16 consigli sulla sicurezza di WordPress per mantenere il tuo sito sicuro (2023)

Hai bisogno di un elenco completo di suggerimenti per la sicurezza di WordPress che proteggano il tuo sito dai pericoli comuni per cui WordPress è noto.

In questo post troverai oltre una dozzina di suggerimenti di sicurezza di base e avanzati che puoi implementare per proteggere il tuo sito da vulnerabilità e attacchi hacker.

Ecco i suggerimenti per la sicurezza di WordPress che tratteremo in questo post:

1. Scegli un host WordPress di qualità.
2. Gestisci il core, i temi e i plugin di WordPress.
3. Installa un plugin di sicurezza per WordPress.
4. Installa un plugin di backup.
5. Scegli attentamente temi e plugin di terze parti.
6. Conoscere i ruoli utente di WordPress e le relative autorizzazioni.
7. Implementa protocolli di protezione sulla pagina di accesso al backend del tuo sito.
8. Utilizza nome utente e password sicuri.
9. Abilita un certificato SSL per il tuo sito.
10. Disabilita la modifica dei file.
11. Disabilita l'esecuzione di PHP.
12. Modifica il prefisso del database WordPress.
13. Proteggi il tuo file wp-config.php.
14. Rinominare la pagina di accesso di WordPress.
15. Disabilita la navigazione nelle directory.
16. Disconnettere gli utenti inattivi.

Abbiamo organizzato in due elenchi separati: suggerimenti di sicurezza di base e suggerimenti di sicurezza avanzati.

Iniziamo dall'alto con i suggerimenti di base sulla sicurezza.

Suggerimenti di base sulla sicurezza di WordPress per tutti gli utenti

1. Scegli un host WordPress di qualità

Tutto inizia qui.

Se non scegli un host WordPress di qualità con una reputazione affidabile, il tuo sito sarà vulnerabile agli attacchi, indipendentemente dalla sicurezza che implementi in WordPress.

Sebbene il tuo sito sia costituito da codice, quel codice esiste all'interno di file, file che devono essere installati su un server web.

Per lo meno, scegli un host noto per mantenere server veloci e sicuri, mantenere aggiornata la tecnologia dei server e fornire accesso alle ultime versioni PHP.

Utilizziamo Cloudways per ospitare la procedura guidata di blogging. È veloce e conveniente. Anche la sua scalabilità è un fattore importante perché riceviamo molto traffico.

Offrono le seguenti funzionalità di sicurezza:

• Un componente aggiuntivo di Cloudflare Enterprise che implementa la protezione DDoS e un firewall per applicazioni Web (WAF).
• Firewall del server.
• Sicurezza dell'accesso.
• Sicurezza della banca dati.
• Protezione dai robot.
• Certificati SSL gratuiti.
• Gestione dei ruoli utente.
• Gestione sicura del sistema operativo.
• Autenticazione a due fattori.

Tuttavia, per quanto riguarda la sicurezza di WordPress, potresti trovarti meglio con un host WordPress gestito, soprattutto se non sei un utente WordPress avanzato.

Hosting WordPress gestito

L'hosting WordPress gestito è una forma di hosting WordPress in cui il tuo host gestisce molti aspetti della manutenzione di un sito WordPress per te.

Ciò in genere include aspetti della sicurezza di WordPress.

Ecco un esempio che utilizza il nostro host WordPress gestito più consigliato Hosting WPX. Questo provider di hosting offre le seguenti funzionalità di sicurezza:

• Rimozione malware inclusa in tutti i piani.
• Il sito corregge se il tuo sito va offline.
• Protezione DDoS.
• Backup automatici con archiviazione per un massimo di 28 giorni di backup.
• CDN proprietario con 35 edge location.
• Certificati SSL gratuiti.
• Un'area di prova per testare gli aggiornamenti prima di renderli attivi.
• Autenticazione a due fattori.
• Sicurezza avanzata dell'account che ti consente di limitare l'accesso al tuo account Hosting WPX a livello hardware.

2. Gestisci correttamente il core, i temi e i plugin di WordPress

Come abbiamo detto, il tuo sito WordPress è composto da file e codice. Ciò include temi WordPress e plugin WordPress, nonché WordPress stesso, noto come “WordPress core”.

