Sicurezza di WordPress – 24 consigli per proteggere il tuo sito Web dagli hacker

04.06.2020
WordPress 'Sicurezza di WordPress – 24 consigli per proteggere il tuo sito Web dagli hacker
0 37 мин.

La sicurezza di WordPress dovrebbe essere la prima priorità nella gestione di un sito Web. Progetti il ​​tuo sito Web, pubblichi contenuti, vendi prodotti online, ma se non prendi sul serio la sicurezza di WordPress, il tuo sito può essere violato in qualsiasi momento. 


Ogni giorno 30.000 siti Web vengono hackerati e oltre 2.000 siti Web vengono inseriti nella blacklist da Google. Non fai eccezione. Se un sito Web del governo può essere violato, perché non il tuo?

Una mattina ti sei svegliato e hai visto che il tuo sito WordPress è inaccessibile e vedi messaggi casuali come,

“Il tuo sito Web è stato violato da xyz” – il sito è violato

“Il sito a venire contiene malware” – inserito nella blacklist di Google

Questa è la cosa peggiore che potresti mai affrontare con il tuo sito web.

Ma perché WordPress?

WordPress alimenta oltre il 31% (80 milioni) del totale dei siti Web sul Web. Secondo W3Techs, WordPress detiene il 60% della quota di mercato CMS in più rispetto ad altre piattaforme, il che è una ragione abbastanza solida per attirare hacker.

Ma non fatevi prendere dal panico. Rafforzare la sicurezza di WordPress è molto semplice e puoi farlo anche tu.

In questo articolo, condividerò i 24 migliori consigli di sicurezza di WordPress per proteggere il tuo sito Web da hacker e malware.

“Perché non far sparire il cancello del tuo palazzo prima che lo scoprano?” – WPMyWeb

Contents

Problemi comuni di sicurezza di WordPress

Prima di approfondire le best practice sulla sicurezza di WordPress, dobbiamo prima comprendere alcuni problemi di sicurezza di WordPress comuni.

Molti utenti credono che WordPress non sia una piattaforma sicura da utilizzare per un’azienda, il che non è affatto vero. Ciò è dovuto alla mancanza di conoscenza della sicurezza di WordPress, alla cattiva amministrazione del sistema, all’utilizzo di software e plugin WordPress obsoleti, ecc.

Molti principianti di WordPress presumono che la creazione di un sito Web sia la fine e non richieda alcun mantenimento della sicurezza. Ecco come stai lasciando il tuo sito vulnerabile.

Quando gli hacker trovano vulnerabili nel tuo sito, possono facilmente sfruttare il tuo sito.

Diamo un’occhiata ad alcuni dei più comuni problemi di sicurezza di WordPress.

1. Attacchi di forza bruta: 

Nell’attacco della forza bruta, uno script automatico viene utilizzato per generare varie combinazioni di nomi utente e password. Hacker utilizza la pagina di accesso di WordPress per eseguire attacchi di forza bruta. 

Se stai utilizzando un nome utente e una password semplici, potresti essere la prossima vittima di questo attacco.

2. Cross Site Scripting (XSS):

Cross Site Scripting è un tipo di attacco in cui gli aggressori inseriscono codice / script dannoso in un sito Web attendibile. Questo metodo di hacking è totalmente invisibile agli utenti che navigano nel sito Web.

Questi script dannosi caricano in modo anonimo e rubano informazioni dal browser degli utenti. Anche se un utente immette dati in qualsiasi forma, i dati potrebbero essere rubati.

3. Iniezioni SQL:

WordPress utilizza un database MySQL per archiviare informazioni sul blog.

L’iniezione di SQL si verifica quando gli hacker ottengono l’accesso al database di WordPress. Attaccando il database di WordPress, gli hacker possono creare un nuovo account amministratore con pieno accesso al tuo sito.

Possono anche inserire dati nel database MySQL e aggiungere collegamenti a siti Web dannosi o spam.

4. Backdoor:

Con il nome “Back-door”, puoi capire cosa significa. 

Backdoor è un metodo di hacking che consente agli hacker di accedere a un sito Web ignorando il normale processo di autenticazione e persino non essere individuati dal proprietario del sito Web.

Dopo aver violato un sito Web, gli hacker di solito lasciano il loro footprint, in modo da poter accedere nuovamente al sito Web anche se l’hacking viene rimosso.

5. Hack farmaceutici:

Gli hack di WordPress Pharma sono una sorta di spam sul sito Web che riempie i risultati dei motori di ricerca con contenuti di farmacie spammate che sono vietati sul web come Viagra, Nexium, Cialis ecc..

A differenza di altri hack di WordPress, i risultati di hacking farmaceutici sono visibili solo ai motori di ricerca. Quindi non puoi individuare l’hack semplicemente visualizzando il tuo sito web o il codice sorgente.

Vai su Google e digita sito: domain.com. Se i risultati della ricerca mostrano il contenuto del tuo sito Web (non il contenuto della farmacia), il tuo sito non è influenzato da attacchi farmaceutici.

L’obiettivo di questo hack è quello di sfruttare le tue pagine più preziose sovrascrivendo il tag del titolo con collegamenti dannosi. Per non parlare del fatto che, se non si esamina in anticipo la questione, i motori di ricerca come Google, Bing possono inserire nella blacklist il tuo sito Web per fornire contenuti dannosi.

6. Reindirizzamenti dannosi:

Il reindirizzamento dannoso di WordPress è un tipo di hack in cui i visitatori del tuo sito vengono reindirizzati automaticamente a siti di spam come giochi d’azzardo, porno, siti di incontri. Questo hack si verifica quando un codice dannoso viene iniettato nel file o nel database del tuo sito web.

Se il tuo sito reindirizza i visitatori a siti illegali o dannosi, il tuo sito verrà probabilmente inserito nella lista nera di Google.

Perché la sicurezza di WordPress è importante?

Il tuo sito Web rappresenta il tuo marchio, il tuo business e, soprattutto, il primo contatto con i tuoi clienti.

Probabilmente ti ci sono voluti diversi anni con molti sforzi per sostenere la tua attività e far crescere il tuo traffico. Il tuo pubblico ama i tuoi articoli e si fida dei tuoi prodotti, ecco perché si tengono in contatto con te.

