Come rendere sicuro il tuo sito web WordPress in 12 passi

Sicurezza Wordpress

Chiunque sarà d’accordo sul fatto che tenere la propria casa o il propria ufficio al sicuro dai ladri è di fondamentale importanza. Il tuo sito web richiede le stesse – se non maggiori – misure di protezione, poiché i ladri digitali sono invisibili. Non vedrai nessuno “entrare” nei locali, eppure, in pochi secondi potresti perdere tutti i tuoi dati, anche i diritti di accesso al tuo sito.

I cyber-attacchi sono sempre dolorosi e stressanti, tuttavia, se si possiede un sito web che raccoglie diverse informazioni sugli utenti (in particolare i dati della carta di credito) si ha l’obbligo legale di proteggere questi dati.

Il modo migliore per farlo è prevenirlo, e ci sono numerosi strumenti, app e trucchi che puoi utilizzare per rendere il tuo sito web più sicuro. Eccone alcuni tra i più importanti:

Backup frequente

Effettuare backup è estremamente importante. Essere hackerati è doloroso, ma perdere l’intero sito web è un incubo, e l’elenco delle ragioni per cui ciò può accadere è lungo. Nel caso in cui dovesse accadere il peggio, tieni un backup di tutto anche in locale.

Fidati, è molto più facile ripristinare una versione recente e non corrotta del proprio sito web, piuttosto che ricostruire tutto da capo.

Per fortuna, se hai investito in un buon fornitore di hosting, come SITEGROUND che fa regolarmente backup automatici del tuo sito, non avrai problemi. Altrimenti, puoi optare per un’alternativa manuale.

Aggiorna tutto

Non vorresti mai mangiare un pasto preparato con ingredienti vecchi e stantii, vero? Perché fare questo al proprio sito web, allora? Non aggiornare software, plugin e temi obsoleti lo compromette enormemente.

Dal momento che la maggior parte degli hack di questi giorni sono completamente automatizzati, eseguiti con bot che continuano a scansionare il web, alla ricerca di vulnerabilità da penetrare – si consiglia di aggiornare il CMS, temi e plugin non appena vengono rilasciati gli aggiornamenti. Basta assicurarsi di eseguire il backup del sito prima di qualsiasi aggiornamento nel caso in cui si verifichi un errore durante il processo.

Plugins

Aggiungere caratteristiche e funzionalità extra al proprio sito web è sempre allettante ed emozionante. Assicurati, ogni volta che opti per il download e l’installazione di un’estensione, che venga scaricato da una fonte legittima. Controlla quando è stata l’ultima volta che è stato aggiornato (se l’autore ha smesso di lavorarci e spingere gli aggiornamenti, usarlo è una cattiva idea), magari anche la data di rilascio e il numero di installazioni. Tutte queste informazioni ti danno una migliore comprensione di quanto sia affidabile il plugin.

Nomi utente e password

A dire il vero, “admin” e “123456” o anche il compleanno di tua madre non sono nomi utente e password sicuri da utilizzare per il tuo sito. Inoltre, se trovi la vostra password tra questa lista di password più comuni del 2016 o questa preparata da WP Engine, stai sicuro che un giorno verrai hackerato.

Ci sono alcune semplici regole da tenere a mente quando si crea una password:

  1. Deve essere complessa – usare i nomi dei tuoi animali domestici, delle tue squadre sportive preferite, dei soprannomi, ecc. non è sufficiente. A volte nemmeno l’uso di parole reali a caso è sufficiente. Deve essere una stringa di lettere e cifre a caso. E ci sono molti strumenti di generazione di password disponibili sul web per ottenere aiuto.
  2. Deve essere unica – non riutilizzare mai le password. Deve essere unica ogni volta, per ogni piattaforma. Se qualcuno hackerasse il tuo account di posta elettronica – non dovrebbe poter accedere al vostro sito, FTP, account Facebook e tutto il resto.
  3. Deve essere lunga – si consiglia di impostare password di almeno 12 caratteri. Questo aiuta anche quando c’è un numero limitato di volte in cui non si riesce ad accedere al vostro sito. Più lunga è la password, minore è il rischio di essere violati.
  4. Inoltre, si consiglia di cambiare le password ogni 3-6 mesi – comprese le credenziali di accesso per l’hosting e l’FTP.