Come le applicazioni per computer e telefono che utilizzi, i file WordPress ricevono aggiornamenti regolari per implementare nuove funzionalità e correzioni di sicurezza.

Questo è il motivo per cui è fondamentale mantenere WordPress stesso, i tuoi temi e plugin aggiornati il ​​più spesso possibile. In caso contrario, il tuo sito potrebbe essere esposto a devastanti falle di sicurezza.

Dovresti sempre provare a utilizzare l’ultima versione di WordPress sul tuo sito.

Fortunatamente, WordPress implementa già automaticamente gli aggiornamenti di sicurezza di emergenza e puoi anche impostare aggiornamenti automatici di WordPress su tutta la linea.

Tuttavia, è meglio eseguire manualmente la maggior parte degli aggiornamenti di WordPress tramite un'area di staging (come quella che WPX Hosting ti consente di creare) in modo da poter testare le modifiche apportate da tali aggiornamenti al tuo sito in un ambiente controllato prima di inviarli alla versione di produzione live di il tuo sito.

Tutto sommato, dedica un po’ di tempo ogni settimana per verificare, testare e applicare gli aggiornamenti di WordPress al tuo sito per mantenerlo il più sicuro possibile.

Inoltre, assicurati di rimuovere i temi e i plugin che non utilizzi più.

Abilitazione degli aggiornamenti automatici per temi e plugin

Puoi abilitare gli aggiornamenti automatici di WordPress per temi e plugin senza un plugin all'interno di WordPress.

Per i temi, vai su Aspetti → Temi, fai clic su un tema e fai clic sul pulsante Abilita aggiornamenti automatici.

L'abilitazione degli aggiornamenti automatici per i plugin funziona allo stesso modo.

Vai su Plugin → Plugin installati e fai clic sul pulsante Abilita aggiornamenti automatici per qualsiasi plugin per cui desideri abilitare gli aggiornamenti automatici.

Puoi anche utilizzare l'opzione in blocco per abilitare gli aggiornamenti automatici per tutti i plugin in una volta sola.

3. Installa un plugin di sicurezza WordPress dedicato

Se non ospiti il ​​tuo sito Web WordPress con un host WordPress gestito, la soluzione migliore è utilizzare un plug-in di sicurezza WordPress dedicato.

Consigliamo i plugin di sicurezza WordPress MalCare o Sucuri.

MalCare implementa le seguenti funzionalità nel tuo sito WordPress:

• Scansione malware.
• Rimozione malware.
• Firewall personalizzato per WordPress.
• Protezione dell'accesso.
• Monitoraggio del tempo di attività.
• Backup incrementali e ripristini del sito con un clic.
• Protezione dai robot.
• Scansione delle vulnerabilità.
• Registro delle attività che consente di identificare comportamenti sospetti.
• Avvisi e-mail su malware e vulnerabilità.

Anche Sucuri offre molte di queste funzionalità, ma è noto soprattutto per le sue funzionalità di scansione e rimozione di malware, nonché per la sua capacità di implementare un firewall per proteggere il tuo sito WordPress.

MalCare è più conveniente di Sucuri e include anche un piano gratuito limitato.

4. Installa un plug-in posteriore di WordPress

I backup forniscono uno dei modi migliori per proteggere il tuo sito web nel caso in cui altri aspetti di sicurezza falliscano.

Se il tuo sito viene violato o danneggiato oppure un aggiornamento interrompe alcune cose, puoi utilizzare un backup per ripristinarlo al momento in cui funzionava normalmente.

Se il tuo host non offre backup e non ottieni questa funzionalità da un plug-in di sicurezza, dovresti sicuramente utilizzare un plug-in di backup dedicato.

Consigliamo WP STAGING.

È specializzato nell'allestimento di siti, come suggerisce il nome, ma offre anche funzionalità di backup, migrazione e clonazione.

Questo plugin offre backup automatici e ti consente di archiviarli fuori sede su Google Drive o Amazon S3.

Se desideri backup incrementali e molte delle stesse funzionalità offerte da WP STAGING, prova BlogVault.

Entrambe le soluzioni ti consentono di ripristinare il tuo sito da un backup.