Se il tuo sito WordPress non è sicuro, ci sono molti modi in cui sia il tuo sito che i tuoi clienti saranno interessati. Gli hacker possono rubare informazioni personali dell’utente, password, dettagli della carta di credito, informazioni sulle transazioni e distribuire malware ai tuoi utenti.

Se il tuo sito viene violato, noterai che il tuo traffico sta diminuendo drasticamente. Inoltre, Google inserirà nella blacklist il tuo sito Web.

Secondo il Blog di Google, il numero di siti Web compromessi sta aumentando di circa il 20% nel 2016 rispetto al 2015.

In uno studio, Securi rapporti che Google elenca oltre 10.000 siti Web ogni giorno.

Se prendi sul serio la tua attività, devi prestare particolare attenzione alla sicurezza di WordPress.

Sicurezza di WordPress

Migliore guida alla sicurezza di WordPress

  1. Ottieni un buon hosting WordPress
  2. Mantieni la versione di WordPress aggiornata
  3. Non utilizzare alcun tema o plug-in annullato / incrinato
  4. Usa password complesse
  5. Aggiungi (2FA) Autenticazione a due fattori
  6. Modifica l’URL di accesso di WordPress
  7. Limita i tentativi di accesso
  8. Esegui regolarmente il backup del tuo sito
  9. Usa un plugin di sicurezza per WordPress
  10. Disconnetti automaticamente gli utenti inattivi
  11. Aggiungi domande di sicurezza alla pagina di accesso di WordPress
  12. Modifica il nome utente predefinito “admin”
  13. Assegna gli utenti al ruolo più basso possibile
  14. Monitorare le modifiche ai file e le attività dell’utente
  15. Installa certificato SSL
  16. Elimina temi e plugin non utilizzati
  17. Disabilita la modifica dei file nella dashboard di WordPress
  18. Proteggi con password la pagina di accesso di WordPress
  19. Disabilita la navigazione nella directory
  20. Rimuovi il tuo numero di versione di WordPress
  21. Cambia prefisso tabella database WordPress
  22. Utilizza solo temi e plugin di WordPress affidabili
  23. Disabilita la segnalazione degli errori PHP
  24. Aggiungi le intestazioni sicure HTTP a WordPress

Pronto? Iniziamo.

1. Ottieni un buon hosting WordPress

L’hosting di WordPress svolge un ruolo importante quando si tratta di migliorare la sicurezza di WordPress.

Stai pagando per il servizio di hosting e il tuo sito web rimane sotto il loro controllo. Quindi dovresti stare attento prima di scegliere un buon hosting WordPress per il tuo sito web.

L’hosting condiviso come A2Hosting, Bluehost ecc. È la migliore opzione di hosting per gestire un blog a basso traffico. Ma nell’hosting condiviso, ci sarà sempre la possibilità di contaminazione tra siti.

La contaminazione tra siti si verifica quando un hacker è in grado di accedere al server Web attraverso un sito Web vulnerabile e quindi sfruttare tutti gli altri siti Web sullo stesso server Web.

Ti consigliamo di utilizzare un provider di hosting WordPress gestito. Le società di hosting WordPress gestite offrono opzioni di sicurezza a più livelli per i siti Web. Le loro piattaforme di hosting sono altamente sicure e offrono scansioni malware giornaliere e prevengono eventuali attacchi esterni. In ogni caso, trovano malware sul loro server, si assumono la responsabilità e lo rimuovono all’istante.

Offrono anche backup giornalieri, certificato SSL gratuito, supporto di esperti 24 × 7.

Consigliamo la società di hosting WordPress gestita da WPEngine. Offrono più livelli di sicurezza per proteggere il tuo sito WordPress. Con il loro piano, otterrai backup giornalieri, SSL gratuito, CDN globale e supporto di esperti 24 × 7.

Visitare WPEngine. [Codice sconto aggiunto in questo link]

Torna in cima

2. Mantieni la versione di WordPress aggiornata

Mantenere aggiornato il tuo sito WordPress è una buona pratica di sicurezza per rafforzare la sicurezza di WordPress. Questo aggiornamento include la versione di WordPress, i plugin e i temi.

In uno studio recente, Securi analizzato che il 56% del totale dei siti Web infetti di WordPress era ancora aggiornato. Se sei uno di loro, sei in pericolo.

Ogni giorno vengono scoperte nuove vulnerabilità e non c’è modo di fermarle. Software e plug-in obsoleti possono contenere vulnerabilità che gli hacker possono utilizzare per sfruttare un sito.

Con ogni aggiornamento, gli sviluppatori includono nuove funzionalità, correggono buchi di sicurezza, correggono bug ecc. Come il software WordPress, devi anche aggiornare i temi e i plugin di WordPress.

La cosa buona è che WordPress distribuisce automaticamente i suoi aggiornamenti e avvisa i suoi utenti.

L’aggiornamento della versione, dei plug-in e dei temi di WordPress è molto semplice e puoi farlo tramite la dashboard di amministrazione di WordPress.

Come aggiornare WordPress, plugin e temi?

Prima accedi alla tua dashboard di WordPress e vai a Pannello di controllo> aggiornamenti. Lì puoi vedere se è disponibile un nuovo aggiornamento.

Nota: Prima di aggiornare la tua versione di WordPress, esegui un backup completo dei tuoi file e database. Nel caso in cui si verifichi un errore, è possibile ripristinare facilmente il sito alla versione precedente. Puoi facilmente eseguire il backup e il ripristino del tuo sito utilizzando BlogVault con un solo clic.

Dalla pagina, puoi vedere “È disponibile una versione aggiornata di WordPress”. Clicca su Aggiorna ora per aggiornare la versione di WordPress, questa procedura potrebbe richiedere alcuni secondi.

Una volta completato l’aggiornamento, scorrere in basso per aggiornare i plugin di WordPress. Ti consigliamo di aggiornare i plugin uno per uno. Innanzitutto, seleziona un plug-in e fai clic su Plugin di aggiornamento.

Allo stesso modo, aggiorna i tuoi temi di seguito.

Aggiorna WordPress da Dashboard

Tuttavia, il processo di aggiornamento è un po ‘complicato per alcuni utenti, in particolare quelli che non sono esperti di tecnologia.

