Mantenere il tuo sito WordPress al sicuro dagli hacker nel 2021

Ogni giorno oltre 100.000 siti Web vengono presi di mira dagli hacker! Per questo motivo, è fondamentale proteggere il tuo sito WordPress. Il tuo sito web potrebbe essere uno di quei siti web in un dato momento. WordPress è abbastanza sicuro. Tuttavia, molti siti WordPress sono vittime di hacking. Questo ha meno a che fare con WordPress stesso e più con il modo in cui tu, come webmaster, ti occupi del tuo sito e imposti la tua sicurezza.

Anche se ti sei assicurato che il tuo sito fosse sicuro quando lo hai avviato, tenere il passo con la manutenzione della sicurezza garantirà che il tuo sito sia adeguatamente protetto in ogni momento.

Prima di iniziare, è una buona idea fare i conti con alcuni dei problemi di sicurezza comuni che i siti WordPress hanno:

• Attacchi di forza bruta – Gli attacchi di forza bruta sono la ragione per cui è importante avere una password sicura. Un utente malintenzionato inserirà le informazioni di accesso più e più volte finché non otterrà la giusta combinazione di accesso per accedere al tuo sito WordPress.
• Malware : abbreviazione di software dannoso, il malware è un codice utilizzato per ottenere l'accesso non autorizzato a un sito Web per raccogliere dati sensibili appartenenti al proprietario dell'azienda e ai suoi clienti o contatti.
• Exploit di inclusione di file: gli exploit di inclusione di file si verificano quando viene utilizzato un codice non sicuro per caricare file remoti, il che consentirà agli hacker di accedere al tuo sito web. Ciò fornirà loro anche l'accesso al tuo file wp-config.php, che è essenzialmente la spina dorsale della tua installazione di WordPress. Se questo file è compromesso, gli hacker possono accedere alle informazioni di accesso al database e alla sicurezza della crittografia.
• Iniezioni SQL – Le iniezioni SQL sono un attacco al tuo database WordPress, in base al quale l'attaccante ottiene l'accesso al tuo database e, quindi, ai tuoi dati. Quando ciò accade, l'attaccante sarà in grado di aggiungere e modificare i dati, che potrebbero includere collegamenti dannosi e spam.
• Cross Site Scripting : il Cross Site Scripting è il problema più comune con i plug-in e funziona con un utente malintenzionato che trova un modo per indurre una vittima a caricare inconsapevolmente pagine Web con script javascript non sicuri.

Cosa succede quando la tua sicurezza è compromessa?

Gli hacker possono rubare i tuoi dati e qualsiasi dato appartenente ai tuoi clienti, lasciando questi dati esposti. Il malware potrebbe essere distribuito dal tuo sito ai tuoi visitatori, il che può danneggiare il tuo posizionamento SEO e la reputazione del tuo marchio. E infine, l'intero sito potrebbe essere cancellato, il che, se non viene eseguito il backup, potrebbe causare seri problemi.

Ora, la grande domanda è: come puoi proteggere il tuo sito dagli hacker? Per i siti WordPress ci sono diversi modi per rendere più sicuro il tuo sito web. In questa guida ti mostrerò alcune delle modifiche di sicurezza di base che puoi apportare, fino alle funzionalità di sicurezza di WordPress più approfondite. Immergiamoci.

Quali sono le impostazioni di sicurezza di base?

La maggior parte dei siti non ha nemmeno le basi coperte e questo rende la protezione piuttosto sciatta. Qui tratteremo le cose di base che puoi fare per rafforzare la sicurezza di WordPress.

1. Credenziali forti

Può sembrare sciocco, ma assicurarsi di avere una password sicura è la prima linea di difesa. Oggi le persone usano ancora password come Password123 che offre pochissima protezione. Potresti essere tentato di usare il tuo nome utente o anche l'indirizzo email come password, ma non farlo!

Una password complessa sarà diversa dal tuo nome utente e/o e-mail e includerà lettere maiuscole e minuscole, numeri e caratteri speciali (ad es. !,*,%).

Allo stesso modo, potresti essere sorpreso di apprendere che molte persone utilizzano admin come nome utente. Se lo sei, è ora di cambiarlo.

2. Hosting sicuro che utilizza una connessione sicura

Gli host web sono responsabili della sicurezza del tuo sito web tanto quanto te. Al giorno d'oggi l'hosting viene fornito tramite cloud hosting o hosting condiviso (controlla le migliori opzioni di hosting WordPress economiche). L'hosting cloud ospita più siti Web su più server, mentre l'hosting condiviso ospiterà più siti Web su un server.

L'hosting cloud è apprezzato per il suo livello più elevato di affidabilità e sicurezza perché non richiede la condivisione di risorse limitate su più siti. Questo è il problema con l'avvio dell'hosting condiviso e quando gli host accumulano più siti Web di quanti il ​​server possa gestire, questo rende i siti vulnerabili.

Questo non vuol dire che l'hosting condiviso sia un male. Gli host responsabili utilizzeranno sempre una connessione sicura e non daranno mai a un server più di quanto possa gestire. Ora potrebbe essere un buon momento per controllare il tuo host e scoprire se è necessario effettuare un passaggio.

3. Autenticazione a due fattori

Una semplice soluzione per la sicurezza consiste nell'abilitare l'autenticazione a due fattori al momento dell'accesso alla dashboard. Questo aggiungerà un ulteriore livello di sicurezza al tuo sito web ed è molto facile da abilitare nelle tue impostazioni.

L'autenticazione è solitamente un codice via SMS o e-mail. Alcuni trovano fastidioso dover eseguire un passaggio aggiuntivo per accedere, ma ne vale la pena per la protezione aggiuntiva.

3. Certificati SSL

Non sei sicuro che il tuo sito abbia un certificato SSL? Un sito che ha un SSL presenterà https:/ all'inizio del loro indirizzo web e spesso il tuo browser dirà che il sito non è sicuro. I certificati SSL consentono ai visitatori del Web di sapere che il tuo sito è sicuro, quindi i loro dati sono protetti quando utilizzano il tuo sito.

La maggior parte dei provider di hosting ora include certificati SSL nei costi di abbonamento, ma se non ne hai uno puoi pagarne uno tramite il tuo host o puoi utilizzare il certificato Let's Encrypt gratuito (vedi come aggiungere manualmente SSL gratuito al sito WordPress).

Come proprietario di un sito Web, dovresti controllare diversi tipi di SSL durante la selezione di un certificato SSL per il tuo sito Web. Ad esempio, se un sito Web di e-commerce ha più sottodomini, dovresti pensare di ottenere un certificato SSL con caratteri jolly.

Sono disponibili molti marchi di certificati rinomati che possono aiutarti a stabilire la fiducia sul sito come AlphaSSL, Comodo, GlobalSign, DigiCert. Puoi scegliere chiunque poiché tutti i marchi rinomati servono certificati SSL autenticati.

4. Esegui il backup del tuo sito

Non importa quanto sia forte la sicurezza del tuo sito, non sarà mai al 100% a prova di proiettile. È per questo motivo che il backup del tuo sito (vedi i plug-in di backup di WordPress a confronto) è uno dei must assoluti nella sicurezza del sito web. Se dovesse verificarsi l'inevitabile, puoi essere certo che non dovrai avviare il tuo sito Web da zero.

Puoi utilizzare un plug-in di backup come Duplicator (vedi come migrare il sito WordPress usando Duplicator), BackupBuddy (controlla la recensione di BackupBuddy), WPvivid (vedi la recensione di WPvivid), 10Web backup (controlla la recensione di 10Web), ecc.

Un altro modo per eseguire il backup dei dati è sincronizzare qualsiasi app o software che utilizzi con gli stessi dati. Ad esempio, puoi eseguire il backup dei tuoi contatti sincronizzando Mailchimp e Office 365, questo ti consentirà di mantenere i dati dei contatti al sicuro.

5. Plugin e temi

I siti WordPress funzionano su temi e molti plug-in che richiedono anche aggiornamenti. Questi aggiornamenti sono indispensabili per mantenere il tuo sito funzionante senza intoppi, ma anche per correggere eventuali bug o problemi all'interno del loro software. Tante aziende hanno siti Web che funzionano con versioni precedenti di software e non lo sanno nemmeno.

Un altro problema è l'utilizzo di temi e plug-in annullati, che contengono codice modificato e non sono affidabili. L'utilizzo di plug-in annullati può mettere a rischio il tuo sito.

6. Aggiorna la tua versione PHP

Qualsiasi sito che esegue una versione molto vecchia di PHP è esposto a rischi per la sicurezza. Un PHP non aggiornato può rendere vulnerabile il tuo sito WordPress. È una buona idea controllare che il tuo sia in esecuzione sull'ultima versione di PHP. Puoi trovare la tua versione controllando la richiesta di intestazione sul tuo sito, utilizzando un plug-in diverso o tramite il tuo cPanel se il tuo hosting lo utilizza.

7. Rafforzare la tua area di amministrazione

L'area di amministrazione di WordPress offre essenzialmente all'utente la possibilità di accedere ed eseguire determinate attività sul tuo sito e spesso non viene protetta. Per questo motivo è l'area più comunemente mirata di un sito WordPress.

Puoi rafforzare la sicurezza su questo aggiungendo ulteriori misure di autenticazione alla tua directory di amministrazione. Puoi aggiungere l'autenticazione a due fattori e porre un limite ai tentativi di accesso per aggiungere un altro livello di sicurezza e scoraggiare gli hacker.

Puoi fare un ulteriore passo avanti e modificare l'URL di accesso di WordPress. L'URL predefinito per i siti WordPress è domain.com/wp-admin o /login.php che rende più facile per gli hacker tentare attacchi di forza bruta al tuo accesso amministratore.

Sebbene non si tratti di un'enorme correzione per la sicurezza, la modifica dell'URL rende difficile l'accesso al sito per gli aggressori. Puoi modificare l'URL di accesso utilizzando un plug-in come iThemes Security (vedi confronto tra iThemes Security e WordFence), Hide My WP (controlla il confronto Swift Performance vs Hide My WP), ecc.

Come implementare una sicurezza più forte?

Ecco alcuni consigli per un livello di sicurezza più elevato per il sito WordPress.

1. Installa un plugin di sicurezza per WordPress

Potresti chiederti se esiste un plugin elegante che puoi installare per aiutarti a rendere la sicurezza un peso sulle spalle e la buona notizia è che ce ne sono molti. Il vantaggio dell'utilizzo di questi plug-in sono le loro varie funzionalità e la possibilità di eseguire la scansione dell'installazione di WordPress per eventuali file modificati che potrebbero indicare un tentativo di hacking. Questi plugin dispongono anche di:

• Informazioni WHOIS sui visitatori del sito
• Autenticazione a due fattori
• reCAPTCHA
• Scansione malware
• Scadenza della password: ti costringe a reimpostare la password dopo un determinato periodo di tempo.
• Firewall di sicurezza WordPress

Anche se potrebbero non risolvere tutti i tuoi problemi di sicurezza, un plug-in può aiutarti ad aggiungere un altro livello di difesa e prevenire tentativi di hacking. Consiglio di prendere in considerazione i seguenti plugin: Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare (vedi recensione MalCare), ecc.

2. Nascondi la tua versione di WordPress

Meno informazioni sono disponibili su di te e sulla configurazione del tuo sito Web, più difficile sarà per gli hacker prenderti di mira. Nascondere la versione del tuo sito impedirà agli hacker di identificare il tuo sito come in esecuzione su una versione precedente.

Una soluzione più semplice è assicurarti che il tuo sito web sia sempre aggiornato, ma se vuoi prendere precauzioni puoi nascondere la tua versione di WordPress aggiungendo codice al file functions.php del tuo tema.

3. Permessi dei file

I permessi dei file sono un insieme di regole utilizzate dal tuo server web per controllare l'accesso ai file sul tuo sito. Avere le autorizzazioni sbagliate può interrompere il funzionamento del tuo sito, ma può anche consentire agli hacker di accedere, riscrivere e modificare questi file.

I valori consigliati per i permessi dei file sono i seguenti: Tutti i file dovrebbero essere impostati su 644 e tutte le directory dovrebbero essere impostate su 755 o 750. Le directory non dovrebbero mai essere impostate su 777.

4. Sicurezza del database

Il tuo database sarà chiamato qualunque sia il nome del tuo sito web. Quindi, se il tuo sito si chiama richie rich, il tuo database si chiamerà wp_richierich. Modificandolo in qualcosa di non correlato, impedisce agli hacker di indovinare il nome del database.

Un altro modo per rafforzare la sicurezza è modificare il prefisso della tabella WordPress predefinito. Per impostazione predefinita, WordPress utilizza wp_ come prefisso utilizzato per creare il database. Durante l'installazione è possibile modificare questo prefisso ed è consigliabile farlo per rendere più difficile per gli hacker indovinare i nomi del database.

5. Prevenzione DDoS

DDoS è un tipo di attacco denial of service che non danneggia il tuo sito web, ma lo blocca per ore o addirittura giorni. Anche se questo potrebbe non causare alcun danno al tuo sito web, può danneggiare la tua attività se fai affidamento sul fatto che il tuo sito web sia sempre pienamente operativo. Puoi prevenire un attacco DDoS utilizzando la sicurezza di terze parti come Securi o Cloudflare.

6. Proteggi il tuo file wp-config.php

Come ho detto prima, il file wp-config.php è il file più importante nella tua installazione di WordPress. Se compromesso, l'hacker può ottenere l'accesso al database che darà loro l'accesso completo al tuo sito web.

Questo potrebbe sembrare spaventoso ma non preoccuparti, puoi aumentare la sicurezza sul tuo file wp-config.php modificando i permessi del file. I file nella directory principale sono solitamente impostati su 644 che consente al proprietario di leggere e scrivere i file ed è leggibile dagli utenti nel proprietario del gruppo e da tutti gli altri.

Se vuoi negare l'accesso ad altri usi, i file dovrebbero essere impostati su 440 o 400. Vale la pena ricordare che alcune piattaforme di hosting avranno permessi diversi. Questo perché l'utente non dispone dell'autorizzazione per scrivere i file. In questo caso è una buona idea contattare il tuo provider di hosting per essere sicuro di quali siano i permessi.

Mantenere il tuo sito WordPress sicuro

Ci sono molte ragioni per cui i siti WordPress vengono hackerati. Ripulire un sito WordPress compromesso non è impossibile, ma adottando misure preventive, puoi ridurre le possibilità di avere un sito compromesso in modo da non doverti preoccupare di ripulire il tuo sito o, nel peggiore dei casi, di costruirne uno completamente nuovo sito web.