente codice al file .htaccess:

[codice]
<file wp-config.php>
ordinare consentire, negare
negato da tutti
</file>
[/codice]

Impedisci la navigazione nella directory

A causa del modo in cui WordPress implementa la sua struttura di file, è del tutto possibile per i visitatori accedere alle cartelle e ai file del tuo sito semplicemente navigando su yoursite.com/wp-content/uploads. Quindi ti consigliamo di impedire l'esplorazione delle directory poiché gli aggressori potrebbero utilizzare queste informazioni per scopi nefasti.

Aggiungi la seguente riga al tuo file .htaccess:

[codice]
Opzioni Tutti -Indici
[/codice]

I file PHP sono estremamente importanti da proteggere poiché gli hacker possono utilizzare questi file per iniettare codice dannoso per infettare un sito. Aggiungi il seguente codice al tuo file .htaccess per impedire l'accesso al tuo plugin e ai file PHP del tuo tema:

[codice]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
[/codice]

La semplice aggiunta di queste modifiche al tuo file .htaccess migliorerà la sicurezza del tuo sito WordPress e renderà ancora più difficile per gli aggressori l'accesso al tuo sito. Indipendentemente da ciò, non esiste un sito completamente sicuro poiché nuove vulnerabilità vengono costantemente scoperte e sfruttate.

Ecco perché è necessario disporre di un piano di riserva nel caso in cui le cose dovessero prendere una brutta piega.

Effettua regolarmente il backup del tuo sito Mantieni backup regolari

Indipendentemente dal numero di misure di sicurezza adottate, il tuo sito potrebbe essere comunque vulnerabile.

Anche se WordPress è in circolazione da oltre un decennio, il team di sviluppo identifica e risolve costantemente i problemi di sicurezza. Per non parlare del fatto che eventuali nuovi temi o plug-in installati potrebbero anche avere exploit che non sono stati ancora corretti.

Ecco perché è una buona idea eseguire regolarmente il backup del tuo sito. In questo modo puoi ripristinare rapidamente il tuo sito e ridurre al minimo le perdite se il tuo sito viene rimosso da un attacco.

Ti consigliamo di assicurarti che il backup del tuo sito venga eseguito regolarmente e che venga salvato anche nel cloud. Se il tuo computer è compromesso, potrai accedere a quel backup e ripristinare da un altro dispositivo. Ti consigliamo di utilizzare una soluzione automatizzata come BackupBuddy.

Regularly Backup Your Site Maintain Regular Backups

La maggior parte delle soluzioni di backup richiede un abbonamento a pagamento. Ma se fai affidamento sul tuo sito Web per la tua attività, vale la pena pagare solo per la tranquillità. Nel caso in cui il tuo sito venga rimosso a causa di un attacco, puoi collaborare con il tuo provider di hosting e ripristinare facilmente il tuo sito a una versione precedente con un backup.

Conclusione

Sebbene lo stesso WordPress sia relativamente sicuro, l'aggiunta di temi, plug-in e codice personalizzato aumenta la probabilità di una vulnerabilità di sicurezza che gli hacker possono (e fanno) sfruttare. A meno che tu non adotti determinate misure di sicurezza in questo momento, il tuo sito potrebbe essere un potenziale bersaglio.

È importante notare che nessun sistema è completamente sicuro. Ma ci sono precauzioni che puoi prendere che ridurranno notevolmente le possibilità di essere colpiti da un attacco dannoso.

Segui i passaggi descritti qui per rafforzare la sicurezza del tuo sito WordPress.