Alcuni provider di hosting WordPress gestiti come SiteGround, Kinsta, FlyWheel forniscono Aggiornamento automatico caratteristica. Quindi, se hai un programma intenso o pigro per l’aggiornamento, questo potrebbe essere utile.

Leggi anche, Come aggiornare manualmente la versione di WordPress, plugin e temi

Torna in cima

3. Non utilizzare mai temi e plugin annullati / crackati

Non c’è da stupirsi che plugin e temi premium includano più funzionalità e un aspetto professionale. Ma nessuno dei prodotti premium è gratuito. Viene fornito con un prezzo e dopo aver acquistato tutti i prodotti premium, gli utenti devono inserire la chiave del prodotto per attivare il prodotto.

Tuttavia, ci sono molti siti Web dannosi disponibili che forniscono temi e plugin premium gratuitamente. Quei temi e plug-in non funzionanti non richiedono una chiave seriale per l’attivazione e non vengono mai aggiornati.

Ecco cosa intendo:

Esempio di plug-in di WordPress annullato

Quei temi e plugin annullati sono molto pericolosi per il tuo sito. Gli hacker inseriscono appositamente codici dannosi e creano una backdoor nel tuo sito. Quindi possono accedere facilmente al tuo sito Web e hackerare il tuo sito Web incluso il database.

Quindi non utilizzare mai temi e plugin di WordPress annullati o crackati.

Ti consigliamo vivamente di scaricare temi o plugin gratuiti solo da WordPress.org.

Comprendiamo che il tema o il plug-in gratuito ha funzioni molto limitate. Ma questi temi o plugin gratuiti sono sicuri da usare e vengono regolarmente aggiornati.

Leggi anche, 7 migliori temi di blog premium per WordPress

Torna in cima

4. Usa password complesse

Una password è una chiave primaria per accedere al tuo sito WordPress. Se è semplice e breve, gli hacker possono facilmente violare la password. Al di sopra di 80% di violazioni correlate all’hacking a causa di password debole o password rubata.

In uno studio recente, Rivelato SplashData 100 peggiori password del 2017.

Eccone alcuni:

  1. 123456
  2. parola d’ordine
  3. 12345678
  4. QWERTY
  5. 12345
  6. 123456789
  7. Fammi entrare
  8. 1234567
  9. calcio
  10. ti amo
  11. Admin
  12. benvenuto
  13. scimmia (lol)

Se la tua password è semplice come sopra, allora cambiala immediatamente. Una password valida deve contenere almeno 10 cifre e deve contenere lettere maiuscole, minuscole, numeri e caratteri speciali.

Puoi usare un strumento di generazione password online per creare immediatamente migliaia di password sicure.

È inoltre necessario salvare la password sul computer.

Per semplificare, è possibile utilizzare il software di gestione delle password per gestire tutte le password come LastPass, Dashlane ecc.

Applicare password complesse per gli utenti

Per impostazione predefinita, WordPress non ha una funzione che impedisce agli utenti di inserire password deboli. Il più delle volte gli utenti impostano una password debole per il proprio account e la modificano a malapena.

Se stai utilizzando un blog WordPress multiutente, dovresti forzare gli utenti a utilizzare una password complessa.

Per semplificare questo processo, è possibile utilizzare un plug-in. Installa e attiva Forza password complesse plug-in e il gioco è fatto. Ciò impedirà agli utenti e persino all’amministratore di immettere una password debole.

Torna in cima

5. Aggiungi l’autenticazione a due fattori (2FA) 

Un altro metodo semplice per rafforzare la sicurezza di WordPress è l’aggiunta dell’autenticazione a due fattori (2FA) alla pagina di accesso di WordPress. Fondamentalmente, l’autenticazione a due fattori o la verifica in due passaggi è un processo di sicurezza che richiede due metodi per verificare la tua identità.

Per impostazione predefinita, di solito inseriamo nome utente e password per accedere a un sito Web. Aggiungendo l’autenticazione a due fattori sarà necessario un ulteriore processo di verifica come un’app per smartphone per approvare il processo di autenticazione.

Quindi, se qualcuno conosce il tuo nome utente e la password, hanno bisogno del tuo smartphone per ottenere il codice di verifica per accedere al tuo sito.

Aggiungendo l’autenticazione a due fattori, non solo si protegge la pagina di accesso di WordPress, ma si prevengono anche gli attacchi di forza bruta.

Puoi abilitare facilmente l’autenticazione a due fattori utilizzando il plugin WordPress per l’autenticatore a due fattori di Google.

Una volta attivato, vai a utenti> Profilo utente e attiva il plugin.

Impostazioni di Google Authenticator

Quindi scaricare l’app Google Authenticator dal telefono ed eseguire la scansione Codice a barre o inserisci il Codice segreto (vedi lo screenshot sopra) dal tuo sito per aggiungere il tuo sito web.

Una volta aggiunto, esci dal tuo sito. Nella pagina di accesso verrà visualizzato un campo aggiuntivo in cui è necessario inserire il codice di verifica dall’app mobile Google Authenticator.

Campo Google Authenticator

Per istruzioni dettagliate, consulta la guida su come aggiungere l’autenticazione a due fattori di Google nella pagina di accesso di WordPress.

Torna in cima

6. Modifica l’URL della pagina di accesso di WordPress

Per impostazione predefinita, chiunque può accedere alla tua pagina di accesso semplicemente aggiungendo “wp-admin” o “wp-login.php” alla fine del tuo nome di dominio come: “domain.com/wp-admin” o “domain.com/ wp-login.php”.

Indovina un po! Gli hacker possono eseguire attacchi di forza bruta usando la tua pagina di accesso. Se stai utilizzando una password molto semplice, gli hacker possono facilmente crackare la password e accedere al tuo sito Web.

E se non sapessero dove attaccare? Sì, hai indovinato.

Se nascondi o rinomini l’URL della pagina di accesso, gli hacker non sarebbero in grado di eseguire un attacco di forza bruta.

In WordPress, puoi facilmente nascondere o rinominare la tua pagina di accesso utilizzando un plugin. Dalla galleria dei plugin di WordPress, installa e attiva WPS Nascondi accesso collegare.