Nota: anche se scegliere un host WordPress di qualità significa che difficilmente utilizzerai backup di terze parti, ti consigliamo comunque di utilizzare una delle soluzioni di cui sopra come precauzione.

5. Diffida dei temi e dei plugin WordPress di terze parti

Quando senti parlare di siti WordPress che vengono violati, di solito è per uno di questi due motivi: versioni obsolete del core di WordPress e temi e plugin di terze parti.

Questo è il motivo per cui è così importante rimanere aggiornati sugli aggiornamenti di WordPress. Anche così, tutti gli aggiornamenti del mondo non possono proteggere il tuo sito da temi o plug-in di terze parti dannosi o mal codificati.

Prima di decidere di installare un tema o un plugin sul tuo sito, fai le tue ricerche.

Per cominciare, quando è stato aggiornato l'ultima volta il tema o il plugin? Non è un buon segno se un tema o un plugin non viene aggiornato da più di un anno.

Assicurati di leggere anche le recensioni di un tema o di un plugin e le discussioni di supporto. Questi ti forniranno indicatori migliori di quanto sia ben supportato il tema o il plugin.

Assicurati di eseguire anche il nome del tema o del plug-in tramite una ricerca sui social media, in particolare su Twitter, Reddit e Facebook.

Questi siti potrebbero presentare reclami che non vengono affrontati nella pagina ufficiale del tema o del plug-in su WordPress.org.

6. Sii consapevole dei ruoli utente di WordPress e delle relative autorizzazioni

Come proprietari di siti Web WordPress, è importante conoscere le differenze tra i ruoli utente di WordPress e le autorizzazioni fornite da ciascuno.

Ecco un breve riepilogo delle autorizzazioni a cui ciascun ruolo ha accesso:

• Amministratore (Admin) – Può accedere a tutte le aree della dashboard di WordPress e apportare modifiche a qualsiasi parte del sito Web e a qualsiasi utente su quel sito.
• Editor : ha accesso ai post e alle pagine di WordPress e possiede la possibilità di aggiungere, pubblicare, eliminare e modificare questo contenuto, anche se non lo ha creato lui stesso.
• Autore : ha la possibilità di aggiungere, modificare e pubblicare i propri post.
• Collaboratore : ha la possibilità di aggiungere e modificare i propri post.
• Abbonato : può modificare il proprio profilo utente e lasciare commenti con il sistema di commenti nativo di WordPress.

Pertanto, se assumi un editor per il tuo blog, dovresti assegnargli il ruolo di editor anziché il ruolo di amministratore.

In questo modo, possono gestire i contenuti del tuo sito ma non possono apportare modifiche al tema, ai plugin e alle impostazioni di WordPress.

7. Proteggi la pagina di accesso di WordPress

La pagina di accesso di WordPress è la pagina che utilizzi per accedere alla dashboard di WordPress.

In genere puoi accedervi andando su tuodominio.com/wp-login.php.

Esistono diverse tecniche che possiamo utilizzare per proteggere la pagina di accesso di WordPress.

Ne menzioneremo due in questa sezione, ma ci sono tecniche aggiuntive nella sezione avanzata di questo articolo.

La prima tecnica che menzioneremo è semplicemente aggiungere un modulo CAPTCHA alla pagina di accesso del tuo sito.

Se decidi di utilizzare il plug-in di sicurezza MalCare menzionato in precedenza, non avrai bisogno di un plug-in separato per aggiungere questa funzionalità al tuo sito web.

Questo plugin ti consente di limitare i tentativi di accesso mostrando automaticamente un CAPTCHA che i visitatori possono risolvere se non riescono ad accedere dopo tre tentativi.

Se non utilizzi MalCare, utilizza invece un plug-in come Advanced Google reCAPTCHA.

È un plugin davvero semplice che ti consente di aggiungere un modulo CAPTCHA al modulo di accesso, al modulo di registrazione e altro ancora.

Quando hai attivato questo plugin, tu e chiunque incontri la tua pagina di accesso dovrete completare il modulo CAPTCHA per accedere.

Oltre a ciò, un altro modo semplice per proteggere la pagina di accesso di WordPress è abilitare l’autenticazione a due fattori.

Utilizza un plugin come Two Factor Authentication (dai creatori di UpdraftPlus) per aggiungere l'autenticazione a due fattori alla tua pagina di accesso. Il plugin si integra con Google Authenticator.

