• Homepage
  • Articoli
  • Tech
  • 13 miti sulla sicurezza di WordPress | Proteggi il tuo sito web dagli hacker!

13 miti sulla sicurezza di WordPress | Proteggi il tuo sito web dagli hacker!

Pubblicato: 2019-03-23

Sebbene WordPress sia sede di una vasta comunità di utenti da tutto il mondo ed è la migliore piattaforma di gestione dei contenuti, quel posto numero uno mette un obiettivo sulla schiena e compaiono molti miti sulla sicurezza di WordPress.

Troverai molti consigli sulla sicurezza sulla protezione dei tuoi siti e sul modo per migliorare la sicurezza di WooCommerce, ma questo ha portato a molti miti che in realtà non fanno nulla di utile per proteggere il tuo sito. Alcuni di questi suggerimenti potrebbero persino renderlo più vulnerabile agli attacchi.

Miti sulla sicurezza di WordPress

Esaminiamo i 13 principali miti sulla sicurezza di WordPress e cosa puoi fare per proteggere correttamente il tuo sito Web WordPress.

1. Nascondi le tue pagine wp-admin o wp-login e nessuno potrà trovare l'URL di accesso

La logica alla base di questa idea è impedire ai potenziali hacker di hackerare cose che non riescono a trovare. Se il tuo URL di accesso non è l'URL standard di WordPress /wp-admin/ , non sei protetto dagli attacchi di forza bruta? Anche se nascondere il tuo URL wp-admin può aiutare a fermare alcuni attacchi, non li fermerà tutti.

Il motivo per cui questa strategia non funziona è perché ci sono altri modi per accedere ai tuoi siti WordPress oltre al normale modo di utilizzare un browser Internet, come REST API o XML-RPC. Ciò significa che anche se modifichi l'URL di accesso di WordPress , un plug-in o un tema che utilizzi può comunque collegarsi all'URL alterato.

Sebbene nascondere la funzionalità di backend sia abbastanza buono da impedire la maggior parte dei tentativi di accesso diretto, coloro che trovano i tuoi URL personalizzati wp-admin o wp-login possono comunque essere reindirizzati alle tue pagine di accesso.

nascondi l'URL di accesso di wordpress

Un altro motivo per cui questo non funziona è che nascondere completamente il backend danneggerebbe il tuo sito. Tutto ciò che installi presuppone che wp-admin sia nell'URL.

Nascondere l'URL di accesso può oscurare, ma non può cambiare completamente il collegamento effettivo ai tuoi accessi WordPress e la personalizzazione dell'URL di accesso può effettivamente causare molti problemi, poiché molti temi, plug-in e app codificano il wp-login.php nel loro codice base.

Se questi plugin, temi, ecc. non riescono a trovare il collegamento, trovano invece un errore. Una soluzione più affidabile sarebbe utilizzare l'autenticazione a due fattori e negare le password compromesse.

2. Nascondi il numero di versione di WordPress e il nome del tema per una protezione extra

L'idea alla base di questa tattica è che, se gli hacker hanno queste informazioni, possono usarle per accedere al tuo sito.

Nascondere le informazioni sulla versione di WordPress o il nome del tema non ti proteggerà da violazioni della sicurezza poiché ci sono molti bot che cercano vulnerabilità note nel codice in esecuzione sul tuo sito web.

nascondi il numero di versione del plugin wordpress

Invece di oscurare queste informazioni, assicurati che la tua installazione di WordPress sia sempre aggiornata per assicurarti di avere le ultime patch di sicurezza installate.

3. Rinomina la directory wp-content e sei al sicuro

I tuoi plugin, temi e la cartella dei caricamenti multimediali sono tutti contenuti nella directory wp-content sul tuo sito. Ci sono un sacco di codice e informazioni da utilizzare, quindi è, ovviamente, prudente proteggere queste informazioni.

Tuttavia, la modifica del nome della directory dei contenuti non aggiungerà effettivamente quel livello aggiuntivo di protezione al tuo sito. Usando gli strumenti di sviluppo del browser, il nome del tuo contenuto wp può essere trovato anche se lo cambi.

rinomina la directory dei contenuti di wordpress

Rinominarlo può anche causare conflitti con i plugin che hanno un percorso di directory wp-content hard-coded che devono usare per funzionare.

L'unico motivo per cui dovresti preoccuparti della tua directory wp-content è se contiene un plugin o un tema con una vulnerabilità che può essere sfruttata. Il modo migliore per evitare ciò è mantenere aggiornati i temi e i plug-in per evitare vulnerabilità di sicurezza.