Una volta attivato, vai a impostazioni> Generale e in fondo puoi trovare il file WP Nascondi opzione di accesso.

WPS Nascondi impostazioni di accesso

Basta cambiare l’URL di accesso “accesso” a qualcos’altro che è difficile da indovinare e fare clic su Salvare le modifiche.

Una volta terminato, aggiungi la nuova pagina ai segnalibri e il gioco è fatto.

Torna in cima

7. Limitare i tentativi di accesso

Per impostazione predefinita, WordPress non limita il numero di tentativi di accesso tramite il modulo di accesso. Ciò significa che chiunque sa che il tuo URL di accesso può provare la funzione di accesso tutte le volte che vuole. In questo modo gli hacker eseguono un attacco di forza bruta per decifrare il tuo “nome utente” e la “password” per accedere al tuo sito web.

Limitando i tentativi di accesso, puoi rafforzare la sicurezza di WordPress e proteggere la tua pagina di accesso da attacchi di forza bruta.

È possibile impostare un numero massimo di tentativi di accesso errati che un utente può effettuare dallo stesso indirizzo IP. Se l’utente supera i limiti, l’IP dell’utente verrà bloccato per un determinato periodo di tempo.

Per limitare i tentativi di accesso in WordPress, installa Login LockDown collegare. Una volta attivato, vai a impostazioni> Login LockDown per configurare il plugin.

Impostazioni LockDown di accesso

Per istruzioni dettagliate, consulta la nostra guida su come limitare i tentativi di accesso in WordPress

Torna in cima

8. Esegui regolarmente il backup del tuo sito

I backup sono come Time Machine. Se ce l’hai, il tuo sito web è sicuro.

Tuttavia, i backup dei siti Web non proteggono il tuo sito dagli hacker ma ti aiutano a ripristinare il tuo sito.

Ad esempio, se qualcosa va storto con il tuo sito durante l’aggiornamento o il tuo sito Web viene violato, come riparerai di nuovo il tuo sito? Probabilmente perderai il tuo sito.

Ma se si dispone di backup del proprio sito, è possibile ripristinare facilmente il sito prima del punto in cui è stato violato o bloccato.

Ecco perché ti consigliamo vivamente di utilizzare un plug-in di backup WordPress affidabile. Tuttavia, molte società di hosting offrono il backup gratuito del sito Web, ma possono garantire la disponibilità del tuo sito in caso di errore catastrofico. Quindi è necessario salvare i backup in una posizione remota come Google Drive, Amazon S3, Dropbox ecc.

Per fortuna, questo può essere fatto utilizzando BlogVault o BackUpBuddy WordPress Plugin Backup. Entrambi offrono backup giornalieri e ripristino con un clic. È inoltre possibile creare un sito di gestione temporanea senza costi aggiuntivi.

Torna in cima

9. Utilizzare il plug-in di sicurezza di WordPress

La prossima cosa che ti serve per indurire il tuo Sicurezza di WordPress è un plugin di sicurezza. Ci sono molti plugin di sicurezza di WordPress disponibili che bloccheranno il tuo sito da hacker e malware.

I plugin di sicurezza di WordPress rileveranno ed elimineranno il malware se è presente nel tuo sito. Inoltre, monitorano l’attività degli utenti in tempo reale, avvisano se qualcosa è cambiato, se un plugin contiene un malware, blocca il traffico di spam e molti altri.

Consigliamo il plugin di sicurezza Securi WordPress. Securi Security offre un diverso tipo di funzionalità di sicurezza come il controllo delle attività di sicurezza, il monitoraggio del sito Web, firewall del sito Web,  e molti altri.

Securi

La cosa migliore di Securi è che se il tuo sito viene violato o inserito nella lista nera da Google durante l’utilizzo del loro servizio, garantiscono che risolveranno il tuo sito.

La maggior parte degli esperti di sicurezza di WordPress addebita più di $ 300 per riparare un sito compromesso, mentre otterrai tutti i servizi di sicurezza a $ 199 per anno. È un buon investimento per rafforzare la sicurezza di WordPress.

Torna in cima

10. Disconnetti automaticamente gli utenti inattivi

Se un utente rimane inattivo o inattivo sul tuo sito per troppo tempo, ciò può causare attacchi di forza bruta.

Quando un utente rimane inattivo per troppo tempo, gli hacker possono utilizzare i cookie o il metodo di dirottamento della sessione per ottenere un accesso non autorizzato al tuo sito Web. Questo è il motivo per cui la maggior parte dei siti Web relativi all’istruzione e alla finanza come i siti Web di banca e gateway di pagamento utilizzano la funzione di timeout della sessione dell’utente. Pertanto, quando un utente si allontana dalla pagina e non interagisce dopo un periodo di tempo, il sito Web disconnette automaticamente l’utente inattivo.

La stessa funzione che puoi aggiungere al tuo sito WordPress per migliorare la sicurezza di WordPress. L’aggiunta della disconnessione automatica degli utenti inattivi su WordPress è estremamente semplice. Tutto ciò che serve per installare un plugin.

Innanzitutto, scarica e installa il file Logout inattivo Plugin per WordPress. Quindi attivalo e vai a impostazioni> Logout inattivo per configurare il plugin.

Impostazioni del plug-in di logout inattivo

Dalle impostazioni, è possibile modificare il timeout di inattività. Quindi, dopo il tempo, tutti gli utenti del tuo sito verranno automaticamente disconnessi.

È inoltre possibile modificare il messaggio di timeout di inattività e modificare altre impostazioni, se necessario.

Una volta fatto, clicca su Salvare le modifiche per memorizzare le impostazioni.

Per istruzioni dettagliate, consulta la nostra guida su come disconnettere automaticamente gli utenti inattivi in ​​WordPress

Torna in cima

11. Aggiungi domande di sicurezza alla pagina di accesso di WordPress

Aggiungendo domande di sicurezza alla tua pagina di accesso di WordPress, non solo proteggerai la tua pagina di accesso di WordPress, ma rafforzerai anche la sicurezza di WordPress.

La domanda di sicurezza aggiunge un ulteriore livello di sicurezza per autenticare ulteriormente la tua identità durante l’accesso. Questo è molto utile se stai eseguendo un blog WordPress con più autori.