8. Utilizza credenziali di accesso sicure

I moduli CAPTCHA e le tecniche di autenticazione a due fattori rendono più difficile per gli aggressori accedere al tuo sito, ma non impossibile.

Questo è il motivo per cui è importante utilizzare credenziali di accesso sicure. Aggiunge un ulteriore livello di sicurezza al tuo sito.

Per cominciare, non dovresti mai usare “admin” come nome utente né come nome personale.

Combina invece frammenti del tuo nome. Ad esempio, se ti chiami David Smith e sei nato il 10 ottobre 1980, utilizza "dasm1080" come nome utente o qualcosa di simile.

In questo modo, se un utente malintenzionato tenta di accedere al tuo sito web, deve prima scoprire il tuo nome utente.

Questo è un suggerimento un po’ avanzato, ma in realtà puoi nascondere i nomi utente di WordPress e renderli più difficili da trovare per gli aggressori. Questo è positivo perché a volte i nomi utente possono essere trovati nel codice sorgente di una pagina.

Inoltre, gli URL che WordPress genera per le pagine di archivio degli autori in genere contengono il nome utente di ciascun autore.

Per contrastare questo problema, vai al profilo utente dell'autore in WordPress e compila i campi Nome, Cognome, Soprannome e Nome visualizzato come con qualcosa di diverso dal nome utente dell'utente.

Per fare un ulteriore passo avanti, ed è qui che entra in gioco il suggerimento avanzato, accedi al database del tuo sito tramite phpMyAdmin e trova la tabella wp_users. Il bit "wp" potrebbe apparire leggermente diverso se tu o il tuo host avete modificato il prefisso del database, ma avrà comunque la parte "_users" allegata ad esso.

Quello che vuoi fare è modificare la voce del database di ciascun utente e cambiare il valore "user_nicename" in qualcosa di diverso da quello su cui è impostato il nome utente dell'utente.

Il nome dell'utente andrà benissimo. Assicurati solo di riempire gli spazi con trattini, come "david-smith".

Per le password, utilizza un generatore di password per ottenere una password sicura e valuta la possibilità di archiviarla in un gestore di password per un facile accesso.

9. Configura SSL per il tuo sito

SSL, o Secure Sockets Layer, è un protocollo di sicurezza che crittografa i dati durante il trasferimento tra due reti.

Viene generalmente utilizzato per crittografare le informazioni di pagamento e i dati sensibili dei clienti.

Esistono due modi per verificare se un sito è crittografato da un certificato SSL: un lucchetto presente nella barra degli indirizzi e l'utilizzo da parte del sito di "https" anziché "http".

Poiché SSL è un fattore di ranking di Google leggero, tutti i siti sono incoraggiati a impostare SSL, anche se non intendono mai accettare pagamenti.

Fortunatamente, oggigiorno la maggior parte degli host offre certificati SSL gratuitamente tramite Let's Encrypt, quindi ora è più semplice ed economico che mai configurare tutto.

Consulta la knowledge base del tuo host per scoprire come eseguire questa operazione poiché ciascun host la gestisce in modo diverso.

Suggerimenti per la sicurezza di WordPress per utenti avanzati

10. Disabilita la modifica dei file

La dashboard di WordPress, o amministrazione di WordPress, per gli amministratori dispone di due editor di file che ti consentono di modificare i file di temi e plug-in.

Puoi trovarli andando su Aspetto → Editor file tema e Plugin → Editor file plugin.

Apportare modifiche a questi file può danneggiare il tuo sito. Ancora peggio, se un hacker riuscisse ad accedere a uno dei tuoi account amministratore, sarebbe in grado di utilizzare questi editor per inserire codice dannoso nel tuo sito.

Questo è il motivo per cui si consiglia ai proprietari di siti Web WordPress di disabilitare completamente la modifica dei file.

Tutto quello che devi fare è aggiungere il seguente codice al tuo file wp-config.php:

 define('DISALLOW_FILE_EDIT', true);

Se il tuo host non dispone di un file manager, dovrai accedere ai file del tuo sito tramite FTP, scaricare il file wp-config.php, modificarlo con un editor di testo semplice, salvarlo, quindi ricaricarlo sullo stesso posizione nel file system per l'installazione di WordPress.