Tentativi di accesso limitato

In generale, WordPress non ha limiti sul numero di volte in cui si può provare ad accedere al proprio sito. Per fortuna, si può facilmente cambiare questo e impostare un numero fisso di tentativi di login.

Per fare ciò, è necessario scaricare e attivare un plugin chiamato Login LockDown. Quindi, tramite la scheda Impostazioni, accedi al plugin Login LockDown e inserisci le tue preferenze – Max Login Retries, Retry Time Period, Lockout Length, ecc. È tutto abbastanza semplice e diretto. Suggeriamo di impostare fino a 5 tentativi, non di più.

Applicazioni di sicurezza (a pagamento o gratuite)

Anche se non sono a prova di hacker al 100%, la vita è sicuramente molto meglio con loro. Non importa se si opta per un plugin di sicurezza gratuito o a pagamento, entrambi i tipi forniranno un ulteriore livello di protezione al sito. I plugin di sicurezza ti renderanno più resistenti agli attacchi informatici automatizzati, che di solito scansionano il web alla ricerca di loop e vulnerabilità. Alcuni plugin da considerare sono:

  1. WordFence – uno dei plugin di sicurezza WordPress più popolari. Controlla quotidianamente il sito web alla ricerca di infezioni da malware. Esegue la scansione di tutti i file del vostro core WordPress, del tema e dei plugin. Se trova un qualsiasi tipo di infezione, ricevi una notifica via e-mail. Il suo grande vantaggio è quello di prevenire gli attacchi di forza bruta e le infezioni da malware.
  2.  iThemes Security – con un solo clic di installazione, è possibile fermare gli attacchi automatici e proteggere il tuo sito web. Risolverà anche varie falle di sicurezza comuni nel sito web. Tiene traccia dell’attività degli utenti registrati e aggiunge l’autenticazione a due fattori, le impostazioni di importazione/esportazione, la scadenza della password, la scansione del malware e varie altre cose.
  3. MalCare – una soluzione WordPress per la scansione e la protezione contro i malware di BlogVault, con un processo di configurazione semplice, funzioni di scansione e rimozione automatica. MalCare esegue la scansione del sito web sui propri server e quindi non c’è carico sulle risorse del vostro server, e il vostro sito web continua a funzionare velocemente e senza problemi.
  4. BulletProof Security – un altro plug-in con installazione con un solo clic. Aggiunge la sicurezza del firewall, la sicurezza del database, la sicurezza del login e altro ancora. Un grande tuttofare per monitorare la sicurezza del tuo sito.
  5. Sucuriun’autorità riconosciuta a livello mondiale in tutte le questioni relative alla sicurezza dei siti web, con specializzazione in WordPress Security. Offrono servizi di aiuto per coloro che sono già stati hackerati, così come la protezione contro gli attacchi informatici, entrambi prodotti a pagamento ma incredibilmente preziosi.

Questi sono solo alcuni degli ottimi strumenti a disposizione. Ce ne sono molti altri. Ricorda solo i consigli di cui sopra nella sezione “Plugins” sul download da fonti affidabili, prestando attenzione al numero di installazioni e alla cronologia degli aggiornamenti.

Utilizzare il certificato HTTPS (Certificato SSL)

Prima di immergerci in questo caso, diciamo chiaramente due fatti:

  1. Il certificato SSL non renderà il vostro sito web più sicuro contro i tentativi di hacking.
  2. A meno che non abbiate un sistema di pagamento o un database di utenti incorporato nel vostro sito (il che significa che gli utenti hanno un account e condividono in qualsiasi momento le informazioni personali sul vostro sito, in particolare i dati della carta di credito o i dettagli finanziari) non avete realmente bisogno di un certificato SSL.

Un certificato SSL garantisce una connessione sicura e criptata tra un browser (il visitatore del tuo sito) e un server (il tuo sito web), proteggendo così i dettagli importanti scambiati durante ogni sessione – come i dati della carta di credito o del passaporto, ecc. Quindi, se i tuoi utenti non condividono alcun dato sensibile con il tuo sito – la necessità di utilizzare HTTPS è piuttosto minima.