Se qualcuno dei tuoi utenti o la tua password sono stati rubati, la domanda di sicurezza può salvarti la vita.

Perché nome utente e password possono essere hackerati facilmente, ma è impossibile scegliere la giusta domanda e risposta di sicurezza. In questo modo puoi salvare la tua pagina di login di WordPress da hacker e attacchi di forza bruta.

Per aggiungere una domanda di sicurezza sulla pagina di accesso di WordPress, installa il Domanda sulla sicurezza del WP collegare.

Impostazioni domande sulla sicurezza WP

Una volta attivato, vai a Domande sulla sicurezza del WP > Impostazioni del plugin per configurare il plugin.

Per impostazione predefinita, al plugin sono state aggiunte molte domande comuni. Tuttavia, è possibile aggiungere o rimuovere qualsiasi domanda di sicurezza dall’elenco.

Nella parte inferiore, è possibile abilitare la domanda di sicurezza nella pagina di accesso, nella pagina di registrazione e password dimenticata. Dopo aver configurato il plug-in, non dimenticare di fare clic su Salva impostazioni.

Nota: Solo i nuovi utenti possono impostare la domanda e la risposta di sicurezza durante la registrazione. Pertanto, gli utenti registrati devono impostare manualmente le proprie domande e risposte sulla sicurezza. È inoltre possibile impostare una domanda di sicurezza e rispondere ad esse. Questo può essere fatto dal Profilo utente pagina.

Aggiungi manualmente domande sulla sicurezza di WP

Per istruzioni dettagliate, consulta la nostra guida su come aggiungere domande di sicurezza alla pagina di accesso di WordPress

Torna in cima

12. Modificare il nome utente predefinito “Admin”

Dopo aver installato WordPress, puoi cambiare la tua password quante volte vuoi. Ma puoi cambiare il tuo nome utente una volta impostato? Nessun diritto?

Per impostazione predefinita, WordPress non consente agli utenti di modificare il nome utente. Ma perché dovresti cambiarlo?

Se stai usando un nome utente molto comune come “admin”, gli hacker possono eseguire attacchi di forza bruta con l’aiuto del tuo nome utente.

Ma non fatevi prendere dal panico. Esistono diversi modi per modificare facilmente WordPress.

Tuttavia, per semplificare il processo, utilizzeremo un plug-in. Innanzitutto, scarica e installa il file cambio nome utente collegare. Quindi vai a utenti> Il tuo profilo e trova l’opzione nome utente. Lì troverai l’opzione “Cambia nome utente”.

Cambia il nome utente di WordPress

Clicca su Cambia nome utente e inserisci il tuo nuovo nome utente. Una volta fatto, clicca su Aggiorna il profilo.

Se vuoi cambiare il tuo nome utente manualmente (senza plugin), consulta l’articolo 3 modi diversi per cambiare il nome utente di WordPress.

Torna in cima

13. Assegnare gli utenti al ruolo più basso possibile

Se stai gestendo un sito WordPress con più autori, devi fare attenzione prima di assegnare un ruolo a un utente.

Molte volte i proprietari di siti WordPress assegnano un ruolo utente più elevato ai nuovi utenti, in questo modo stai dando tutti i privilegi agli utenti e, di conseguenza, qualsiasi utente può eseguire qualsiasi attività qualunque cosa voglia.

Ad esempio, se non sai cosa può svolgere un ruolo utente Editor e assegni il ruolo a un utente normale, l’utente può eliminare tutti i tuoi post, modificare i collegamenti, creare post di spam, aggiungere link dannosi nel tuo blog post. Ecco come un utente può facilmente rovinare il tuo sito Web.

Per impostazione predefinita, WordPress viene fornito con 5 ruoli utente diversi.

  • Amministratore
  • editore
  • Autore
  • Collaboratore
  • abbonato
  1. Amministratore: Gli amministratori sono il ruolo utente più potente in un sito WordPress. Possono creare, modificare ed eliminare un account utente, eseguire qualsiasi attività in tutto il pannello di amministrazione di WordPress, avere il controllo su tutta l’area del contenuto e anche moderare i commenti. 
  2. Editor: Gli utenti con il ruolo di Editor hanno il pieno controllo su tutto il contenuto. Possono creare, modificare ed eliminare tutti i post inclusi quelli creati da altri utenti. Possono anche moderare i commenti e modificare i collegamenti.
  3. Autore: Gli autori possono solo pubblicare, modificare o eliminare i propri post. Possono caricare file multimediali da utilizzare nei loro post. Possono visualizzare i commenti ma non possono approvare o eliminare alcun commento.
  4. Collaboratore: Gli utenti con il ruolo di collaboratore possono solo scrivere, modificare o eliminare i propri post non pubblicati, ma non possono pubblicare i propri post.
  5. Subscriber: Gli abbonati possono solo modificare le informazioni del proprio account, inclusa la password, ma non hanno accesso al contenuto o alle impostazioni del sito. Hanno le funzionalità più basse in un sito WordPress.

Comprendendo i ruoli utente di WordPress, puoi gestirli facilmente senza alcun rischio.

Ti consigliamo inoltre di impostare il ruolo predefinito nuovo utente come abbonato. Vai alle impostazioni> Impostazioni generali e dal loro set Ruolo predefinito nuovo utente abbonato e clicca su Salvare le modifiche.

Ruolo predefinito del nuovo utente di WordPress

Per maggiori dettagli, leggi la Guida per principianti ai ruoli e alle funzionalità degli utenti di WordPress

Torna in cima

14. Monitorare le modifiche ai file e le attività dell’utente

Un altro modo intelligente per rafforzare la sicurezza di WordPress è monitorare le attività degli utenti e le modifiche ai file. 

Se stai gestendo un sito WordPress multiutente, dovresti tenere traccia del comportamento degli utenti per comprendere meglio quali sono le loro attività in tutto il tuo sito WordPress.

Chi lo sa, se un utente sta facendo un lavoro sospetto o sta cercando di hackerare il tuo sito Web? Come puoi saperlo?