Assicurati solo di sovrascrivere l'originale.

Inoltre, assicurati di eseguire il backup del tuo sito prima di apportare modifiche al file system. Potrebbe anche essere una buona idea scaricare una copia del file wp-config.php prima di applicarvi le modifiche.

11. Disabilita l'esecuzione di PHP

Gli hacker spesso creano backdoor nel file system del tuo sito eseguendo file PHP al suo interno.

Puoi bloccare questo tipo di attacchi disabilitando l'esecuzione dei file PHP nelle cartelle che non dovrebbero contenere file PHP, come la cartella Caricamenti in cui sono archiviati i file multimediali.

Bloccare l'esecuzione di PHP nelle cartelle che contengono PHP può effettivamente danneggiare il tuo sito, quindi spesso è consigliabile disabilitare l'esecuzione di PHP solo per le cartelle in cui PHP non viene mai trovato, solo per sicurezza.

Se utilizzi il plugin di sicurezza MalCare, puoi disabilitare l'esecuzione di PHP inserendo le credenziali FTP del tuo sito.

In caso contrario, dovrai farlo manualmente modificando il file system del tuo sito.

Inizia aprendo un editor di testo semplice sul tuo computer e aggiungendovi il seguente codice:

 <File *.php>

negato da tutti

</File>

Quindi, salva questo file e chiamalo ".htaccess". Assicurati di includere il punto “.” prima di "htaccess".

Ora tutto ciò che devi fare è accedere al file system del tuo sito, caricare il tuo nuovo file .htaccess nella cartella Caricamenti e salvare le modifiche.

12. Modifica il prefisso del database WordPress

Lo abbiamo detto più volte, ma il tuo sito è costituito da codice archiviato all'interno di file.

Ciò che non abbiamo menzionato è il fatto che il tuo sito è composto anche da tabelle di database. Come il codice o i file, eliminare o apportare modifiche a queste tabelle può causare molti danni al tuo sito.

Sfortunatamente, se un hacker conosce il prefisso del tuo database, può usarlo per attaccare il tuo sito senza accedervi manualmente.

Tutti i siti Web WordPress sono progettati per utilizzare il prefisso "wp" per impostazione predefinita, motivo per cui è così importante modificarlo poiché gli hacker hanno già familiarità con questo prefisso.

Fortunatamente, molti host modificano già automaticamente il prefisso predefinito del tuo sito non appena crei un sito con loro.

Saprai se lo hanno fatto se le tabelle del tuo database hanno qualcosa di diverso da "wp" prima di ogni valore di sottolineatura, come "fx87_user" invece del solito "wp_user".

In realtà è abbastanza semplice da fare in caso contrario, purché tu abbia familiarità con l'accesso al file system del tuo sito.

Questo suggerimento richiede nuovamente il file wp-config.php. Proprio come prima, è una buona idea salvare il tuo sito insieme a una copia del tuo file wp-config.php prima di apportarvi modifiche.

Ecco i passaggi per modificare il prefisso del database WordPress:

1. Scarica il file wp-config.php del tuo sito.
2. Apri il file in un editor di testo in formato testo normale.
3. Trova una riga che dice "$table_prefix". Se l'intera riga dice “$table_prefix = 'wp_'; devi cambiarlo.
4. Modificare il prefisso "wp" in un numero compreso tra due e cinque lettere e numeri difficili da indovinare per un utente malintenzionato.
5. Assicurati che il tuo nuovo prefisso contenga ancora virgolette e punto e virgola. Esempio: $table_prefix = “fx87_';
6. Salva il tuo file wp-config.php e caricalo nella stessa posizione nel file system del tuo sito.
7. Sovrascrivi il file wp-config.php originale quando richiesto.

13. Proteggi il tuo file wp-config.php spostandolo

Alcune strategie di attacco prevedono l'inserimento di codice nel file wp-config.php, che richiede prima che l'aggressore lo scarichi.

Puoi rendere molto più difficile per gli hacker trovare il tuo file wp-config.php spostandolo.

WordPress ti consente di spostare il tuo file wp-config.php in una directory verso l'alto senza dover fare nient'altro. Il tuo sito sarà comunque in grado di accedervi da lì.

