Sicurezza di WordPress: come proteggere il tuo sito dagli hacker

Che tu stia lanciando un sito aziendale, un negozio online o un blog per hobby, WordPress offre flessibilità, facilità d'uso e funzionalità avanzate che contribuiranno a renderlo un successo strepitoso.

Ma prima di essere pronto per andare in diretta, dedica qualche minuto a pensare alla sicurezza. Proteggi il tuo sito il più possibile per tenerlo al sicuro dagli hacker e lavorare per fan e clienti in ogni momento.

Perché la sicurezza di WordPress è importante?

Il tuo sito web dice ai tuoi visitatori chi sei, che tipo di contenuti e servizi offri e cosa possono aspettarsi dal tuo marchio. È un posto dove fare un'ottima prima impressione e creare fiducia e lealtà con i fan esistenti.

Ecco perché è così importante assicurarsi che il tuo sito web sia sempre attivo e funzionante. Se improvvisamente include collegamenti a malware, inizia a funzionare molto lentamente dopo un hack o va del tutto offline, avrà un impatto sulla tua reputazione.

Se il tuo sito viene violato, potresti perdere denaro a causa della diminuzione delle visualizzazioni, delle vendite o delle impressioni degli annunci. Potrebbero esserci dei costi per ripristinarlo in buone condizioni. Potresti anche perdere le classifiche sui motori di ricerca, a volte in modo permanente. Quindi, per risparmiare denaro (e salvare la faccia!) Assicurati che il tuo sito Web sia bloccato e sicuro.

Come vengono hackerati i siti Web WordPress?

Google ha recentemente pubblicato un elenco dei principali modi in cui gli hacker accedono ai siti Web. Vediamone alcuni nel dettaglio:

Password compromesse

Gli attacchi di forza bruta sono uno dei modi più comuni con cui gli hacker si intrufolano in un sito. Usano i bot per provare diversi nomi utente e password, migliaia di combinazioni al secondo, finché non trovano quella giusta.

Plugin e temi non sicuri

Le vulnerabilità riscontrate nei plugin e nei temi sono un modo relativamente semplice per i malintenzionati di entrare. Gli sviluppatori di temi di alta qualità rilasciano patch per tali vulnerabilità negli aggiornamenti regolari, ma non tutti gli utenti di WordPress aggiornano il proprio sito frequentemente. E le versioni gratuite e annullate di plugin e temi premium spesso hanno backdoor incorporate nel loro codice: punti di accesso per consentire agli hacker di accedere in remoto al tuo sito e fare quello che vogliono.

Politiche di sicurezza deboli

Pratiche di sicurezza scadenti come consentire l'accesso al sito a persone che non ne hanno bisogno o consentire password non sicure rendono più facile per le persone accedere al tuo sito web.

Perché qualcuno dovrebbe hackerare un sito web?

1. Vogliono rubare soldi . Potrebbero voler raccogliere informazioni sulla carta di credito dei clienti o indirizzare i visitatori a siti Web dannosi progettati per truffare le persone.
2. Vogliono acquisire informazioni. Potrebbero vendere dati personali a terzi o tenere in ostaggio informazioni in cambio di denaro.
3. Vogliono rimuovere il tuo sito . Questo di solito ha un motivo personale e raramente è una minaccia per il comune proprietario di un sito web.
4. Vogliono vandalizzare il tuo sito. Ancora una volta, questo è solitamente personale. L'hacker potrebbe deturpare il sito web di qualcuno con cui non è d'accordo per fare una dichiarazione.
5. Vogliono attaccare qualcun altro . Gli aggressori possono utilizzare il tuo sito Web per diffondere malware o ransomware su Internet o utilizzare il tuo server Web per attaccare in modo dannoso qualcun altro.
6. Vogliono imparare. Gli hacker devono esercitarsi in qualche modo, giusto? Potrebbero utilizzare il tuo sito Web come campo di allenamento per obiettivi più grandi e redditizi in futuro.

Come proteggere il tuo sito WordPress dagli hacker

1. Scegli un host di qualità

La tua società di hosting è il tuo partner per la sicurezza ed è importante sceglierne una con una buona reputazione. Ottieni ciò per cui paghi e molti host scontati non implementano solide pratiche di sicurezza.

Ma come fai a sapere quale scegliere? Ecco alcune indicazioni di un provider di hosting sicuro:

• Backup regolari, inclusi nel piano o a pagamento.
• Certificati SSL, che proteggono i dati dei visitatori del tuo sito.
• Assistenza 24 ore su 24, 7 giorni su 7, nel caso in cui il tuo sito venga violato.
• Un firewall integrato, che protegge i file e il database sul tuo server.
• Scansioni di sicurezza che ti avviseranno di codice sospetto e attività sul tuo sito.
• Una buona reputazione. Recensioni e consigli sono spesso il modo migliore per determinare la qualità di un host.

E ricorda, un'azienda con una buona conoscenza e una forte sicurezza vale tutti i costi aggiuntivi. Ecco un elenco di host WordPress consigliati per iniziare.

2. Mantieni il software aggiornato

Il modo numero uno per proteggere il tuo sito web è aggiornare regolarmente il tuo software: WordPress, temi e plugin. Le nuove versioni spesso patchano le vulnerabilità della sicurezza, quindi prima aggiorni, meglio è.

Puoi anche ridurre al minimo i rischi per la sicurezza di WordPress scegliendo plugin affidabili che siano stabili e soddisfino più di un'esigenza alla volta. Ad esempio, Jetpack Security offre un'intera suite di strumenti di sicurezza di WordPress integrati nel singolo plug-in Jetpack. Quindi puoi anche beneficiare di funzionalità aggiuntive senza installare dozzine di plug-in e aumentare il rischio di un attacco al tuo sito.

3. Crea nomi utente e password sicuri

Fai indovinare gli hacker scegliendo un nome utente univoco e una password sicura. Utilizzare almeno 20 caratteri, una lettera maiuscola, una lettera minuscola, un numero e un simbolo.

Se stai creando un sito con utenti aggiuntivi, assicurati di impostare le autorizzazioni corrette per ciascuno di essi. Ad esempio, potresti non volere che il tuo nuovo stagista abbia accesso ai file principali o ad altri dati importanti. Ecco un ottimo articolo sui permessi utente per WooCommerce, ma gran parte di esso si applica a qualsiasi tipo di sito.

E se crei un account per una terza parte, come uno sviluppatore, un'agenzia di marketing o una persona di supporto, assicurati di rimuovere l'accesso una volta che hanno completato il loro lavoro.

4. Configurare i backup fuori sede

I backup sono fondamentali per proteggere i tuoi contenuti, il duro lavoro e i dati di clienti o visitatori. Indipendentemente dal problema con il tuo sito, avere un backup completo a portata di mano significa che puoi riprendere rapidamente a funzionare.

Ma è importante scegliere il giusto tipo di backup. Ad esempio, assicurati che i tuoi backup siano archiviati fuori sede, nel cloud anziché sul tuo server. Ciò significa che, anche se perdi l'accesso al tuo sito o il tuo server è compromesso, puoi comunque ripristinare una versione pulita.

Ecco dove brilla Jetpack Backup. Non solo archiviano tutti i backup sugli stessi server sicuri che utilizzano per il proprio sito, ma conservano anche più backup crittografati per un ulteriore livello di protezione.

Inoltre, puoi scegliere tra due opzioni: in tempo reale e giornaliera.

I backup in tempo reale sono la scelta migliore per negozi online, forum di appartenenza o siti Web regolarmente aggiornati. Jetpack salva una copia del tuo sito ogni volta che qualcosa cambia: viene effettuata una vendita, viene aggiornata una pagina o viene aggiunto un commento. Ciò significa che non perderai una singola vendita o informazione, qualunque cosa accada.

I backup giornalieri sono adatti per i siti statici che non vengono aggiornati frequentemente. Jetpack salva i file e il database una volta al giorno anziché quando vengono apportate modifiche.

La parte migliore? È semplicissimo da configurare: non c'è bisogno di complicate configurazioni del server. Basta seguire alcuni semplici passaggi e contattare l'impareggiabile team di assistenza clienti di Jetpack se hai bisogno di aiuto.

Puoi utilizzare il miglior plug-in di backup di WordPress come strumento autonomo o come parte della suite di sicurezza completa.

5. Aggiungi protezione dagli attacchi di forza bruta

Gli attacchi di forza bruta si verificano quando gli hacker utilizzano i bot per indovinare migliaia di combinazioni di nome utente/password al secondo fino a quando non ottengono finalmente l'accesso al tuo sito. Questi attacchi non solo mettono a rischio le informazioni del tuo sito, ma possono anche rallentare le cose sovraccaricando il tuo server.

Mentre le informazioni di accesso sicure saranno sicuramente d'aiuto, la migliore prevenzione è uno strumento che li fermerà nel loro percorso. La funzione di protezione dagli attacchi di forza bruta gratuita di Jetpack blocca gli indirizzi IP sospetti prima ancora che arrivino al tuo sito!

La configurazione non potrebbe essere più semplice: tutto ciò che devi fare è attivare la funzione e puoi visualizzare il numero di attacchi bloccati direttamente dalla dashboard. Suggerimento: la media è 5.193!

6. Cerca malware

Se un hacker riesce ad entrare, vuoi saperlo subito in modo da poter risolvere i problemi. Dopotutto, più a lungo il tuo sito è inattivo o insicuro, maggiore è il danno alla tua reputazione e ai tuoi dati.

Ma Jetpack Scan cerca automaticamente nel tuo sito malware, malintenzionati e attività sospette, avvisandoti immediatamente se viene trovato qualcosa. Puoi persino correggere la maggior parte degli hack noti con un solo clic, risparmiando tempo e denaro.

E non dovrai perdere tempo a decifrare un linguaggio tecnico complicato: la dashboard di Jetpack Scan spiega tutto in parole povere e ti guida attraverso ogni passaggio necessario. Puoi semplicemente impostarlo e dimenticarlo, riposando facilmente sapendo che il tuo sito Web è monitorato 24 ore su 24, 7 giorni su 7.

Scopri di più sul nostro strumento di scansione malware di WordPress.

7. Implementare il monitoraggio dei tempi di fermo

Che sia il risultato di un attacco dannoso o di un semplice errore, se il tuo sito web non funziona, devi agire immediatamente. Ma non hai tempo per ricaricare il tuo sito tutto il giorno per assicurarti che funzioni!

Lo strumento di monitoraggio dei tempi di inattività di WordPress di Jetpack controlla il tuo sito 24 ore su 24, 7 giorni su 7 e ti avvisa se smette di rispondere. È quindi possibile utilizzare il registro attività per determinare esattamente cosa è andato storto e quando, in modo da poter rispondere in modo appropriato e tornare operativo in pochi minuti, non ore o giorni.

8. Elimina plugin e temi inutilizzati

Più temi e plugin hai installato sul tuo sito, più opportunità ci sono per un hacker di trarne vantaggio. Sebbene i plug-in siano un ottimo modo per aggiungere funzionalità aggiuntive, fai un po' di pulizia e rimuovi quelli che non usi più.

E, a parte un tema predefinito su cui puoi ricorrere durante la risoluzione degli errori del sito, non è necessario archiviare temi aggiuntivi.

Bonus: eliminarli può anche migliorare la velocità del tuo sito!

9. Attiva l'autenticazione a due fattori per gli amministratori

L'autenticazione a due fattori è un modo estremamente efficace per proteggere la tua pagina di accesso perché richiede che un hacker abbia sia la tua password che un elemento fisico, una combinazione improbabile. Quando un amministratore accede al tuo sito, dovrà inserire un codice monouso che viene inviato al suo telefono.

Jetpack offre questa funzionalità gratuitamente, rendendola un modo semplice per fare un passo avanti rispetto alle password complesse. Hai più utenti? Richiedi facilmente l'autenticazione a due fattori per tutti loro.

10. Configura un firewall WordPress

Un firewall WordPress monitora tutto il traffico in arrivo al tuo sito, fungendo da barriera contro gli hacker. Mentre un buon piano di hosting include un firewall che protegge il tuo server, ti consigliamo anche di installarne uno specifico per WordPress.

Un buon plug-in firewall ha un database di informazioni sui malintenzionati (indirizzi IP sospetti, bot dannosi e traffico che sembra semplicemente "spento") e li blocca prima che possano attaccare il tuo sito web. Puoi vedere alcune delle opzioni più popolari nel repository dei plugin di WordPress.

11. Tieni d'occhio l'attività del tuo sito

Quando hai un registro di tutto ciò che accade sul tuo sito web, puoi facilmente esaminarlo e identificare qualsiasi cosa sospetta. E se il tuo sito viene violato, puoi anche identificare il momento in cui si è verificato, sapere quali azioni sono state intraprese e scoprire quali account sono stati compromessi molto più facilmente.

Il registro delle attività di Jetpack per WordPress tiene traccia di tutte le principali modifiche che si verificano, dai tentativi di accesso e dalle pagine pubblicate ai plug-in eliminati, ai temi aggiornati e alle impostazioni modificate. Per ogni evento, puoi vedere un timestamp, l'utente che ha apportato la modifica e una descrizione di ciò che ha fatto. È quindi possibile utilizzare queste informazioni per risolvere o ripristinare un backup immediatamente prima che si verificasse un problema.

Cosa succede se il mio sito WordPress non è sicuro?

La maggior parte degli aggressori non prende di mira te in modo specifico, stanno solo cercando il sito più semplice a cui accedere. Quindi, se il tuo sito WordPress non è adeguatamente protetto, è più probabile che cada vittima di un hack. In definitiva, questo potrebbe portare a:

• Una reputazione danneggiata . Se il tuo sito ha avvisi di sicurezza, non funziona o reindirizza a un sito Web sospetto, non sembrerà buono per i visitatori del sito. Potrebbero perdere la fiducia nel tuo blog o nella tua attività, perdendo le vendite o le entrate pubblicitarie.
• Dati dei clienti rubati . Se un hacker accede al tuo negozio eCommerce, potrebbe raccogliere informazioni personali che può utilizzare da solo o vendere a terzi.
• File del sito Web danneggiati . Potresti perdere parte o tutto il tuo sito web, potenzialmente anni di duro lavoro!
• Rimozione dai risultati di ricerca . Se il tuo sito viene violato, potrebbe essere bloccato da Google e rimosso completamente dai risultati di ricerca.
• Traffico del sito perso . Tra i ranking dei motori di ricerca inferiori (o inesistenti) e le persone che non vorranno visitare un sito con un avviso di sicurezza, il traffico del tuo sito potrebbe diminuire in modo significativo.
• Introiti pubblicitari ridotti . Le reti pubblicitarie non vogliono che gli annunci dei loro clienti vengano eseguiti su siti non sicuri. Quindi, se il tuo sito viene violato, potrebbe essere rimosso dalle reti pubblicitarie e potresti essere completamente bandito, riducendo o eliminando le tue entrate dagli annunci. Anche se non viene rimosso, il traffico ridotto influirà negativamente sui clic sugli annunci.

Come faccio a sapere se il mio sito WordPress è stato violato?

A volte può essere difficile dire se il tuo sito web è stato violato o se sta riscontrando qualche altro tipo di problema. Tuttavia, ecco alcune indicazioni di un hack del sito:

• Il tuo sito web ha un avviso di sicurezza quando carichi il tuo URL.
• Il tuo plug-in di sicurezza segnala un problema.
• Il tuo host ti invia un'email in merito a un problema.
• Il tuo sito web reindirizza completamente da qualche altra parte e tu non hai effettuato quel reindirizzamento.
• Vedi strane righe di codice nelle pagine del tuo sito.
• Il tuo sito è completamente inattivo, anche se ciò potrebbe anche essere dovuto ad altre cause.
• Gli annunci sul tuo sito reindirizzano a siti Web sospetti.
• Il tuo sito si carica improvvisamente molto lentamente o si comporta in modo strano in altri modi.

Cosa devo fare se il mio sito WordPress viene violato?

Se il tuo sito WordPress viene violato, ci sono alcuni passaggi che puoi intraprendere per risolvere il problema e recuperare i tuoi file e database:

1. Determina cosa è successo. Se stai usando Jetpack, dai un'occhiata al registro delle attività per vedere chi ha effettuato l'accesso, quando e cosa è cambiato. Questo può aiutarti a identificare gli account compromessi e a capire quali file sono interessati.
2. Esegui una scansione del malware. Usa uno strumento come Jetpack Scan per cercare nei file del tuo sito Web malware o altre indicazioni di un hack. Se utilizzi lo strumento di scansione malware di Jetpack per WordPress, puoi anche risolvere la maggior parte dei problemi con un clic.
3. Ripristina un backup. Se esegui backup regolari del tuo sito Web, ripristinane uno prima che si verificasse l'hacking. Se stai utilizzando Jetpack Backup, i tuoi file vengono archiviati separatamente dal tuo server, quindi non dovrebbero essere compromessi.
4. Reimposta tutte le password ed elimina gli utenti sospetti . Reimposta tutte le password per il tuo sito WordPress e provider di hosting. Se vedi account utente sospetti che non hai creato, eliminali.
5. Assumi un esperto di sicurezza del sito web. Se non sei in grado di rimuovere il malware da solo o vuoi semplicemente essere sicuro che il tuo sito sia sicuro, prendi in considerazione l'assunzione di un esperto di sicurezza da un servizio come Codeable.
6. Aggiorna i tuoi plugin, temi e versione di WordPress. Ciò contribuirà a proteggere eventuali vulnerabilità di cui l'hacker potrebbe aver approfittato.
7. Invia nuovamente il tuo sito a Google. Se il tuo sito è stato bloccato, utilizza Google Search Console per richiedere una revisione e rimuoverlo dall'elenco.

Per maggiori dettagli, leggi la nostra guida che spiega cosa fare se il tuo sito WordPress viene violato.

Pronto per il lancio

Mettere il lavoro nella corretta sicurezza di WordPress fin dall'inizio prepara il tuo sito al successo e lo aiuta a funzionare in modo sicuro ed efficiente per gli anni a venire. Ricorda, prevenire gli hack del sito è molto più facile che risolverli dopo che si sono verificati.

Con il pacchetto Jetpack Security, puoi controllare la maggior parte degli elementi in questo elenco in pochi minuti, senza bisogno di uno sviluppatore o di una configurazione complicata.

Inizia con il miglior plugin di sicurezza per WordPress.