L’unico modo per tenere traccia delle attività degli utenti e delle modifiche ai file è utilizzare un plug-in WordPress per attività dell’utente. Utilizzando un plug-in di attività utente in WordPress, è possibile:

  • vedere chi ha effettuato l’accesso e cosa stanno facendo in tempo reale
  • quando un utente accede e disconnette
  • quante volte un utente ha tentato di accedere ma non è riuscito

Inoltre, se un editore ha apportato modifiche a un post o una pagina senza la tua autorizzazione, puoi facilmente scoprirlo e ripristinarlo. La cosa positiva di un plug-in di attività dell’utente è che ti invia immediatamente una notifica e-mail se qualcosa va storto.

WP Security Audit Log è il miglior plugin per monitorare le attività degli utenti e le modifiche ai file in tempo reale. Ecco uno screenshot di seguito su come funziona il plugin.

Visualizzatore log di controllo WordPress

Leggi anche, 5 migliori plugin per monitorare l’attività dell’utente in WordPress (plugin alternativi)

Torna in cima

15. Implementare SSL e HTTPS

Sicurezza di WordPress non può essere migliorato senza un certificato SSL. Un SSL (Secure Socket Layer) è la spina dorsale della sicurezza del sito Web.

SSL è una tecnologia di sicurezza standard che crea collegamenti crittografati tra un server e un browser Web in una comunicazione online come una transazione online. Quindi tutti i dati sensibili come password, dettagli della carta di credito ecc. Passano attraverso link criptati.

Se gestisci un’attività online o un blog in cui accetti il ​​pagamento, è necessario un certificato SSL. Manterrà i dati dei tuoi clienti al sicuro dagli hacker. Per i negozi online o i siti WooCommerce, i costi del certificato SSL costano tra $ 20 e $ 170.

Nel caso in cui si stia eseguendo un blog WordPress, non è necessario un certificato SSL a pagamento. Se stai utilizzando l’hosting cPanel come SiteGround, WPEngine, puoi installare gratuitamente il certificato SSL con un solo clic.

Innanzitutto, accedi al tuo account cPanel di hosting e vai a Sicurezza.  (Ecco uno screenshot di seguito da SiteGround che ospita cPanel.)

SG SSL

Vai al Manager SSL / TLS e clicca su Installa certificato SSL. Dalla pagina, seleziona il tuo dominio e fai clic su Riempimento automatico per dominio. Il processo è automatico, quindi non è necessario modificare o modificare nulla.

Sito SSL Installa certificato SSL

Ora fai clic su Installa certificato per terminare il processo di installazione.

Al termine, accedi alla dashboard di amministrazione di WordPress per modificare l’URL del tuo sito. Vai a impostazioni> Generale e aggiungi sostituisci l’HTTP con HTTPS prima dell’URL del tuo sito. Ecco uno screenshot qui sotto.

WP HTTPS

Una volta aggiornato, fai clic su Salvare le modifiche.

Come reindirizzare HTTP a HTTPS in WordPress

Se hai installato correttamente il certificato SSL, il tuo sito è accessibile con HTTPS.

Ma se qualcuno digita solo il nome del tuo sito Web (cioè dominio.com) sulla barra degli indirizzi del browser, il sito potrebbe mostrare il messaggio “Connessione non sicura”. Ciò significa che il tuo sito è accessibile con HTTP.

Per risolvere il problema, devi forzare HTTPS in WordPress, quindi il tuo sito verrà caricato solo con HTTPS. Puoi forzare facilmente HTTPS in WordPress.

Prima accedi al tuo hosting cPanel e vai nella cartella principale del tuo sito web e trova .htaccess file. Modifica il file .htaccess e alla fine aggiungi il seguente codice.

RewriteEngine On
RewriteCond% {HTTPS} disattivato
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Salva il file e il gioco è fatto. Ora il tuo sito Web è accessibile solo con HTTPS.

Se il tuo provider di hosting web non fornisce un certificato SSL gratuito, puoi installare manualmente un certificato SSL. Ecco la guida su come installare il certificato SSL gratuito.

Torna in cima

16. Elimina temi e plugin non utilizzati

Quando si tratta di rafforzare la sicurezza di WordPress, non dovremmo ignorare qualsiasi piccolo passo che può rendere vulnerabile il tuo sito. 

La maggior parte delle volte i proprietari di siti WordPress installano temi e plugin diversi per testare quale tema ha un aspetto migliore sul loro sito o quale plugin ha più funzionalità. Va bene. Ma mantenere quei temi e plugin inutilizzati rende vulnerabile il tuo sito.

Perché mantenere molti temi e plugin di WordPress deve essere aggiornato regolarmente come quello che stai utilizzando. Se non li aggiorni, diventano vulnerabili e gli hacker possono facilmente sfruttare il tuo sito attraverso temi e plugin vulnerabili. Inoltre, mantenere così tanti temi e plugin rende più lento il sito WordPress.

Quindi dovresti sempre eliminare temi e plugin non utilizzati per migliorare le prestazioni del sito e la sicurezza di WordPress.

Per eliminare un plug-in non utilizzato, vai a plugin> Plugin installati. Quindi trova il plug-in che non ti serve più. Innanzitutto, disattiva il plug-in e fai clic su Elimina.

Eliminazione del plugin di WordPress

Allo stesso modo, per eliminare un tema, vai a Aspetto> Temi e clicca su Dettagli del tema. Quindi, nella parte inferiore del lato destro, fai clic su Elimina.

Elimina tema

Torna in cima

17. Disabilita la modifica dei file nella dashboard di WordPress

Per impostazione predefinita, WordPress consente agli utenti di modificare il tema e il file del plug-in direttamente dalla dashboard di WordPress. Questa è un’opzione utile per gli utenti che hanno spesso bisogno di modificare il tema e il file del plugin.

Editor di temi WordPress

Tuttavia, mantenere abilitata questa funzione può essere un serio problema di sicurezza. Se gli hacker accedono al tuo sito Web di solito lasciano il loro footprint iniettando codice dannoso nei file del sito Web. Se la tua funzione di modifica dei file di WordPress è abilitata, gli hacker possono facilmente inserire codice dannoso nel tuo tema o file plugin che ti sarà sconosciuto.

Per migliorare la sicurezza di WordPress, è necessario disabilitare la funzione di modifica dei file dalla dashboard di WordPress. Disabilitare l’editor di temi e plugin di WordPress in WordPress è un processo molto semplice.