Tuttavia, poiché la directory più in alto potrebbe essere ancora una cartella pubblica, è meglio spostarla un po' più in là.

Questo suggerimento non è difficile da seguire, ma le modifiche apportate al tuo sito sono piuttosto avanzate, soprattutto se qualcosa va storto, quindi procedi solo se sai cosa stai facendo.

Ecco i passaggi per spostare il file wp-config.php:

1. Crea una copia del tuo file wp-config.php e memorizzala sul tuo computer.
2. Accedi al file system del tuo sito e trova la cartella che contiene la tua cartella public_html.
3. Crea una nuova cartella in questa directory e assegnale un nome che non la identifichi come una cartella che conterrebbe il tuo file wp-config.php. Qualcosa come “bw-assets” funzionerebbe. Nota: non utilizzare bw-assets sul tuo sito. Usa qualcosa di originale che hai inventato, così sarà più sicuro.
4. Imposta il livello di autorizzazione della nuova cartella su 700.
5. Copia e incolla il tuo file wp-config.php nella cartella appena creata e rinominalo in qualcosa che non lo identifichi come il tuo file wp-config.php. Ancora una volta, qualcosa come "bw-asset.php" funzionerebbe bene.
6. Cambia il livello di autorizzazione di questo nuovo file su 600.

Modifica il tuo file wp-config.php originale, cancella il codice al suo interno e sostituiscilo con questo:

 <?php

include('/home/usr/bw-assets/bw-asset.php');

?>

Il percorso del file tra virgolette deve corrispondere al percorso assoluto del file del tuo sito, incluso il nome che hai assegnato alla cartella e al file appena creati.

Successivamente salvare il file.

14. Rinominare la pagina di accesso di WordPress

Per impostazione predefinita, la pagina di accesso di WordPress esiste in /wp-login.php e percorsi URL simili. Quindi, se desideri accedere al tuo sito WordPress, vai semplicemente su tuodominio.com/wp-login.php o tuodominio.com/wp-admin.

Gli hacker lo sanno bene. Una volta che accedono al modulo di accesso del tuo sito, possono avviare attacchi di forza bruta per tentare di violare le tue difese.

Si spera che queste difese includano la limitazione dei tentativi di accesso con un plug-in di sicurezza o un modulo CAPTCHA, ma è anche possibile nascondere del tutto la pagina di accesso.

Utilizza un plugin come WPS Hide Login per implementare questa funzione.

Il plugin aggiunge una semplice impostazione alla pagina delle impostazioni generali di WordPress, un'impostazione che ti consente di modificare l'URL di accesso inserendo l'URL desiderato in un campo di testo.

Usa qualcosa di sicuro che non sia comune in modo che gli hacker non possano indovinarlo facilmente. Forse prova a usare una combinazione di parole in modo che sembri senza senso, come "einsteinbananafrisbee".

Una volta apportata questa modifica, non sarai più in grado di accedere alla tua pagina di accesso da wp-login.php o URL simili. Potrai utilizzare solo tuodominio.com/einsteinbananafrisbee, quindi assicurati che sia qualcosa che puoi ricordare.

15. Disabilita la navigazione nelle directory

L'esplorazione delle directory è una funzionalità di progettazione Web che consente a un utente di inserire una directory come URL nella barra degli indirizzi e visualizzare il contenuto di tale directory.

Gli hacker lo utilizzano come un modo per visualizzare una directory senza dover effettivamente accedere a un sito in modo dannoso. Quando lo fanno, possono potenzialmente individuare file e vulnerabilità che possono sfruttare.

Il modo migliore per combattere questo problema è disabilitare completamente l'esplorazione delle directory.

Inizia verificando se la navigazione nelle directory è abilitata per il tuo sito. Puoi capirlo andando su tuodominio.com/wp-includes. Se ricevi un errore 403 Forbidden, la navigazione nelle directory è già disabilitata e non devi preoccuparti.

Tuttavia, se vedi invece un elenco di file, dovrai disabilitare tu stesso l'esplorazione delle directory.

Inizia accedendo al file system del tuo sito e trovando il file .htaccess.

Proprio come hai fatto con il tuo file wp-config.php, dovresti eseguire il backup del tuo sito e creare una copia del tuo .htaccess prima di apportarvi modifiche.

Quindi scaricalo, aprilo in un editor di testo semplice e aggiungi questo snippet di codice alla fine:

 Opzioni Tutti -Indici 

Salva il file e ricaricalo sul tuo sito WordPress, assicurandoti di sovrascrivere l'originale.

16. Disconnettere gli utenti inattivi

I colleghi amministratori, redattori e autori potrebbero pensare che i loro spazi di lavoro siano sicuri, ma la cautela non è mai troppa.

Se un amministratore o un editor si allontana dal proprio computer mentre è connesso al tuo sito, può potenzialmente esporre il tuo sito a vulnerabilità senza rendersene conto, soprattutto se sono in pubblico e il loro computer viene rubato.

Per contrastare questo problema, è una buona idea disconnettere gli utenti inattivi. Il plug-in Inactive Logout offre uno dei modi più semplici per portare a termine il lavoro.

Il plugin consente di impostare logout automatici in base all'inattività per un periodo di tempo specificato.

Puoi anche impostare messaggi di avviso nel caso in cui gli utenti siano effettivamente ai loro computer, ma non interagiscano con il sito web.

È un plugin piuttosto semplice e diretto che ti consente di implementare un ulteriore livello di sicurezza del sito WordPress.

Considerazioni finali e cosa fare se il tuo sito viene violato

Se il tuo sito viene violato, potresti visualizzare alcuni dei seguenti segnali di avvertimento mentre provi a interagire con esso:

• Impossibile accedere.
• Modifiche al frontend che non hai apportato.
• Tutte le pagine del tuo sito web reindirizzano a un sito completamente diverso.

Ciò esclude gli avvisi che potresti aver ricevuto dal tuo host o dal plug-in di sicurezza.

Non importa cosa sta succedendo al tuo sito, ora sai che è nei guai. Ecco cosa fare quando ciò accade.

La prima cosa che dovresti fare è mettere il tuo sito in modalità manutenzione con un plugin per la modalità manutenzione.

Il plugin Coming Soon e Maintenance Mode è un plugin ben noto che è fantastico per questo scopo.

Un sito compromesso rende anche i tuoi utenti vulnerabili agli attacchi, quindi più velocemente blocchi l'accesso esterno al tuo sito mentre rimane compromesso, meglio è.

Una volta che il tuo sito è offline, segui questi passaggi per proteggerlo:

• Cambia le password per tutti gli utenti del tuo sito, ma soprattutto per gli account amministratore.
• Visualizza tutti gli utenti del tuo sito e rimuovi gli account amministrativi che non riconosci.
• Installa gli aggiornamenti di WordPress nel caso in cui ti sei perso un aggiornamento di sicurezza cruciale per un tema o plug-in di terze parti.
• Utilizza il plug-in di sicurezza per cercare e rimuovere malware. Se utilizzi un host come Hosting WPX, rimuoveranno il malware per te. Se hai installato MalCare, il plugin dovrebbe essere in grado di rimuoverlo per te. Altrimenti, potrebbe essere necessario utilizzare un servizio esterno come Sucuri che lo rimuoverà manualmente.
• Rigenera la tua mappa del sito e invia nuovamente il tuo sito a Google tramite Google Search Console. Questo nel caso in cui il file della mappa del sito fosse danneggiato.
• Reinstalla le versioni pulite del core di WordPress, nonché i temi e i plugin che avevi sul tuo sito.
• Pulisci il tuo database con un plugin WordPress come WP-Optimize.
• Disabilita la modalità di manutenzione una volta che il tuo sito è stabile.
• Completa un controllo di sicurezza per identificare le vulnerabilità della sicurezza che potrebbero aver portato all'hacking.

Anche se potresti essere tentato di ripristinare il tuo sito da un backup, non sai per quanto tempo il codice dannoso è rimasto nascosto all'interno del tuo sito web.

Per questo motivo è meglio non ricorrere ai backup quando si pulisce un sito infetto.

Divulgazione: il nostro contenuto è supportato dai lettori. Se fai clic su determinati collegamenti, potremmo addebitarti una commissione. Ciò contribuisce ai costi operativi di Blogging Wizard. Il tuo supporto è molto apprezzato.