4. L'hacking si verifica solo su siti di grandi dimensioni

Anche se il tuo sito WordPress è piccolo con poco traffico, è fondamentale essere proattivi quando si tratta di proteggere il tuo sito.

All'hacker non importa quanto sia grande o occupato un sito. Qualsiasi sito vulnerabile può diventare un hub per siti dannosi, e-mail di spam o persino bitcoin minerari. La chiave è la vulnerabilità piuttosto che le dimensioni del sito oi livelli di traffico.

Puoi mitigare questo problema mantenendo sempre aggiornati plug-in, temi e WordPress stesso e installando un plug-in di sicurezza affidabile per WordPress. Anche l'hosting di qualità e l'autenticazione a due fattori sono parti importanti per tenere a bada gli aggressori.

5. WordPress non è una piattaforma sicura

Potresti aver sentito questa affermazione prima, ma semplicemente non è vero. WordPress, essendo uno dei migliori sistemi di gestione dei contenuti online oggi, non è arrivato dove è ora senza misure di sicurezza solide e affidabili.

La vulnerabilità più grande proviene dagli utenti e può essere evitata con misure precauzionali adottate dai proprietari dei siti. Il motivo numero uno per gli hack è il software obsoleto e la maggior parte dei plug-in verrà aggiornata regolarmente per correggere potenziali vulnerabilità nel codice.

Assicurati di mantenere sempre aggiornati i tuoi temi e plugin. Quando un sito viene violato, non è un difetto di WordPress: è una mancanza di vigilanza di un utente che lo lascia aperto agli attacchi .

6. Aggiornamenti regolari mantengono sempre sicuro il tuo sito

Sebbene aggiornare regolarmente i tuoi plugin e i tuoi temi sia fondamentale per mantenere la sicurezza sul tuo sito, non è una panacea per il potenziale sfruttamento del tuo sito. WordPress ha molti plugin e temi disponibili e un numero elevato di essi non è stato aggiornato da due o più anni.

aggiornamento del tema wordpress

I plugin che non hanno ricevuto una manutenzione adeguata e regolare possono contenere funzionalità obsolete che rallentano i tempi di caricamento o, peggio ancora, danneggiano il tuo sito.

Verifica che i tuoi plug-in ricevano un supporto attivo per proteggerti da potenziali exploit e rimuovi i vecchi plug-in che non ricevono più supporto per ridurre al minimo il rischio di hacking.

7. I backup risolveranno sempre il tuo sito web

I backup sono una delle soluzioni più comuni per riparare i siti Web compromessi. Mentre un backup completo del sito (controlla i migliori plug-in di backup gratuiti di WordPress) ti consente di ripristinare il tuo sito, ti lascia con le stesse vulnerabilità di sicurezza che hanno compromesso il tuo sito in primo luogo.

  • Nome
  • Versione gratuita
  • Versione a pagamento
    Con ulteriori aggiornamenti e componenti aggiuntivi
  • Backup completo del sito
    È possibile eseguire il backup dell'intero sito con tutti i file?
  • Backup del database
    È possibile eseguire il backup solo del database?
  • Backup su Dropbox
    È possibile salvare i file di backup su Dropbox?
  • Backup su Amazon S3
    È possibile salvare i file di backup su Amazon S3?
  • Backup su Google Drive
    È possibile salvare i file di backup su Google Drive?
  • Backup su FTP
    È possibile salvare i file di backup su FTP?
  • Backup su Rackspace
    È possibile salvare i file di backup su Rackspace?
  • Notifica per email
    Notifica e-mail quando viene creato il backup
  • Modifica solo i backup
    Al fine di ridurre le risorse del server e risparmiare spazio, vengono aggiunte solo le nuove modifiche al backup
  • Backup pianificati
  • Backup in tempo reale
    I file di backup vengono creati ogni volta che apporti modifiche al tuo sito
  • Migra sito
    Copia il sito o spostalo su un nuovo host
  • Ripristino di file individuali
    Ripristina singoli file/file dal backup invece di tutto
  • Ripristina il backup dall'interfaccia
  • Scansione di sicurezza e malware
    Opzioni per la ricerca di virus e altre infezioni
  • Riparazione e ottimizzazione del database
    Opzioni per ottimizzare il database wordpress
  • Supporto multisito
  • Prezzo per la versione a pagamento
    Con tutti i componenti aggiuntivi e le funzionalità (piano più economico per 1-2 siti)
  • IndietroWPup
    Ha anche una versione premium/a pagamento con addon e aggiornamenti aggiuntivi
  • Solo in versione a pagamento
  • 75$
    Per il piano standard
DAI UN'OCCHIATA
  • BackUpWordPress
    Ha anche una versione premium/a pagamento con addon e aggiornamenti aggiuntivi
  • Disponibile solo con addon a pagamento il cui prezzo è di circa 24$
  • Disponibile solo con addon a pagamento il cui prezzo è di circa 24$
  • Disponibile solo con addon a pagamento il cui prezzo è di circa 24$
  • Disponibile solo con addon a pagamento il cui prezzo è di circa 24$
  • Disponibile solo con addon a pagamento il cui prezzo è di circa 24$
  • 60$
    Per piano personale
DAI UN'OCCHIATA
  • UpdraftPlus
    Ha anche una versione premium/a pagamento con addon e aggiornamenti aggiuntivi
  • Disponibile solo con addon a pagamento il cui prezzo è di circa 15$
  • Addon a pagamento
    Disponibile solo con addon a pagamento il cui prezzo è di circa 30$
  • Addon a pagamento
    Disponibile solo con addon a pagamento il cui prezzo è di circa 25$
  • 99$ (numero illimitato di siti)
    Per piano sviluppatore con tutti i componenti aggiuntivi e per un numero illimitato di siti
DAI UN'OCCHIATA