Innanzitutto, devi accedere al tuo account cPanel di hosting e andare alla cartella principale del tuo sito WordPress. Da lì, trova il wp-config.php. Fai clic su Modifica e aggiungi il seguente codice alla fine.

define (‘DISALLOW_FILE_EDIT’, true);

Ora salva il file e aggiorna la dashboard di WordPress. Vedrai che l’opzione dell’editor di temi e plugin è andata. Con questo piccolo trucco, puoi facilmente migliorare la sicurezza di WordPress.

Leggi la guida dettagliata su come disabilitare l’editor di temi e plugin in WordPress

Torna in cima

18. Protezione password Pagina di accesso di WordPress

Un altro ottimo modo per migliorare la sicurezza di WordPress è proteggere con password la pagina di accesso di WordPress.

Proteggendo con password la tua pagina di login di WordPress (/wp-login.php) o admin (https://cdn.wpmyweb.com/wp-admin), puoi impedire agli hacker di accedere alla tua pagina di accesso perché richiede una password per accedere alla pagina di login. Casella popup Autenticazione richiestaUna volta abilitata questa funzione, il tuo sito richiederà a tutti gli utenti di accedere alla pagina di accesso con un nome utente e una finestra di password. In breve, tutti gli utenti devono accedere due volte con nome utente e password diversi prima di accedere alla dashboard di amministrazione di WordPress.

In questo modo, puoi rafforzare la sicurezza di WordPress e aggiungere un ulteriore livello di sicurezza alla tua pagina di accesso.

Leggi la nostra guida approfondita su come proteggere con password la pagina di accesso di WordPress.

Torna in cima

19. Disabilita la navigazione nella directory in WordPress

Per impostazione predefinita, la maggior parte dei server Web come Apache, NGINX e LiteSpeed ​​consente a qualsiasi utente di sfogliare le directory che contengono file e cartelle WordPress. Possono anche vedere quale tema e plugin stai usando e conoscere meglio la struttura del tuo sito web.

Pagina indice di un sito WordPress

Queste informazioni possono rendere vulnerabile il tuo sito WordPress e aiutare un hacker nel tentativo di compromettere il tuo sito.

Per migliorare la sicurezza di WordPress, ti consigliamo di disabilitare questa opzione. Per disabilitare la navigazione nella directory in WordPress, aggiungi semplicemente la seguente riga alla tua .htacces file.

Opzioni All -Indexes

Per istruzioni dettagliate, leggi la nostra guida su come disabilitare la navigazione delle directory in WordPress

Torna in cima

20. Rimuovi la tua versione di WordPress

Per impostazione predefinita, WordPress aggiunge automaticamente meta tag in diverse posizioni che visualizzano la versione di WordPress che stai utilizzando.

Ecco il punto: se gli hacker sanno che stai eseguendo una versione obsoleta di WordPress, possono sfruttare il tuo sito attraverso le vulnerabilità note presenti nella versione precedente di WordPress.

Quindi è meglio rimuovere la versione di WordPress per migliorare la sicurezza di WordPress. Esistono diversi luoghi in cui WordPress aggiunge i meta tag come, nella dashboard di WordPress, nell’intestazione, nello stile e javascript e nel feed RSS.

Rimozione della versione di WordPress dall’intestazione e RSS

Per rimuovere la versione dall’intestazione e dall’RSS, aggiungi la seguente riga alla fine di functions.php file.

funzione remove_wordpress_version () {
ritorno ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Rimozione del numero di versione di WordPress da script e CSS

Per rimuovere la versione di WordPress da CSS e script, aggiungi la seguente riga alla fine di functions.php file.

// Scegli il numero di versione da script e stili
funzione remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘versione’)))
$ src = remove_query_arg (‘ver’, $ src);
restituisce $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Una volta fatto, salva il file Functions.php.

Questo è tutto. Con questo semplice trucco, puoi sicuramente migliorare la sicurezza di WordPress. Tuttavia, ti consigliamo sempre di aggiornare regolarmente la tua versione di WordPress, nonché temi e plugin.

Per istruzioni dettagliate, leggi la nostra guida su come nascondere o rimuovere la versione di WordPress

Torna in cima

21. Modifica prefisso tabella database di WordPress

Durante l’installazione di WordPress, viene richiesto se si desidera utilizzare un prefisso di database diverso. Di solito saltiamo questo passaggio, quindi WordPress lo usa automaticamente (Wp_) come prefisso tabella database predefinito. Ti consigliamo di cambiarlo in qualcosa di forte e unico.

L’uso del prefisso (WP_) predefinito rende il database WordPress suscettibile agli attacchi di iniezione SQL. Tali attacchi possono essere prevenuti modificando il prefisso del database (WP_) in qualcosa di unico.

Dopo aver installato WordPress, è possibile modificare facilmente il prefisso della tabella del database predefinito utilizzando plug-in o manualmente. Plugin come BackupBuddy, Brozzme DB Prefix ti permettono di cambiare il prefisso della tabella con un solo clic.

Per il bene del tutorial, sto mostrando come cambiarlo usando il plugin Prefisso di Brozzme DB.

Nota: Prima di fare qualsiasi cosa con il tuo database, assicurati di fare un backup del tuo sito e database. Nel caso in cui qualcosa vada storto, puoi ripristinare il tuo sito.

Innanzitutto, installa e attiva Brozzme DB Prefix collegare. Dalla dashboard di WordPress, vai a Utensili> Prefisso DB e inserisci un nuovo nome univoco per il prefisso del database.

Brozzme DB Prefix

Una volta inserito il nuovo prefisso, fare clic su Cambia prefisso DB.

Per il processo manuale, leggi come modificare il prefisso della tabella del database utilizzando phpMyAdmin

Torna in cima

22. Usa solo plugin WordPress affidabili

WordPress include oltre 48.000 plug-in. Ciò non significa che tutti i plugin siano utili e sicuri da usare.

Perché ci sono molti plugin disponibili nella galleria dei plugin di WordPress che non vengono aggiornati da molto tempo e di solito diventano vulnerabili. Inoltre, non otterresti alcun supporto se il plugin rompe il tuo sito.