È però un fattore fondamentale per la SEO, quindi aggiungetelo comunque.

Anche se ci sono tonnellate di guide e tutorial su come migrare da HTTP a HTTPS, e tutto sembra semplice e diretto, si consiglia di consultare un professionista prima di passare a HTTPS, in quanto questo può causare errori multipli e link al sito web interrotti se non viene eseguito correttamente.

Utilizzare un servizio CDN

Una CDN è un Content Delivery Network che fornisce nodi server alternativi (sparsi in tutto il mondo) per dare una risposta più veloce e un tempo di download più veloce ai tuoi utenti. Le reti CDN devono soddisfare specifiche norme di sicurezza per proteggere i dati degli utenti, e molte saranno su reti cloud che offrono una maggiore protezione dagli attacchi DDoS e da altre minacce alla sicurezza. E anche se viene utilizzato principalmente per migliorare la velocità del sito e aumentare il punteggio SEO, lo troverai utile quando implementerai il Certificato SSL sul tuo sito.

Se hai un sito web complesso e un budget importante a disposizione, puoi optare per qualcosa come MaxCDN, altrimenti il CDN gratuito CloudFlare CDN andrà benissimo.

Nascondi la tua pagina di amministrazione

Cambia l’url per la tua pagina di login. Per hackerare il tuo sito web, un hacker deve prima trovare la tua pagina di login. Se si sceglie di nasconderla ai motori di ricerca e non indicizzarla, chi ha intenzioni malevole avrà difficoltà a trovare un potenziale punto d’ingresso. Un modo per farlo è semplicemente modificare l’url della pagina di login. Lo si può fare con l’aiuto del plugin WPS Hide Login o utilizzando il plugin Protect WP-Admin.

Cambiare il prefisso del database WP

Molto probabilmente, il tuo sito WordPress utilizza il prefisso predefinito wp_ per tutte le tabelle del database – rendendolo facilmente accessibile agli hacker. Per rafforzare la sicurezza del sito, Ti raccomandiamo di cambiare questo prefisso. Ti preghiamo, però, di chiedere aiuto ad uno sviluppatore.

Disattivare la modifica dei file

Nell’area di amministrazione di WordPress puoi trovare un editor di codice integrato che ti permette di modificare i file del tema e dei plugin. Mentre il proprietario di un sito può trovare utile questa funzione, una persona con intenti malevoli può usarla per mettere a rischio l’intero sito.

Si consiglia di disattivarla tramite il file wp-config.php o il plugin Sucuri.

Per disattivare l’editor di codice WP tramite il file wp-config.php, dovrai aggiungere il seguente codice al file:

// Disabilitare la modifica del file
definire( ‘DISALLOW_FILE_EDIT’, true );

Come sempre, se non sai farlo personalmente, chiedi l’aiuto di uno sviluppatore.

1 Sito – 1 Hosting

Per quanto comodo e facile possa sembrare di ospitare tutti i tuoi siti web su un unico piano di hosting (se ne avete uno “illimitato”) non è consigliabile farlo, perché offre più opportunità di attacco per un hacker. Una volta che l’hacker trova una vulnerabilità di sicurezza per uno dei tuoi siti, è molto più facile infettare gli altri. E mentre si cerca di ripulire un sito, questo viene reinfettato dagli altri.

Per gli utenti avanzati con Hosting Dedicato consigliamo di installare un firewall per applicazioni web (WAF) e Security Shield.

Conclusioni

I 12 passi descritti sopra dovrebbero aiutarti a migliorare significativamente la sicurezza del tuo sito web. E anche se non ti proteggeranno mai al 100% dagli attacchi informatici, ti aiuteranno sicuramente ad evitare qualsiasi attività di hacker casuale e automatizzata.

Contattaci

Telefono

Chiamaci senza impegno
e saremo felici di aiutarti.

Email

Email

Scrivici senza impegno
e saremo felici di aiutarti.

Accetta la memorizzazione e la gestione dei tuoi dati da questo sito web.