Quindi, come si risolve questo problema? Non fare affidamento solo sui backup per riparare il tuo sito dopo un attacco riuscito, poiché perderai dati e record come le transazioni avvenute dopo l'ultimo backup.

Per salvare le tue informazioni, fai attenzione nell'applicare le patch ai veri difetti del codice prima di cadere preda di un tentativo di hacking riuscito.

8. La modifica del prefisso della tabella di WordPress migliora la tua sicurezza

Questa è una raccomandazione comune. La modifica del prefisso delle tabelle del database di WordPress impedirà gli attacchi di SQL injection. Tuttavia, non è così semplice come cambiare "wp_" con un valore diverso.

Non c'è ancora alcuna prova che questo metodo possa fare qualcosa per migliorare la sicurezza del tuo sito. E può mettere a rischio l'intero sito se non viene eseguito perfettamente.

cambia il prefisso del database wordpress

Misure come questa sono considerate "teatro della sicurezza" perché ti fanno sentire come se stessi facendo molti sforzi per migliorare la tua sicurezza mentre in realtà ottieni molto poco. Per proteggere il tuo sito dagli attacchi di SQL injection , è necessario un triplice approccio alla sicurezza.

Avrai bisogno di un efficace Web Application Firewall oltre a patchare e aggiornare continuamente i tuoi plugin, temi e core. E, naturalmente, assicurati di monitorare il tuo sito per tentativi di accesso sospetti o malware.

9. Il mio sito ha un certificato SSL, quindi è completamente sicuro

Qualcosa da tenere a mente sui certificati SSL è che la sicurezza che forniscono è puramente transazionale. Protegge solo le informazioni passate tra il tuo sito e i tuoi visitatori, cose come le informazioni sulla carta di credito e i dati personali (vedi come aggiungere un certificato SSL gratuito al sito WordPress).

installa il certificato ssl wordpress

Tuttavia, i certificati SSL non proteggono i file ei dati che si trovano sul sito stesso . Per coprire i dati del tuo sito, è fondamentale disporre di un Web Application Firewall e assicurarsi che i plug-in, i temi e i file principali siano aggiornati.

10. Il mio sito web è sicuro; Uso CDN o firewall cloud

Le reti di distribuzione dei contenuti, o CDN, e i servizi firewall cloud come Cloudflare, Incapsula o Sucuri proteggono i tuoi siti reindirizzando il traffico ai loro server e filtrando il traffico in base alle regole del firewall. Se il tuo traffico è compatibile con le regole del firewall, va al tuo sito.

Sebbene tu possa pensare che questo sia il modo perfetto per evitare di esporre l' effettiva posizione del server del tuo sito, l' indirizzo IP di origine del tuo sito può comunque rivelarti e può essere difficile da oscurare, se non impossibile.

wordpress-cdn-provider-confronto
  • Rete di distribuzione di contenuti
  • Protezione contro i più grandi attacchi volumetrici
  • Visibilità completa a livello di applicazione
  • Mitigazione degli attacchi contro i server DNS
  • Protezione dei servizi di infrastruttura non web
    (FTP, SMTP, VOIP, ecc.)
  • Rilevamento e mitigazione degli attacchi a livello di applicazione
  • Personalizzazione istantanea e propagazione delle regole di sicurezza
  • Visibilità e controllo in tempo reale
  • Protezione degli indirizzi IP di origine contro gli attacchi DDoS
  • Monitoraggio degli attacchi DDoS esterni per l'infrastruttura di rete
  • Compressione e minificazione
  • Ottimizzazione dei contenuti e della rete
  • Memorizzazione nella cache di contenuti sia statici che generati dinamicamente
  • Servire le risorse memorizzate nella cache direttamente dalla memoria fisica
  • Cache di livello secondario su SSD per aggiornamenti della cache in tempo reale
  • Web Application Firewall (WAF) conforme a PCI
  • Controllo di accesso
  • Sistema di monitoraggio basato sulla reputazione IP
  • Self Service Personalizzazione delle regole di sicurezza
  • Propagazione delle regole di sicurezza di 60 secondi
  • Protezione backdoor per proteggersi dalle infezioni da malware
  • Integrazione API
  • Autenticazione a due fattori per prevenire il furto di password
  • Bilanciamento del carico del server globale
  • Livello applicazione Bilanciamento del carico del server locale
  • Failover del sito a livello di applicazione
  • Monitoraggio dello stato dell'applicazione in tempo reale
  • Regole di consegna delle applicazioni
    (es. reindirizzamenti basati su cookie, intestazione, ecc.)
  • Sistema di biglietteria
  • Assistenza telefonica
  • Supporto HTTP/2
    HTTP/2 è l'ultima evoluzione del protocollo HTTP, che offre miglioramenti significativi alla velocità di caricamento e alla reattività del sito web.
  • Centri dati
  • Origine-Pull
  • Push (caricamento su server CDN)
  • Elimina/Elimina tutto
  • Gzip
  • Onora tutte le intestazioni del server di origine
  • Può sovrascrivere le intestazioni del server di origine
  • Imposta le intestazioni di memorizzazione nella cache per i file inviati
  • CNAME personalizzati
  • HTTPS
  • Protezione dei collegamenti Hot
  • Chat dal vivo
  • Backup gratuiti
  • Integrazione con WordPress
  • Prezzo
incapsula-vs-maxcdn-vs-cloudflare-vs-akamai
  • incapsula
  • Sempre acceso
  • 30
  • Invia di nuovo dall'origine o comprimi sul bordo
  • Il certificato condiviso è gratuito su tutti tranne il piano gratuito.
  • Il certificato condiviso è gratuito su tutti tranne il piano gratuito.
  • Si integra indipendentemente da WordPress. Devi modificare le impostazioni DNS. Riceverai tutte le istruzioni via email e sulla dashboard di Incapsula.
  • Piani gratuiti e a pagamento
    Un piano gratuito include protezione bot, controllo accessi, protezione login, CDN e Optimizer, analisi del sito web e supporto della community. Un piano PRO a pagamento parte da $ 59 al mese e include le stesse funzionalità del piano gratuito, oltre al supporto SSL, prestazioni avanzate e supporto e-mail.
incapsula
cloudflare-vs-maxcdn-vs-keycdn-vs-cdnsun
  • CloudFlare
  • Manuale
  • 86
  • Si integra indipendentemente da WordPress. Devi solo registrarti a CloudFlare e quindi assegnare nuovi server DNS al tuo nome di dominio. CloudFlare riprende da lì.
  • Piani gratuiti e a pagamento
    Offrono un piano di base gratuito adatto a piccoli siti Web e blog e pacchetti a pagamento che variano da $ 20 a $ 200.
CloudFlare CDN
akamai-vs-incapsula-vs-maxcdn
  • Akamai
  • Più di 100.000
  • Invia di nuovo dall'origine o comprimi sul bordo
  • Per ottenere i prezzi dei prodotti Akamai è necessario contattarli.
Akamai
maxcdn-vs-keycdn-vs-cloudflare-vs-cdnsun
  • Max CDN
  • MaxCDN inizierà presto ad offrire DDOS e WAF
  • MaxCDN inizierà presto ad offrire DDOS e WAF
  • MaxCDN inizierà presto ad offrire DDOS e WAF
  • MaxCDN inizierà presto ad offrire DDOS e WAF
  • MaxCDN inizierà presto ad offrire DDOS e WAF
  • MaxCDN inizierà presto ad offrire DDOS e WAF
  • MaxCDN inizierà presto ad offrire DDOS e WAF
  • 75
  • Il CDN gestisce il gzipping
  • Dopo aver impostato la tua zona di pull, puoi integrare MaxCDN tramite il plug-in della cache. Ad esempio W3 Total Cache, Super Cache o WP Rocket.
  • A partire da $9/mese a $299/mese
    C'è anche un prezzo per gigabyte personalizzato
Max CDN
keycdn-vs-cloudflare-vs-maxcdn-vs-incapsula
  • Chiave CDN
  • 25
  • Solo se il server di origine esegue Gzip
  • Dopo l'impostazione è possibile integrare tramite il plug-in della cache. Ad esempio W3 Total Cache, Super Cache o WP Rocket.
  • Paga in base al consumo
    Non è necessario acquistare alcun pacchetto. Il prezzo parte da $ 0,04 / GB
Chiave CDN

Questo è stato un problema comune con i provider di firewall cloud e la soluzione semplice è implementare misure di sicurezza degli endpoint sul tuo sito. Se proteggi i tuoi dati nel punto di origine, questa è la migliore difesa diretta contro gli hacker e altre forme di attacco.

11. Il blocco IP tiene a bada gli hacker

Esistono servizi online utili per registrare accessi sospetti e tracciare gli indirizzi IP e possono persino bloccare completamente questi IP.

Sebbene tu possa pensare che il blocco IP sia un metodo efficace per impedire agli hacker di accedere al tuo sito, gli hacker cambiano costantemente gli IP e spesso operano da più IP contemporaneamente per raggiungere i loro obiettivi.

Quando blocchi un indirizzo IP, possono semplicemente passare a quello successivo che hanno allineato. Peggio ancora, non bloccare correttamente gli IP può causare il crash del tuo sito, il che può richiedere molto tempo per risolverlo.

12. Un nome utente e una password sicuri sono tutto ciò di cui hai bisogno

Sebbene un nome utente amministratore univoco e una password complessa e complessa siano vitali per la corretta sicurezza del tuo sito, non è un metodo infallibile per contrastare potenziali hacker.

Una tattica comune utilizzata per violare i siti consiste nell'utilizzare i bot per scorrere migliaia di password comuni con il nome utente "admin" standard.

Assicurati di cambiare il tuo nome da admin e di incorporare più tipi di caratteri nella password , incluse lettere maiuscole e minuscole, numeri, punteggiatura e altri simboli univoci che renderanno più difficile decifrare.

Tieni presente, tuttavia, che un'efficace combinazione nome utente/password non proteggerà da tutto. Gli hacker hanno altri mezzi per attaccare il tuo sito, anche attraverso vulnerabilità in temi o plug-in obsoleti, violazioni dei dati e persino schemi di phishing.

13. Disabilita semplicemente i plugin/temi che non usi

Questo è un errore comune che fanno molti proprietari di siti. Invece di rimuovere i vecchi plugin, li disabilitano invece. Tuttavia, anche i plugin e i temi inattivi possono essere sfruttati a causa della mancanza di aggiornamenti o correzioni di sicurezza.

Sebbene sia possibile aggiornare temi e plug-in disabilitati, l'opzione migliore è rimuovere gli elementi non necessari per ridurre al minimo i rischi per la sicurezza.

Conclusione sui miti sulla sicurezza di WordPress

Ci sono molte ragioni per cui i siti WordPress vengono hackerati. Dopo aver letto questi miti sulla sicurezza di WordPress, l'ottimizzazione della sicurezza sul tuo sito potrebbe sembrare un po' scoraggiante. Non è sempre facile dire se le misure di sicurezza saranno efficaci e cosa è semplicemente "teatro della sicurezza".

Mantenere sicuro il tuo sito WordPress è molto importante così come prevenire il furto di contenuti. Sebbene non sia possibile garantire che un sito sia invulnerabile al 100% agli attacchi, ci sono molte pratiche e precauzioni che puoi incorporare nella gestione e nella manutenzione del tuo sito che possono ridurre al minimo il rischio di pirateria informatica e offrirti la massima tranquillità.

Per sicurezza è meglio installare plugin di sicurezza WordPress come iThemes Security, WordFence, MalCare, Swift Security o Hide My WP che forniscono un vasto numero di impostazioni e opzioni che puoi abilitare per proteggere il tuo sito web e implementare livelli di sicurezza. Per ulteriori informazioni, vedere iThemes Security review, MalCare review, Wordfence vs iThemes Security, Swift Security vs Hide My WP.