Prima di utilizzare qualsiasi plug-in gratuito, è necessario verificare due cose importanti,

  • Controlla l’ultimo aggiornamento del plugin: Se il plug-in non viene aggiornato frequentemente o non è più gestito dallo sviluppatore del plug-in, è necessario evitare il plug-in.

Versione obsoleta del plug-in WordPress

  • Verifica se il plug-in ha il punteggio massimo positivo: La prossima cosa che devi controllare se il plugin ha il massimo dei voti positivi o negativi. Se il plug-in ha il punteggio massimo negativo, non dovresti usarlo.

Plugin a bassa valutazione di WordPress

Puoi anche controllare la pagina Recensioni e supporto del plug-in per vedere cosa dicono gli altri utenti sul plug-in.

Ma non preoccuparti. Esistono molti plugin simili disponibili nella galleria dei plugin di WordPress.

Se desideri utilizzare un plug-in premium, non devi preoccuparti. I plug-in Premium vengono aggiornati regolarmente e riceverai supporto 24x dallo sviluppatore dei plug-in.

Torna in cima

23. Disabilita Segnalazione errori PHP

Un altro ottimo modo per rafforzare la sicurezza di WordPress è disabilitare il rapporto errori PHP in WordPress. Molte volte, quando si installa un plugin o un tema obsoleto, è possibile che venga visualizzato l’avviso di errore PHP.

Avviso di errore PHP di WordPressTuttavia, può rendere vulnerabile il tuo sito se gli hacker lo ottengono poiché mostra il codice e la posizione del file. Per ridurre al minimo il rischio, è possibile disabilitare la segnalazione degli errori PHP in WordPress.

Disabilitare l’avviso di errore PHP in WordPress è molto semplice. Innanzitutto, modifica il tuo wp-config.php file e trova quella riga che ha questo codice:

define (‘WP_DEBUG’, false);

Potresti vedere “vero” anziché “falso”. Ora sostituisci la riga con il seguente codice.

ini_set ( ‘display_errors’,’Off’);
ini_set (“report_errore”, E_ALL);
define (“WP_DEBUG”, false);
define (“WP_DEBUG_DISPLAY”, false);

Salva il file e il gioco è fatto.

Ti consigliamo inoltre di utilizzare plugin aggiornati e ben valutati per evitare questo tipo di problema.

Torna in cima

24. Aggiungi HTTP Secure Header a WordPress

Un altro ottimo modo per rafforzare la sicurezza di WordPress è aggiungere intestazioni sicure HTTP al tuo sito WordPress.

Quando qualcuno accede al tuo sito Web, il browser invia una richiesta al tuo server web. Quindi il server Web risponde con le richieste insieme alle intestazioni HTTP. Queste intestazioni HTTP trasmettono informazioni come codifica del contenuto, controllo della cache, tipo di contenuto, connessione ecc.

Aggiungendo intestazioni di risposta HTTP sicure, è possibile migliorare la sicurezza di WordPress e anche prevenire attacchi attenuanti e vulnerabilità della sicurezza.

Ecco le intestazioni HTTP di seguito:

  • HTTP Strict Transport Security (HSTS): HTTP Strict Transport Security (HSTS) impone al browser Web di utilizzare solo connessioni protette (HTTPS) durante le comunicazioni con un sito Web. Questo impedisce hack del protocollo SSL, dirottamento dei cookie, stripping SSL ecc.
  • X-Frame-Options: X-Frame-Options è un tipo di intestazione HTTP che specifica se a un browser è consentito il rendering di un sito Web in un frame. Ciò impedisce gli attacchi di clickjacking e garantisce che il tuo sito Web non sia incorporato in altri siti Web che utilizzano .
  • X-XSS-Protection: X-XSS-Protection è una funzionalità integrata di Internet Explorer, dei browser Google Chrome, Firefox e Safari che impedisce il caricamento delle pagine se uno script dannoso è stato inserito da un input dell’utente.
  • X-Content-Type-Options: X-Content-Type-Options è un tipo di intestazione di risposta HTTP con il valore nosniff che impedisce ai browser Web di annusare MIME una risposta dal tipo di contenuto dichiarato.
  • Referente-politica: La politica di referrer è un’intestazione di risposta HTTP che impedisce la perdita di referrer tra domini.

Per aggiungere intestazioni sicure HTTP in WordPress, aggiungi semplicemente le seguenti righe di codice nel tuo .htaccess file.

Header set Strict-Transport-Security "max-age = 31536000" env = HTTPS
L’intestazione aggiunge sempre X-Frame-Options SAMEORIGIN
Set di intestazioni X-XSS-Protection "1; mode = block"
Header set X-Content-Type-Options nosniff
Criterio referrer di intestazione: no-referrer-when-downgrade

Controllo delle intestazioni di sicurezza

Adesso vai a securityheaders.com per verificare se i codici funzionano o no. Non abbiamo aggiunto “Norme sulla sicurezza dei contenuti” perché potrebbe danneggiare il tuo sito. Tuttavia, è sufficiente per rendere sicuro il tuo sito WordPress.

Torna in cima

Conclusione

Ci sono molti modi per indurire Sicurezza di WordPress come: utilizzare un hosting WordPress gestito, utilizzare password complesse per gli account, monitorare le attività degli utenti, utilizzare un plug-in di sicurezza WordPress, implementare SSL e HTTPS e molti altri.

Harding La sicurezza di WordPress non è scienza missilistica. Puoi facilmente proteggere il tuo sito WordPress implementando le migliori pratiche di sicurezza di WordPress che abbiamo condiviso in questo articolo. Implementandoli, non solo proteggerai il tuo sito WordPress ma impedirai anche agli hacker di accedere al tuo sito.

Una volta fatto, non dovrai preoccuparti della sicurezza di WordPress. Inoltre, puoi essere più produttivo e libero da sforzi.

Ora è il tuo turno. Leggi attentamente l’articolo e implementali sul tuo sito. Sarai felice di averlo fatto. ��

Abbiamo perso alcuni importanti suggerimenti sulla sicurezza di WordPress da menzionare qui? sentiti libero di farcelo sapere nella sezione commenti.

WordPress Sicurezza Infografica

WordPress-Security-Infographic-Small-Size

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector